TrojanDownloader.Mebload.AR impossible a supp Résolu/Fermé

Question

Bonjour, 
Alors voila récemment j'ai remarqué que firefox  avait de gros bug sur mon pc je ramais sur des site d'fois il se fermais tout seul etc... donc j'ai fait des analyse a l'aide de l'anti virus eset NOD32 (64bits).

J'ai analysé mon disque C: , Mon disque de stockage E: et ma mémoire vive .
il s'avérère que mon anti viurs ai détecter un virus venant de ma mémoire vive mais il ne peut pas le nettoyer :

"Mémoire vive = firefox.exe(5508) - une variante probable de Win32/TrojanDownloader.Mebload.AR cheval de troie - impossible de nettoyer"
donc j'aimerais de l'aide pour pouvoir supprimer ce Trojan qui est vraiment insupportable quand on navigue sur internet :S plz aidez moi.

Merci de votre compréhension .

Bobzimer. 

Configuration: Windows 7 / Firefox 12.0

Fish66 · Answer

Salut,

1/
Télécharge AdwCleaner (merci à Xplode) 
Lance AdwCleaner
Clique sur le bouton [ Suppression ] 
Patiente... 
Poste le rapport qui apparait en fin de recherche. 
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

2/Ensuite

/!\ ATTENTION : cette analyse peut durer quelques heures /!\

* Télécharge MBAM et installe le selon l'emplacement par défaut  
https://www.malwarebytes.com/mwb-download/ 
* Lance Malwarebytes' Anti-Malware  
* Fais la mise à jour  
* Clique dans l'onglet  "Recherche"  
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"  

A la fin de l'analyse, si MBAM n'a rien trouvé :  

* Clique sur OK, le rapport s'ouvre spontanément  

Si des menaces ont été détectées :  

* Clique sur OK puis "Afficher les résultats"  
*Vérifie que toutes les lignes sont cochées 
* Choisis l'option "Supprimer la sélection"  
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"  
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"  

* Copie/colle le rapport dans le prochain message  


Remarque : 
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant  ce fichier puis en l'exécutant.

@+

Bobzimer · Answer

voila déjà le rapport de AdwCleaner :

"# AdwCleaner v1.607 - Rapport créé le 24/05/2012 à 11:26:38
# Mis à jour le 23/05/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : dddddddddddddddddddd - BLACKBIRD-BOBZI
# Exécuté depuis : E:\Jdownloader\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Registre - GUID] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Users\dddddddddddddddddddd\AppData\Roaming\Mozilla\Firefox\Profiles\efa12syp.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S3].txt - [830 octets] - [24/05/2012 11:26:38]

########## EOF - C:\AdwCleaner[S3].txt - [957 octets] ########## "

je suis actuellement entrain de faire l'analyse à l'aide du logiciel que tu m'as recommander ( Malwarebytes' Anti-Malware )
dés que l'analyse termine j'envoie aussitôt le rapport je te remercie de ton aide ^^.

Bobzimer · Answer

Voila analyse terminé voici le rapport de Malwarebytes' Anti-Malware :

Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.24.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
dddddddddddddddddddd :: BLACKBIRD-BOBZI [administrateur]

Protection: Activé

24/05/2012 11:33:58
mbam-log-2012-05-24 (12-02-50).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 413999
Temps écoulé: 27 minute(s), 34 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 5
HKCR\CLSID\{312BFDCE-A901-4203-B4F2-ADCB957D1887} (Heuristics.Shuriken) -> Aucune action effectuée.
HKCU\SOFTWARE\ICS5R7Y0OS (Trojan.FakeAlert.SA) -> Aucune action effectuée.
HKCU\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Aucune action effectuée.
HKCU\Software\R8388QA8U8 (Malware.Trace) -> Aucune action effectuée.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\ProgramData\TheBflix (PUP.BFlix) -> Aucune action effectuée.

