Systeme check

Fermé
cangadonis - Modifié par cangadonis le 28/03/2012 à 23:59
 Utilisateur anonyme - 31 mars 2012 à 19:52
Bonjour,
J'ai aussi été infecté par le virus systeme check.
J'ai lancé roguekiller(2)
j'ai scanné
j'ai supprimé les fichiers
Mais tout n'est pas rentré dans l'ordre.
Je dispose du rapport, mais je ne sais pas quoi faire maintenant.
Je le poste à tout hasard.

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Sahra [Droits d'admin]
Mode: Recherche -- Date: 28/03/2012 23:32:59

¤¤¤ Processus malicieux: 3 ¤¤¤
[WINDOW : System Check] GlzATQi8ehSWHn.exe -- C:\ProgramData\GlzATQi8ehSWHn.exe -> KILLED [TermProc]
[SUSP PATH] kOVWhuUpjWR.exe -- C:\ProgramData\kOVWhuUpjWR.exe -> KILLED [TermProc]
[SUSP PATH] GlzATQi8ehSWHn.exe -- C:\ProgramData\GlzATQi8ehSWHn.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545032B9A300 ATA Device +++++
--- User ---
[MBR] 457a28f7c718eec9374c3206cbd2e666
[BSP] f33c9ded50e86202ec7340f89466f0c3 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 152622 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 313391104 | Size: 152222 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt





Merci de votre aide
Cangadonis



A voir également:

13 réponses

Utilisateur anonyme
29 mars 2012 à 02:45
salut

telecharge et enregistre Pre_Scan sur ton bureau :

http://www.crdfcloud.fr/gen-hackman_toolspublic/Pre_Scan.exe

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://www.crdfcloud.fr/gen-hackman_toolspublic/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://www.crdfcloud.fr/gen-hackman_toolspublic/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

=============

pour faire evoluer l'outil , l'auteur a besoin du fichier reboot.txt qui se trouve dans le Dossier C:\Pre_scan

relance pre_scan , clic sur "Explore" , puis "Internet" , puis "Upload"
une page internet va s'ouvrir , clic sur Upload , puis "parcourir" , jusqu'au fichier Reboot.txt , puis envoie le fichier

ce fichier texte (que tu peux ouvrir par curiosité) , contient uniquement ce qui concerne les fichiers infectieux ou des noms de repertoires qui serviront à créer une liste blanche.
0
J'ai le rapport préscan
http://pjjoint.malekal.com/files.php?id=20120329_f11v138n11i5
Si tu peux m'aider à résoudre les problèmes qui restent...

Sinon, je n'ai pas réussi à trouver le reboot.txt: j'ai bien relancé préscan
appuyé sur explore, puis internet (mon anti virus a voulu bloquer mais j'ai désactivé)
puis sur Upload. Mais là, il n'y avait que ces indications.

folder
/Uploads/
UP
No file
HttpFileServer 2.2f
Servertime: 29/03/2012 17:05:58
Uptime: 21:33:23
Build-time: 0,001

Alors j'ai recliqué sur upload, et là, je peux aller sur parcourir,mais je ne sais pas où trouver ce fichier reboot.txt.
Sinon, j'ai "no file express in progress"
Est-ce que ça veut dire que je n'ai plus rien ?
Si tu peux me donner plus d'infos
Merci
0
le fichier reboot.txt est dans le dossier Pre_scan dans ton disque C:\

desinstalle RegistryBooster c est un fracasse systeme ce truc
desinstalle Windows searchqu toolbar
desinstalle tout Java
mozilla à mettre à jour
0
Utilisateur anonyme
29 mars 2012 à 17:56
suite du precedent

desinstalle sweetIM
desinstalle Adobe reader 9
desinstalle iMesh
desinstalle Bandoo
desinstalle Ask.com

supprime les installeurs dans ton dossier telechargements de :

spyhunter c'est un rogue
RegistryBooster pas mieux

====================

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
""=-
"SweetIM"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{28387537-e3f9-4ed7-860c-11e69af4a8a0}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{21785288-4048-450B-A9A0-6A89E579A99A}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4F324C79-42BD-4D50-8318-C409024FC68A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}]
[-HKCU\Software\Datamngr]
[-HKCU\Software\iMesh]
[-HKCU\Software\SweetIM]
[-HKLM\Software\Bandoo]
[-HKLM\Software\iMesh]
[-HKLM\Software\SweetIM]

