Rogue - MalwareBytes

Question

Bonjour, 


Bonjour, 

J'ai été infecté par le rogue "pc performance & stability".

J'ai suivi ce tuto:
Téléchargez MalwareBytes Anti-Malware (MBAM). 
* Laissez-vous guider lors de l'installation. 
* La mise à jour se fait automatiquement lors de l'installation. 
* Ouvrez MalwareBytes Anti-Malware, cliquez sur "Exécuter un examen complet" puis sur "Rechercher".
 * Sélectionnez les disques que vous voulez analyser puis cliquez sur "Lancer l'examen".
 * Laissez maintenant l'analyse se réaliser, cela peut prendre un peu de temps. 
* Une fois l'analyse terminée, cliquez sur OK puis sur "Afficher les résultats".
 * Vérifiez que tout soit bien coché et cliquez sur "Supprimer la sélection". 
* Un rapport va être généré. Postez le rapport sur le forum Virus/sécurité pour vous faire aider.
 * Il se pourrait que le logiciel ait besoin de redémarrer le PC pour terminer la suppression de certains fichiers, acceptez.
 

Voici le rapport:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.19.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Lionel :: LIONEL-HP [administrateur]

19/03/2012 22:54:44
mbam-log-2012-03-19 (22-54-44).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 296369
Temps écoulé: 1 heure(s), 4 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 2
C:\ProgramData\orytRAOHtwiq.exe (Rogue.FakeHDD) -> 3876 -> Suppression au redémarrage.
C:\ProgramData\Fzt8jt9hmnDX0Y.exe (Trojan.FakeAlert) -> 5440 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|orytRAOHtwiq.exe (Rogue.FakeHDD) -> Données: C:\ProgramData\orytRAOHtwiq.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\ProgramData\orytRAOHtwiq.exe (Rogue.FakeHDD) -> Suppression au redémarrage.
C:\ProgramData\Fzt8jt9hmnDX0Y.exe (Trojan.FakeAlert) -> Suppression au redémarrage.
C:\Users\Lionel\AppData\Local\Temp\walFBcbCdpBq2w.exe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Lionel\AppData\Local\Temp\sTJEdRVVB0O6ld.exe.tmp (Rogue.FakeHDD) -> Mis en quarantaine et supprimé avec succès.

(fin)

Que dois je faire?

Merci par avance de votre aide

dorgane · Accepted Answer

lu,

redémarrer?

Lio66 · Answer

oridnateur redémarré.

J'ai plus "pc performance & stability" qui s'affiche.
Par contre, écran toujours noir avec les dossiers vides et uniquement poubelle sur le bureau.

Redbart · Answer

Bsr 
jusque là c bon,  

termine le nettoyage avec adwcleaner (ex ad remover) 

http://general-changelog-team.fr/fr/downloads/summary/20-outils-de-xplode/2-adwcleaner

comment protège tu ton pc?

Lio66 · Answer

ok, j'essaie ça.
Je protege avec avira.. pas suffisant?

g3n-h@ckm@n · Answer

hello

non !!! pas adwcleaner maintenant sinon les raccourcis du menu demarrer s'ils sont absents seront supprimés

on n'utilise jamais un logiciel qui nettoie les fichiers temporaires suite à une infection par rogue , on verifie d'abord qu il ne manque rien à l'user

Lio66 · Answer

Merci g3n.

Par contre, que dois je faire alors pour que tout revienne à la normale?

g3n-h@ckm@n · Answer

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

Lio66 · Answer

Merci beaucoup.

Je vais essayer de faire ca au plus vite.

Lio66 · Answer

Pour info, mon ordi est sous garantie.

Est ce que ce genre de pb peut passer en garantie?

g3n-h@ckm@n · Answer

non les virus ne sont pas pris en charge :)

le systeme d'exploitation non plus d ailleurs

Lio66 · Answer

Bonjour g3n-h@ckm@n

J'ai effectué le pre scan, au démarrage de l'ordi, les icones et dossiers sont revenus sur le bureau. Toutefois, j'ai toujours l'écran noir sur le bureau, et j'ai deux message d'erreur (catalyst control et hp assistant ont cessé de cfonctionné).