Fichier(s) détecté(s): 10
C:\ProgramData\Windows\msseedir.dll (Heuristics.Shuriken) -> Aucune action effectuée.
C:\Users\dddddddddddddddddddd\AppData\Local\Temp\FNMD\FM\1.5.11.16\FM4ie.exe (PUP.FunMoods) -> Aucune action effectuée.
C:\Users\dddddddddddddddddddd\AppData\Roaming\addons.dat (Bifrose.Trace) -> Aucune action effectuée.
C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Aucune action effectuée.
C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job (Trojan.Downloader) -> Aucune action effectuée.
C:\ProgramData\TheBflix\background.html (PUP.BFlix) -> Aucune action effectuée.
C:\ProgramData\TheBflix\bhoclass.dll (PUP.BFlix) -> Aucune action effectuée.
C:\ProgramData\TheBflix\content.js (PUP.BFlix) -> Aucune action effectuée.
C:\ProgramData\TheBflix\joifgdlkhokekeaenpkaehbnjhncglbh.crx (PUP.BFlix) -> Aucune action effectuée.
C:\ProgramData\TheBflix\settings.ini (PUP.BFlix) -> Aucune action effectuée.

(fin)

Fish66 · Answer

Re,  
Tu m'envois alors les deux rapport : mbam et AdwCleaner[S1].txt, il se trouve ici : C:\ AdwCleaner[S1].Txt, tu as fait passer Adwcleaner 3 fois :-)

@+  
_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Bobzimer · Answer

oui je l'ai fait passé 2 fois ce matin en suivant un autre  tuto pis je l'ai repassé en suivant ton tuto donc le S3 corespond a ton tuto mais je t'envoie quanbd meme le S1 

AdwCleaner[R1] :

# AdwCleaner v1.607 - Rapport créé le 24/05/2012 à 08:09:12
# Mis à jour le 23/05/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : dddddddddddddddddddd - BLACKBIRD-BOBZI
# Exécuté depuis : E:\Jdownloader\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\dddddddddddddddddddd\AppData\Local\OpenCandy
Dossier Présent : C:\Users\dddddddddddddddddddd\AppData\Roaming\OpenCandy
Fichier Présent : C:\Program Files (x86)\Mozilla Firefox\searchplugins\fcmdSrch.xml

***** [Registre] *****

Clé Présente : HKCU\Software\Conduit
Clé Présente : HKCU\Software\Funmoods
Clé Présente : HKCU\Software\Incredibar.com
Clé Présente : HKLM\SOFTWARE\Conduit
Clé Présente : HKLM\SOFTWARE\Funmoods
Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane
Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Clé Présente : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc
Clé Présente : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc.1
Clé Présente : HKLM\SOFTWARE\Classes\f
Clé Présente : HKLM\SOFTWARE\Classes\funmoods.dskBnd
Clé Présente : HKLM\SOFTWARE\Classes\funmoods.dskBnd.1
Clé Présente : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr
Clé Présente : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr.1
Clé Présente : HKLM\SOFTWARE\Classes\funmoodsApp.appCore
Clé Présente : HKLM\SOFTWARE\Classes\funmoodsApp.appCore.1
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\funmoods
[x64] Clé Présente : HKCU\Software\Conduit
[x64] Clé Présente : HKCU\Software\Funmoods
[x64] Clé Présente : HKCU\Software\Incredibar.com
[x64] Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane
[x64] Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc
[x64] Clé Présente : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\f
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoods.dskBnd
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoods.dskBnd.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoodsApp.appCore
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoodsApp.appCore.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\esrv.EXE

***** [Registre - GUID] *****

Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{965B9DBE-B104-44AC-950A-8A5F97AFF439}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A9DB719C-7156-415E-B49D-BAD039DE4F13}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{23C70BCA-6E23-4A65-AD2E-1389062074F1}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{23D8EEF7-0E13-4000-B9C4-6603C1E912D1}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{295CACB4-51F5-46FD-914E-C72BAAE1B672}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{2CE5C4B9-6DBE-4528-96FA-C9FF38EF1762}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{34C1FDF7-02C1-4F23-B393-F48B16E071D1}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{54291324-7A3D-4F11-B707-3FB6A2C97BD9}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{59C63F11-D4E5-46E7-9B8A-EE158DCA83A8}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{5DA22CBD-0029-4A09-B757-CF0FAFC488ED}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{77A6E7D4-4A83-4A9B-A2A0-EF3B125DC29D}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C0585B2F-74D7-4734-88DE-6C150C5D4036}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{D8242E89-2F81-484A-AE5B-BA8CAD5B7347}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EF0588D6-1621-4A75-B8BE-F4BC34794136}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}]
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{23C70BCA-6E23-4A65-AD2E-1389062074F1}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{23D8EEF7-0E13-4000-B9C4-6603C1E912D1}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{295CACB4-51F5-46FD-914E-C72BAAE1B672}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{2CE5C4B9-6DBE-4528-96FA-C9FF38EF1762}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{34C1FDF7-02C1-4F23-B393-F48B16E071D1}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{54291324-7A3D-4F11-B707-3FB6A2C97BD9}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{59C63F11-D4E5-46E7-9B8A-EE158DCA83A8}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{5DA22CBD-0029-4A09-B757-CF0FAFC488ED}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{77A6E7D4-4A83-4A9B-A2A0-EF3B125DC29D}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C0585B2F-74D7-4734-88DE-6C150C5D4036}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{D8242E89-2F81-484A-AE5B-BA8CAD5B7347}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EF0588D6-1621-4A75-B8BE-F4BC34794136}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
[x64] Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.funmoods.com/?f=1&a=ddrnw
[HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://start.funmoods.com/?f=2&a=ddrnw
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Users\dddddddddddddddddddd\AppData\Roaming\Mozilla\Firefox\Profiles\efa12syp.default\prefs.js