FF::
user_pref("browser.startup.homepage", "http://search.imesh.net/");
user_pref("sweetim.toolbar.previous.browser.startup.homepage", "http://www.searchnu.com/");
user_pref("browser.search.order.1", "Searchqu Web Search");
user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "Searchqu Web Search");
user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "Searchqu Web Search");
user_pref("network.proxy.type", 0);

file::
C:\Users\Sahra\AppData\Local\Temp\Low\K2EUUZAR.htm

folder::
C:\PROGRA~2\IMESHA~1
C:\PROGRA~2\WIA6EB~1
C:\Program Files (x86)\Bandoo
C:\Users\Sahra\AppData\Roaming\Mozilla\Firefox\Profiles\bb858aqs.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iMesh
C:\Users\Sahra\AppData\Roaming\Bandoo
C:\ProgramData\3A21F
C:\ProgramData\iMesh
C:\ProgramData\SweetIM
C:\Users\Sahra\AppData\Local\iMesh
C:\Program Files (x86)\Ask.com
C:\Program Files (x86)\iMesh Applications
C:\Program Files (x86)\SweetIM
C:\Program Files (x86)\Windows Searchqu Toolbar

txt::
C:\Windows\System32\Tasks\{68352855-8FAF-4A60-8CF3-2EA1A49EE942}
C:\Windows\System32\Tasks\{A1170EC1-24D3-4340-BA74-E51579173F1E}
C:\Windows\System32\Tasks\{A6CA0E5E-319E-4CFB-AF24-BD8945FC6D94}

Mbr::

clean::

Reboot::

___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
Salut
Alors je n'ai pas réussi à désinstaller Ask. com (pas trouvé, mais je vois dans le rapport qu'il est supprimé !!)
Je n'ai pas pu mettre à jour mozilla (je ne pouvais que le désinstaller)
Mais j'ai le rapport pre_script.txt

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.326 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Windows 7 Home Premium (64 bits) Service Pack 1

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
search:: | Tray:: | FF::

Script : 09:00:04

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Firefox

bb858aqs.default : ligne supprimée : user_pref("browser.startup.homepage", "http://search.imesh.com/");
bb858aqs.default : ligne supprimée : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "http://www.searchqu.com");
bb858aqs.default : ligne supprimée : user_pref("browser.search.order.1", "Searchqu Web Search");
bb858aqs.default : ligne supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "Searchqu Web Search");
bb858aqs.default : ligne supprimée : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "Searchqu Web Search");
bb858aqs.default : ligne supprimée : user_pref("network.proxy.type", 0);

¤

Modification du registre effectuée

¤

Supprimé : C:\Users\Sahra\AppData\Local\Temp\Low\K2EUUZAR.htm

¤

¤¤¤¤¤¤¤¤¤¤ | Edition de : C:\Windows\System32\Tasks\{68352855-8FAF-4A60-8CF3-2EA1A49EE942}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\system32\pcalua.exe</Command>
<Arguments>-a E:\autorun.exe -d E:\</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Sahra-TOSHIBA\Sahra</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>
¤¤¤¤¤¤¤¤¤¤ | Edition de : C:\Windows\System32\Tasks\{A1170EC1-24D3-4340-BA74-E51579173F1E}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Program Files (x86)\Hasbro Interactive\Monopoly\Monopoly.exe</Command>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Sahra-TOSHIBA\Sahra</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>
¤¤¤¤¤¤¤¤¤¤ | Edition de : C:\Windows\System32\Tasks\{A6CA0E5E-319E-4CFB-AF24-BD8945FC6D94}

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<RegistrationTrigger>
<Enabled>true</Enabled>
</RegistrationTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Program Files (x86)\Hasbro Interactive\Monopoly\Monopoly.exe</Command>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Sahra-TOSHIBA\Sahra</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>

¤

Absent : C:\PROGRA~2\IMESHA~1
Supprimé : C:\PROGRA~2\WIA6EB~1
Absent : C:\Program Files (x86)\Bandoo
Supprimé : C:\Users\Sahra\AppData\Roaming\Mozilla\Firefox\Profiles\bb858aqs.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
Absent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iMesh
Supprimé : C:\Users\Sahra\AppData\Roaming\Bandoo
Supprimé : C:\ProgramData\3A21F
Absent : C:\ProgramData\iMesh
Absent : C:\ProgramData\SweetIM
Supprimé : C:\Users\Sahra\AppData\Local\iMesh
Supprimé : C:\Program Files (x86)\Ask.com
Absent : C:\Program Files (x86)\iMesh Applications
Absent : C:\Program Files (x86)\SweetIM
Absent : C:\Program Files (x86)\Windows Searchqu Toolbar

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows 7 Home Premium Edition
Windows Information: Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer: TOSHIBA
BIOS Manufacturer: TOSHIBA
System Manufacturer: TOSHIBA
System Product Name: Satellite L450D
Logical Drives Mask: 0x0000001c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 09:01:57