Le rapport Pre_scan se trouve là:
https://pjjoint.malekal.com/files.php?id=20120321_y11h9j5h9j10

Je vous remercie déjà pour là où j'en suis arrivé parce que sans vous, je serai encore avec 0 icones.
Par contre, pour m'en débarasser completement, que dois je faire e plus?

g3n-h@ckm@n · Answer

hello 

si tu choisis n'importe quelle photo comme fond d'ecran ca te la met pas ? 

============

desinstalle Facemoods
desinstalle Vuze Remote Toolbar
desinstalle Ask.com/AskToolbar
desinstalle Java update 29
desinstalle spotify
desinstalle conduit/ConduitEngine

============

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
""=- 
"facemoods"=-
"QuickTime Task"=-
"iTunesHelper"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}] 
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5C0D11B8-C5F6-4be3-AD2C-2B1A3EB94AB6}]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{2CEA3AD4-5355-4E20-B80E-31D50D4663C2}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F07C49F0-3D75-4BFF-AF39-681A0FE384FE}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}]
[-HKCU\Software\Ask.com]     
[-HKCU\Software\facemoods.com] 
[-HKLM\Software\facemoods.com] 

txt::
C:\Windows\System32\Tasks\{3B745575-10EC-4B78-B19B-8E8F9942A2D8} 

file::
C:\Program Files\Vuze_Remote\prxtbVuze.dll 
C:\Windows\lö¸ 

folder::
C:\Program Files\facemoods.com    
C:\Program Files\Ask.com
C:\Windows\assembly	mp\0CUS4V1O 
C:\Windows\assembly	mp\1C18B5KX
C:\Windows\assembly	mp\9KNFDP5L 
C:\Windows\assembly	mp\CCF93B48 
C:\Windows\assembly	mp\HWDAZGAJ
C:\Users\Lionel\AppData\Local\Conduit     
C:\Program Files\Ask.com     
C:\Program Files\Conduit     

Mbr::    

clean::      

Reboot::        
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 


¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lio66 · Answer

En rajoutant une photo cela fonctionne. Mais je pense qu'un problème persiste. Quand je clique sur le logo window en bas a gauche de l'ecran, la barre d'outils est vide (seulement apparaît "tous les programmes".

g3n-h@ckm@n · Answer

t'as pas utilisé adwcleaner comme conseillé ?

Lio66 · Answer

Autant pour moi, j'avais pas lu l'integralite de ton precedent message (je suis sur mon telephone).

J'essaierai a midi d'installer les prgrammes en question, pre_scan et copie coller.

Merci beaucoup

g3n-h@ckm@n · Answer

non pas installer , desinstaller :)

Lio66 · Answer

Je suis en train de désinstaller les programmes, par contre, je ne sais pas à quoi correspond: conduit/ConduitEngine

Je l'ai pas dans les programmes.

Lio66 · Answer

J'ai desinstalle les prog,
J'ai lance pre_scan
Script
Jai copie coller le texte puis fichier et enregistrer

Quand je ferme le texte, il apparaît le message suivant:

Erreur lors de la sauvegarde du fichier c'\pre_scan\save_script\BCD !

Continuer avec le fichier suivant?

[RegCreatekeyEx: 5 - acces refusé]
Oui - n'on

g3n-h@ckm@n · Answer

ben non c est un raport pre_script...

g3n-h@ckm@n · Answer

planqué dans tes icones sur ton bureau

Lio66 · Answer

pas de script même dans les fichiers cachés :s

Est-il préférable que je lance adwcleaner?

je suis vraiment désolé de poser tt le temps plein de questions.

g3n-h@ckm@n · Answer

je comprends pas tu as supprimé le dossier Pre_scan dans C:\ ?

g3n-h@ckm@n · Answer

t'as pas repondu ici :

https://forums.commentcamarche.net/forum/affich-24751422-rogue-malwarebytes?full#16

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Lio66 · Answer

ComboFix 12-03-22.01 - Lionel 22/03/2012  21:28:23.1.2 - x86
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.2666.1571 [GMT 1:00]
Lancé depuis: c:\users\Lionel\Desktop\lionel.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-02-22 au 2012-03-22  ))))))))))))))))))))))))))))))))))))
.
.
2012-03-22 20:37 . 2012-03-22 20:37	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-03-22 20:32 . 2012-03-22 20:32	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{91A9D237-A638-4139-8A13-D08C795204BC}\offreg.dll
2012-03-22 20:07 . 2012-03-22 20:07	--------	d-----w-	c:\program files\Common Files\Symantec Shared
2012-03-22 20:01 . 2012-03-22 20:21	--------	d-----w-	c:\programdata\Symantec
2012-03-22 20:00 . 2012-03-22 20:00	--------	d-----w-	c:\program files\NortonInstaller
2012-03-20 23:39 . 2012-03-21 12:06	--------	d-----w-	C:\Pre_Scan
2012-03-20 23:36 . 2012-02-08 06:03	6552120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{91A9D237-A638-4139-8A13-D08C795204BC}\mpengine.dll
2012-03-19 21:53 . 2012-03-19 21:53	--------	d-----w-	c:\users\Lionel\AppData\Roaming\Malwarebytes
2012-03-19 21:52 . 2012-03-19 21:52	--------	d-----w-	c:\programdata\Malwarebytes
2012-03-19 21:52 . 2012-03-19 21:52	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-03-19 21:52 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-03-14 19:28 . 2011-11-19 14:50	3968368	----a-w-	c:\windows\system32
tkrnlpa.exe
2012-03-14 19:28 . 2011-11-19 14:50	3913584	----a-w-	c:\windows\system32
toskrnl.exe
2012-03-13 19:17 . 2012-02-03 03:54	2343424	----a-w-	c:\windows\system32\win32k.sys
2012-03-13 19:17 . 2012-02-10 05:38	1077248	----a-w-	c:\windows\system32\DWrite.dll
2012-03-13 19:10 . 2012-01-25 05:32	58880	----a-w-	c:\windows\system32dpwsx.dll
2012-03-13 19:10 . 2012-01-25 05:32	129536	----a-w-	c:\windows\system32dpcorekmts.dll
2012-03-13 19:10 . 2012-01-25 05:27	8192	----a-w-	c:\windows\system32drmemptylst.exe
2012-03-13 19:10 . 2012-02-17 05:34	826880	----a-w-	c:\windows\system32dpcore.dll
2012-03-13 19:10 . 2012-02-17 04:14	183808	----a-w-	c:\windows\system32\driversdpwd.sys
2012-03-13 19:10 . 2012-02-17 04:13	24576	----a-w-	c:\windows\system32\drivers	dtcp.sys
2012-02-22 21:58 . 2012-02-22 22:00	--------	d--h--w-	c:\programdata\WinZip
2012-02-22 21:57 . 2012-02-22 21:57	--------	d--h--w-	c:\users\Lionel\.swt
2012-02-22 21:57 . 2012-03-18 21:48	--------	d-----w-	c:\users\Lionel\AppData\Roaming\Azureus
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-23 08:18 . 2011-09-15 15:34	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-01-04 08:58 . 2012-02-19 16:09	442880	----a-w-	c:\windows\system32
tshrui.dll
2011-12-30 05:27 . 2012-02-19 16:10	478720	----a-w-	c:\windows\system32	imedate.cpl
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-12-06 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-11-10 336384]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2010-12-17 536668]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-12-23 2049320]
"BTMTrayAgent"="c:\program files\Motorola\Bluetooth\btmshell.dll" [2011-02-15 20899408]
"HPQuickWebProxy"="c:\program files\Hewlett-Packard\HP QuickWeb\hpqwutils.exe" [2011-03-16 76344]
"HPConnectionManager"="c:\program files\Hewlett-Packard\HP Connection Manager\HPCMDelayStart.exe" [2011-02-15 94264]
"HP Quick Launch"="c:\program files\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe" [2010-11-09 586296]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-09-05 35736]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"Easybits Recovery"="c:\program files\EasyBits For Kids\ezRecover.exe" [2011-02-10 61112]
"HPOSD"="c:\program files\Hewlett-Packard\HP On Screen Display\HPOSD.exe" [2011-01-27 318520]
"RIMBBLaunchAgent.exe"="c:\program files\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe" [2011-02-18 79192]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-01-16 421736]
.
c:\users\Lionel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-12-06 136176]
R3 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [2011-03-01 183560]
R3 BTMCOM;Bluetooth Serial Port;c:\windows\system32\Drivers\btmcom.sys [2010-06-30 41344]
R3 GamesAppService;GamesAppService;c:\program files\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-12-06 136176]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [2010-11-20 52224]
R3 TsUsbGD;%TsUsbGD.DeviceDesc.Generic%;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-09-17 1343400]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 51040]
S0 amd_sata;amd_sata;c:\windows\system32\DRIVERS\amd_sata.sys [2010-11-05 64128]
S0 amd_xata;amd_xata;c:\windows\system32\DRIVERS\amd_xata.sys [2010-11-05 32384]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-09-05 64952]
S2 AESTFilters;Andrea ST Filters Service;c:\program files\IDT\WDM\aestsrv.exe [2009-03-03 81920]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-11-10 176128]