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

S'il faut le dossier reeboot.txt
Je peux refaire un pre scan si besoin
Merci de ton aide
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
30 mars 2012 à 09:47
Télécharge Sur cette page : AdwCleaner (de Xplode)

▶ clique sur Télécharger et enregistre le fichier sur ton Bureau

▶ Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation

==================================

▶▶▶ Sous Vista et Windows 7 /!\ :

il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

==================================

Sur le menu principal :

▶ clique sur Suppression et patiente le temps de l'analyse

▶ poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
0
Le rapport

# AdwCleaner v1.503 - Rapport créé le 30/03/2012 à 10:49:35
# Mis à jour le 24/03/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Sahra - SAHRA-TOSHIBA
# Exécuté depuis : C:\Users\Sahra\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Sahra\AppData\LocalLow\Bandoo
Dossier Supprimé : C:\Users\Sahra\AppData\LocalLow\searchquband
Dossier Supprimé : C:\Users\Sahra\AppData\Local\Temp\AskSearch
Dossier Supprimé : C:\Users\Sahra\AppData\Roaming\Mozilla\FireFox\Profiles\bb858aqs.default\SweetIMToolbarData
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\SearchResults.xml
Fichier Supprimé : C:\Users\Sahra\AppData\Roaming\Mozilla\FireFox\Profiles\bb858aqs.default\searchplugins\SearchResults.xml
Fichier Supprimé : C:\Users\Sahra\AppData\Roaming\Mozilla\FireFox\Profiles\bb858aqs.default\searchplugins\SweetIm.xml

***** [H. Navipromo] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKCU\Software\AppDataLow\Software\searchqutoolbar
Clé Supprimée : HKLM\SOFTWARE\bandoo
Clé Supprimée : HKLM\SOFTWARE\SweetIM
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.BandooCore
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.BandooCore.1
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.ResourcesMngr
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.ResourcesMngr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.SettingsMngr
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.SettingsMngr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.StatisticMngr
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.StatisticMngr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BandooCore.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{28387537-e3f9-4ed7-860c-11e69af4a8a0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
Clé Supprimée : HKLM\SOFTWARE\Google\chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{28387537-e3f9-4ed7-860c-11e69af4a8a0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{28387537-e3f9-4ed7-860c-11e69af4a8a0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{de4e75d3-60aa-4f02-a0e4-c8a40576574c}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{28387537-e3f9-4ed7-860c-11e69af4a8a0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6087829B-114F-42A1-A72B-B4AEDCEA4E5B}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079a25-328f-4bd4-be04-00955acaa0a7}]
Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]

***** [Registre (x64)] *****

Clé Supprimée : HKLM\SOFTWARE\Software
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{eee6c358-6118-11dc-9c72-001320c79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{eee6c35a-6118-11dc-9c72-001320c79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v9.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\Sahra\AppData\Roaming\Mozilla\FireFox\Profiles\bb858aqs.default\prefs.js

Supprimée : user_pref("browser.search.defaultenginename", "SweetIM Search");
Supprimée : user_pref("browser.search.order.1", "Searchqu Web Search");
Supprimée : user_pref("browser.search.selectedEngine", "SweetIM Search");
Supprimée : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
Supprimée : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
Supprimée : user_pref("sweetim.toolbar.mode.debug", "false");
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaulturl", "");
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "Searchqu Web Search");
Supprimée : user_pref("sweetim.toolbar.previous.keyword.URL", "");
Supprimée : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...]
Supprimée : user_pref("sweetim.toolbar.search.history.capacity", "10");
Supprimée : user_pref("sweetim.toolbar.searchguard.enable", "true");
Supprimée : user_pref("sweetim.toolbar.simapp_id", "{EEA7D0FB-F716-11E0-A2DD-705AB682911D}");
Supprimée : user_pref("sweetim.toolbar.urls.homepage", "hxxp://home.sweetim.com");
Supprimée : user_pref("sweetim.toolbar.version", "1.3.0.1");

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Sahra\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée : "keyword": "search.sweetim.com",
Supprimée : "name": "SweetIM Search",
Supprimée : "search_url": "hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={EEA7D0FB-F716[...]
Supprimée : "homepage": "hxxp://home.sweetim.com/?barid={EEA7D0FB-F716-11E0-A2DD-705AB682911D}",

*************************

AdwCleaner[S1].txt - [8213 octets] - [30/03/2012 10:49:35]

########## EOF - C:\AdwCleaner[S1].txt - [8341 octets] ##########
0
Utilisateur anonyme
30 mars 2012 à 16:52
▶ Télécharge Malwarebytes' Anti-Malware (MBAM).