S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2010-11-10 284160]
S2 AMD Reservation Manager;AMD Reservation Manager;c:\program files\ATI Technologies\ATI.ACE\Reservation Manager\AMD Reservation Manager.exe [2010-06-17 140224]
S2 Bluetooth OBEX Service;Bluetooth OBEX Service;c:\program files\Motorola\Bluetooth\obexsrv.exe [2011-02-15 509520]
S2 cvhsvc;Client Virtualization Handler;c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
S2 ezSharedSvc;Easybits Services for Windows;c:\windows\System32\ezSharedSvcHost.exe [2010-04-23 514232]
S2 HPClientSvc;HP Client Services;c:\program files\Hewlett-Packard\HP Client Services\HPClientServices.exe [2010-10-11 246840]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2011-05-27 26168]
S2 HPWMISVC;HPWMISVC;c:\program files\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe [2010-11-09 26680]
S2 sftlist;Application Virtualization Client;c:\program files\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
S3 amdiox86;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox86.sys [2010-02-18 37944]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-11-10 6574080]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-11-10 229888]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [2010-09-24 102416]
S3 Bluetooth Device Manager;Bluetooth Device Manager;c:\program files\Motorola\Bluetooth\devmgrsrv.exe [2011-02-08 3512400]
S3 Bluetooth Media Service;Bluetooth Media Service;c:\program files\Motorola\Bluetooth\audiosrv.exe [2011-02-28 902224]
S3 BTMUSB;Motorola Bluetooth Radio Service;c:\windows\system32\Drivers\btmusb.sys [2011-02-08 403968]
S3 clwvd;CyberLink WebCam Virtual Driver;c:\windows\system32\DRIVERS\clwvd.sys [2010-07-28 27632]
S3 hpCMSrv;HP Connection Manager 4.0 Service;c:\program files\Hewlett-Packard\HP Connection Manager\hpCMSrv.exe [2011-02-15 1071160]
S3 netr28;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS
etr28.sys [2010-11-04 909664]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2010-12-02 197224]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-09-20 279656]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2011-10-01 579944]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2011-10-01 194408]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2011-10-01 21864]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2011-10-01 19304]
S3 sftvsa;Application Virtualization Service Agent;c:\program files\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2010-04-29 30464]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-03-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-12-06 19:43]
.
2012-03-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-12-06 19:43]
.
2012-02-24 c:\windows\Tasks\HPCeeScheduleForLionel.job
- c:\program files\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-09-13 20:15]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: {{bd707fe6-39f6-4bda-9265-86a76719bdc5} - c:\program files\Motorola\Bluetooth\btmiesend.htm
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
WebBrowser-{BA14329E-9550-4989-B3F2-9732E92D17CC} - (no file)
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.download\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="SafariDownload"
.
[HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (S-1-5-21-3029963093-4268310152-2281270035-1001)
@Denied: (2) (LocalSystem)
"Progid"="IE.AssocFile.HTM"
.
[HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (S-1-5-21-3029963093-4268310152-2281270035-1001)
@Denied: (2) (LocalSystem)
"Progid"="IE.AssocFile.HTM"
.
[HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.safariextz\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="SafariExtension"
.
[HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="SafariHTML"
.
[HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.svg\UserChoice]
@Denied: (2) (S-1-5-21-3029963093-4268310152-2281270035-1001)
@Denied: (2) (LocalSystem)
"Progid"="IE.AssocFile.SVG"
.
[HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.webarchive\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="SafariHTML"
.
[HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (S-1-5-21-3029963093-4268310152-2281270035-1001)
@Denied: (2) (LocalSystem)
"Progid"="IE.AssocFile.XHT"
.
[HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (S-1-5-21-3029963093-4268310152-2281270035-1001)
@Denied: (2) (LocalSystem)
"Progid"="IE.AssocFile.XHT"
.
[HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="SafariHTML"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(5908)
c:\program files\Hewlett-Packard\HP Support Framework\Resources\HPSFMessenger\HPSFTaskbar.dll
.
Heure de fin: 2012-03-22  21:39:41
ComboFix-quarantined-files.txt  2012-03-22 20:39
.
Avant-CF: 255 811 227 648 octets libres
Après-CF: 256 366 632 960 octets libres
.
- - End Of File - - A600340368D9C9D1768162CBF27B0A72

g3n-h@ckm@n · Answer

??????????????????????????????

tu peux preciser ca ?

Parce que j'en suis au même point qu'hier.

g3n-h@ckm@n · Answer

depuis quand ?

g3n-h@ckm@n · Answer

message d'erreur ? ou quoi ou qu'est-ce ? 

si t'es pas plus precis l'aide est difficile

g3n-h@ckm@n · Answer

avec tous les navigateurs ?

Lio66 · Answer

Je sais pas, j'ai pas d'autre navigateur installe

g3n-h@ckm@n · Answer

tu as redemarré le pc pour tester ?

Lio66 · Answer

Je viens de faire une restauration systeme au 03/03/2011.
En rallumant l'ordi, les fichiers  du menu démarrage sont de nouveau présents.

Seul le message d'erreur "catalyst control center a cessé de fonctionner".

Tu penses que le rogue est complétement viré?

g3n-h@ckm@n · Answer

pourqouoi t'as fait une resto ? tout ce qu on a fait n'a servi à rien..;

g3n-h@ckm@n · Answer

bon ben relance cette version et poste le rapport :

http://gen-hackman.servequake.com/Tools/winlogon.exe

Lio66 · Answer

le lien du rapport: je croise les doigts pour pas avoir tout fait merder!!

https://pjjoint.malekal.com/files.php?id=20120324_6d9g109k12

g3n-h@ckm@n · Answer

mon dieu quelle horreur !!!! non je plaisante :) faut desinstalle Java update 29 t'as quand meme restauré du caca.... faut desinstaller Spotify faut mettre à jour open office =============== relance pre_scan et choisis script , une page vierge va s'ouvrir. selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) : ___________________________________________________ Kill:: Registry:: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- "QuickTime Task"=- "iTunesHelper"=- [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}] [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}] [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}] [-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5C0D11B8-C5F6-4be3-AD2C-2B1A3EB94AB6}] [-HKCU\Software\Ask.com.tmp] file:: C:\Windows\lö¸ C:\Users\Lionel\Downloads\setup.exe folder:: C:\Users\Lionel\AppData\Roaming\Spotify C:\Windows\assembly mp\0CUS4V1O C:\Windows\assembly mp\1C18B5KX C:\Windows\assembly mp\9KNFDP5L C:\Windows\assembly mp\CCF93B48 C:\Windows\assembly mp\HWDAZGAJ C:\Users\Lionel\AppData\Local\Temp\Conduit C:\Program Files\Ask.com C:\Program Files\Conduit Mbr:: clean:: Reboot:: ___________________________________________________ colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge. puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail ==================== ▶ Télécharge Sur cette page : AdwCleaner (de Xplode) ▶ clique sur Télécharger et enregistre le fichier sur ton Bureau ▶ Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation ================================== ▶▶▶ Sous Vista et Windows 7 /!\ : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur ================================== Sur le menu principal : ▶ clique sur Suppression et patiente le temps de l'analyse ▶ poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