Malwarebytes : clique pour la version FREE

ou : lien mirroir

▶ enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

▶ Installe-le puis configure-le comme ceci :

Configuration

si tu n'as rien modifié fais directement quitter sinon enregistrer

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

▶▶▶ Ce logiciel gratuit est à garder.

===================================================

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM

▶ Exécute le fichier après l'installation de MBAM

===================================================

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
▶ Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
▶ Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.

▶ Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc : ▶ fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : ▶ clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.
0
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.30.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Sahra :: SAHRA-TOSHIBA [administrateur]

Protection: Activé

30/03/2012 18:10:08
mbam-log-2012-03-30 (18-10-08).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 354272
Temps écoulé: 2 heure(s), 45 minute(s), 26 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{de4e75d3-60aa-4f02-a0e4-c8a40576574c} (PUP.FCTPlugin) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Utilisateur anonyme
30 mars 2012 à 21:12
quels problemes reste-t-il à declarer ?
0
Je crois que tout est rentré dans l'ordre.
Juste des dossiers vides à supprimer mais que je peux retrouver dans les programmes.
Merci pour tout
0
Utilisateur anonyme
30 mars 2012 à 21:59
bon finis avec ce grand menage

========

https://gen-hackman.kanak.fr/
0
Finalement, j'ai 3 rapports
1
WhyIGotInfected v1.5.2(by Tigzy)
********************************

Run : 31/03/2012 19:37:45 [Normal Mode]
Machine : SAHRA-TOSHIBA (1 CPUs) [Sahra : ADMIN]
OS: Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (x64)

~~ Plugins check: ~~

XXXXXXXX [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : ERREUR
XXXXXXXX [Firefox (x86)] Current : 9.0.1 -- Latest : ERREUR
XXXXXXXX [Internet Explorer] Current : 9.0.8112.16421 -- Latest : ERREUR
XXXXXXXX [Internet Explorer (x86)] Current : 9.0.8112.16421 -- Latest : ERREUR
XXXXXXXX [Adobe Reader (x86)] Current : 10 -- Latest : ERREUR
XXXXXXXX [Adobe Flash (x86)] Current : 10.3.183.10 -- Latest : ERREUR
XXXXXXXX [Adobe Flash ActiveX (x86)] Current : 10.3.183.10 -- Latest : ERREUR


Finished
<C:\Users\Sahra\Desktop\WIGIReport[0].txt>
WIGIReport[0].txt


2

WhyIGotInfected v1.5.2(by Tigzy)
********************************

Run : 31/03/2012 19:40:29 [Normal Mode]
Machine : SAHRA-TOSHIBA (1 CPUs) [Sahra : ADMIN]
OS: Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (x64)

~~ Plugins check: ~~

UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
OUTDATED [Firefox (x86)] Current : 9.0.1 -- Latest : 11.0
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Internet Explorer (x86)] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Adobe Reader (x86)] Current : 10 -- Latest : 10
OUTDATED [Adobe Flash (x86)] Current : 10.3.183.10 -- Latest : 11.2.202.228
OUTDATED [Adobe Flash ActiveX (x86)] Current : 10.3.183.10 -- Latest : 11.2.202.228


Finished
<C:\Users\Sahra\Desktop\WIGIReport[1].txt>
WIGIReport[0].txt ; WIGIReport[1].txt


3

WhyIGotInfected v1.5.2(by Tigzy)
********************************

Run : 31/03/2012 19:47:03 [Normal Mode]
Machine : SAHRA-TOSHIBA (1 CPUs) [Sahra : ADMIN]
OS: Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (x64)

~~ Plugins check: ~~

UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
OUTDATED [Firefox (x86)] Current : 9.0.1 -- Latest : 11.0
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Internet Explorer (x86)] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Adobe Reader (x86)] Current : 10 -- Latest : 10
OUTDATED [Adobe Flash (x86)] Current : 10.3.183.10 -- Latest : 11.2.202.228
OUTDATED [Adobe Flash ActiveX (x86)] Current : 10.3.183.10 -- Latest : 11.2.202.228


Finished
<C:\Users\Sahra\Desktop\WIGIReport[2].txt>
WIGIReport[0].txt ; WIGIReport[1].txt ; WIGIReport[2].txt
0
Utilisateur anonyme
31 mars 2012 à 19:52
faut mettre à jour ca :

OUTDATED [Firefox (x86)] Current : 9.0.1 -- Latest : 11.0

ca :

OUTDATED [Adobe Flash (x86)] Current : 10.3.183.10 -- Latest : 11.2.202.228

et ca :

OUTDATED [Adobe Flash ActiveX (x86)] Current : 10.3.183.10 -- Latest : 11.2.202.228
0