g3n-h@ckm@n · Answer

lol ^^

Lio66 · Answer

Alors, j'ai tt fait comme indiqué dans le message. Je sens qu'on arrive au bout ^^,

Pas de rapport pre_script, y compris dans le dossier pre_scan/save....


concernant awcleaner:
# AdwCleaner v1.503 - Rapport créé le 25/03/2012 à 00:50:48
# Mis à jour le 24/03/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Lionel - LIONEL-HP
# Exécuté depuis : C:\Users\Lionel\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Lionel\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Lionel\AppData\LocalLow\AskToolbar
Dossier Supprimé : C:\Users\Lionel\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Lionel\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\Lionel\AppData\Local\Temp\AskSearch
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrch.xml

***** [H. Navipromo] *****


***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2504091
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v11.0 (fr)

Nom du profil : default
Fichier : C:\Users\Lionel\AppData\Roaming\Mozilla\FireFox\Profiles\9pd90t51.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1908 octets] - [25/03/2012 00:50:48]

########## EOF - C:\AdwCleaner[S1].txt - [2036 octets] ##########

g3n-h@ckm@n · Answer

meme pas planqué dans tes icones sur le bureau ? :(

Lio66 · Answer

Non, j'ai même fais une recherche ".txt" il ressort 2 pre_scan anciens.

Tu penses que mon pc est clean?

g3n-h@ckm@n · Answer

re

mets malwarebytes à jour et fais un scan complet stp

g3n-h@ckm@n · Answer

non non Malwarebytes :)

g3n-h@ckm@n · Answer

en attendant regarde si tu as encore ces dossiers :

C:\Windows\assembly	mp\0CUS4V1O
C:\Windows\assembly	mp\1C18B5KX
C:\Windows\assembly	mp\9KNFDP5L
C:\Windows\assembly	mp\CCF93B48
C:\Windows\assembly	mp\HWDAZGAJ

Lio66 · Answer

alors, quandd je fais:
organiser, options des dssier, afficher les dossiers et fichiers cachés.
Toujours pas de "tmp" dans C:\Windows\assembly

Je passe de system.xlm.ressource à TaskScheduler et à UIAutomatic

g3n-h@ckm@n · Answer

anormal oui mais je m'en doutais un peu..^^

Lio66 · Answer

Lol, j'espérais que tu me dises: "non c'est trop bien!!!" ;)

Lio66 · Answer

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.25.01

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Lionel :: LIONEL-HP [administrateur]

25/03/2012 11:05:13
mbam-log-2012-03-25 (11-05-13).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 289990
Temps écoulé: 1 heure(s), 7 minute(s), 48 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Lionel\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

Lio66 · Answer

Merde! Je me suis trompé dans la config! J'ai rien changé :s

J'attend que ca termine et je refais avec la bonne config

Lio66 · Answer

J'ai refais tourner OTL avec la bonne config, ca donne ca:

OTL:
https://pjjoint.malekal.com/files.php?id=20120325_m8u5q10z11t5

Extra:
https://pjjoint.malekal.com/files.php?id=20120325_y6r6d5w11l9

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = https://uk.ask.com{searchterms}&l=dis&o=HPNTDF 
IE - HKU\S-1-5-21-3029963093-4268310152-2281270035-1001\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found     
IE - HKU\S-1-5-21-3029963093-4268310152-2281270035-1001\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = https://uk.ask.com{searchterms}&l=dis&o=HPNTDF 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
O4 - Startup: C:\Users\Lionel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk 


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
""=-
"iTunesHelper"=-
"QuickTime Task"=-

:Files
C:\Users\Lionel\AppData\Local\{*} 
C:\Program Files\Vuze_Remote\prxtbVuze.dll
C:\Windows\lö¸
C:\Windows\assembly	mp\0CUS4V1O
C:\Windows\assembly	mp\1C18B5KX
C:\Windows\assembly	mp\9KNFDP5L
C:\Windows\assembly	mp\CCF93B48
C:\Windows\assembly	mp\HWDAZGAJ

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Lio66 · Answer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
Process msnmsgr.exe killed successfully!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry value HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Internet Explorer\URLSearchHooks\{ba14329e-9550-4989-b3f2-9732e92d17cc} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ not found.
Registry key HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
C:\Users\Lionel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task deleted successfully.
========== FILES ==========
C:\Users\Lionel\AppData\Local\{28A6E368-3122-4C41-AA73-693A71B3FAB1} folder moved successfully.
C:\Users\Lionel\AppData\Local\{32B49927-975A-47A4-A09F-058D86673C6D} folder moved successfully.
C:\Users\Lionel\AppData\Local\{342DD4EE-E3B8-4C88-B86E-E461FEF7ECB3} folder moved successfully.
C:\Users\Lionel\AppData\Local\{4146547B-69AA-4E28-85E2-DF2F7549E7AF} folder moved successfully.
C:\Users\Lionel\AppData\Local\{440C379B-68F3-4F35-B673-F3CE0F0AD516} folder moved successfully.
C:\Users\Lionel\AppData\Local\{49FFC9DD-2454-42F8-9617-A4EBF9D40DAD} folder moved successfully.
C:\Users\Lionel\AppData\Local\{50A6601A-DE23-434D-AF5F-C639E8D282CA} folder moved successfully.
C:\Users\Lionel\AppData\Local\{8206F185-19E8-42C8-A1A4-1E51E87A280A} folder moved successfully.
C:\Users\Lionel\AppData\Local\{90B8D34E-B61B-4123-8A5D-9E04A81A7A21} folder moved successfully.
C:\Users\Lionel\AppData\Local\{9AC82325-3293-4827-AF47-B6A80999A792} folder moved successfully.
C:\Users\Lionel\AppData\Local\{A8111241-DE0E-4A73-85FB-5C0FCF7FEBD9} folder moved successfully.
C:\Users\Lionel\AppData\Local\{CD541990-F967-4D84-965A-65CC622BC305} folder moved successfully.
C:\Users\Lionel\AppData\Local\{CE4E71C3-1DEF-4C98-8A56-06C0D1C48B33} folder moved successfully.
C:\Users\Lionel\AppData\Local\{D2157406-359F-46DB-8192-DBDEE2063C1F} folder moved successfully.
C:\Users\Lionel\AppData\Local\{D8CF6876-3A12-4ACF-8C34-8631DE312119} folder moved successfully.
C:\Users\Lionel\AppData\Local\{E0A0DD83-6D3F-4A9A-8C00-7FE4DB3B69B6} folder moved successfully.
File\Folder C:\Program Files\Vuze_Remote\prxtbVuze.dll not found.
File\Folder C:\Windows\lö¸ not found.
File\Folder C:\Windows\assembly	mp\0CUS4V1O not found.
File\Folder C:\Windows\assembly	mp\1C18B5KX not found.
File\Folder C:\Windows\assembly	mp\9KNFDP5L not found.
File\Folder C:\Windows\assembly	mp\CCF93B48 not found.
File\Folder C:\Windows\assembly	mp\HWDAZGAJ not found.
========== COMMANDS ==========

 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Lionel
->Temp folder emptied: 26593952 bytes
->Temporary Internet Files folder emptied: 617887521 bytes
->Java cache emptied: 3342722 bytes
->FireFox cache emptied: 133475870 bytes
->Apple Safari cache emptied: 179393536 bytes
->Flash cache emptied: 18958821 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 337806 bytes
RecycleBin emptied: 160966 bytes
 
Total Files Cleaned = 935,00 mb
 
 
OTL by OldTimer - Version 3.2.39.2 log created on 03252012_234023

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
Process msnmsgr.exe killed successfully!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry value HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Internet Explorer\URLSearchHooks\{ba14329e-9550-4989-b3f2-9732e92d17cc} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ not found.
Registry key HKEY_USERS\S-1-5-21-3029963093-4268310152-2281270035-1001\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
C:\Users\Lionel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task deleted successfully.
========== FILES ==========
C:\Users\Lionel\AppData\Local\{28A6E368-3122-4C41-AA73-693A71B3FAB1} folder moved successfully.
C:\Users\Lionel\AppData\Local\{32B49927-975A-47A4-A09F-058D86673C6D} folder moved successfully.
C:\Users\Lionel\AppData\Local\{342DD4EE-E3B8-4C88-B86E-E461FEF7ECB3} folder moved successfully.
C:\Users\Lionel\AppData\Local\{4146547B-69AA-4E28-85E2-DF2F7549E7AF} folder moved successfully.
C:\Users\Lionel\AppData\Local\{440C379B-68F3-4F35-B673-F3CE0F0AD516} folder moved successfully.
C:\Users\Lionel\AppData\Local\{49FFC9DD-2454-42F8-9617-A4EBF9D40DAD} folder moved successfully.
C:\Users\Lionel\AppData\Local\{50A6601A-DE23-434D-AF5F-C639E8D282CA} folder moved successfully.
C:\Users\Lionel\AppData\Local\{8206F185-19E8-42C8-A1A4-1E51E87A280A} folder moved successfully.
C:\Users\Lionel\AppData\Local\{90B8D34E-B61B-4123-8A5D-9E04A81A7A21} folder moved successfully.
C:\Users\Lionel\AppData\Local\{9AC82325-3293-4827-AF47-B6A80999A792} folder moved successfully.
C:\Users\Lionel\AppData\Local\{A8111241-DE0E-4A73-85FB-5C0FCF7FEBD9} folder moved successfully.
C:\Users\Lionel\AppData\Local\{CD541990-F967-4D84-965A-65CC622BC305} folder moved successfully.
C:\Users\Lionel\AppData\Local\{CE4E71C3-1DEF-4C98-8A56-06C0D1C48B33} folder moved successfully.
C:\Users\Lionel\AppData\Local\{D2157406-359F-46DB-8192-DBDEE2063C1F} folder moved successfully.
C:\Users\Lionel\AppData\Local\{D8CF6876-3A12-4ACF-8C34-8631DE312119} folder moved successfully.
C:\Users\Lionel\AppData\Local\{E0A0DD83-6D3F-4A9A-8C00-7FE4DB3B69B6} folder moved successfully.
File\Folder C:\Program Files\Vuze_Remote\prxtbVuze.dll not found.
File\Folder C:\Windows\lö¸ not found.
File\Folder C:\Windows\assembly	mp\0CUS4V1O not found.
File\Folder C:\Windows\assembly	mp\1C18B5KX not found.
File\Folder C:\Windows\assembly	mp\9KNFDP5L not found.
File\Folder C:\Windows\assembly	mp\CCF93B48 not found.
File\Folder C:\Windows\assembly	mp\HWDAZGAJ not found.
========== COMMANDS ==========

 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Lionel
->Temp folder emptied: 26593952 bytes
->Temporary Internet Files folder emptied: 617887521 bytes
->Java cache emptied: 3342722 bytes
->FireFox cache emptied: 133475870 bytes
->Apple Safari cache emptied: 179393536 bytes
->Flash cache emptied: 18958821 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 337806 bytes
RecycleBin emptied: 160966 bytes
 
Total Files Cleaned = 935,00 mb
 
 
OTL by OldTimer - Version 3.2.39.2 log created on 03252012_234023

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Rogue - MalwareBytes

52 réponses

Discussions similaires

Newsletters