Présente : user_pref("extensions.3499ur3ur4hfsudfs.scode", "
(function(){var bdomains={\"search.babylon.com\":[...]
Présente : user_pref("extensions.ffxtlbr@funmoods.com.install-event-fired", true);
Présente : user_pref("extensions.funmoods_i.aflt", "ddrnw");
Présente : user_pref("extensions.funmoods_i.dfltLng", "");
Présente : user_pref("extensions.funmoods_i.dfltSrch", true);
Présente : user_pref("extensions.funmoods_i.dnsErr", true);
Présente : user_pref("extensions.funmoods_i.excTlbr", false);
Présente : user_pref("extensions.funmoods_i.hmpg", true);
Présente : user_pref("extensions.funmoods_i.hmpgUrl", "hxxp://start.funmoods.com/?f=1&a=ddrnw");
Présente : user_pref("extensions.funmoods_i.id", "42ef2628000000000000c43dc7d536a5");
Présente : user_pref("extensions.funmoods_i.instlDay", "15476");
Présente : user_pref("extensions.funmoods_i.instlRef", "");
Présente : user_pref("extensions.funmoods_i.newTab", true);
Présente : user_pref("extensions.funmoods_i.newTabUrl", "hxxp://start.funmoods.com/?f=2&a=ddrnw");
Présente : user_pref("extensions.funmoods_i.prdct", "funmoods");
Présente : user_pref("extensions.funmoods_i.prtnrId", "funmoods");
Présente : user_pref("extensions.funmoods_i.smplGrp", "none");
Présente : user_pref("extensions.funmoods_i.srchPrvdr", "Search");
Présente : user_pref("extensions.funmoods_i.tlbrId", "base");
Présente : user_pref("extensions.funmoods_i.tlbrSrchUrl", "hxxp://start.funmoods.com/results.php?f=3&a=ddrnw&q=[...]
Présente : user_pref("extensions.funmoods_i.vrsn", "1.5.11.16");
Présente : user_pref("extensions.funmoods_i.vrsnTs", "1.5.11.1617:56:58");
Présente : user_pref("extensions.funmoods_i.vrsni", "1.5.11.16");

*************************

AdwCleaner[R1].txt - [11864 octets] - [24/05/2012 08:09:12]

########## EOF - C:\AdwCleaner[R1].txt - [11993 octets] ##########

(fin)


AdwCleaner[S1] :

# AdwCleaner v1.607 - Rapport créé le 24/05/2012 à 08:09:21
# Mis à jour le 23/05/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : dddddddddddddddddddd - BLACKBIRD-BOBZI
# Exécuté depuis : E:\Jdownloader\adwcleaner.exe
# Option [Suppression]



AdwCleaner[R2] :

# AdwCleaner v1.607 - Rapport créé le 24/05/2012 à 08:10:08
# Mis à jour le 23/05/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : dddddddddddddddddddd - BLACKBIRD-BOBZI
# Exécuté depuis : E:\Jdownloader\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\dddddddddddddddddddd\AppData\Local\OpenCandy
Dossier Présent : C:\Users\dddddddddddddddddddd\AppData\Roaming\OpenCandy
Fichier Présent : C:\Program Files (x86)\Mozilla Firefox\searchplugins\fcmdSrch.xml

***** [Registre] *****

Clé Présente : HKCU\Software\Conduit
Clé Présente : HKCU\Software\Funmoods
Clé Présente : HKCU\Software\Incredibar.com
Clé Présente : HKLM\SOFTWARE\Conduit
Clé Présente : HKLM\SOFTWARE\Funmoods
Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane
Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Clé Présente : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc
Clé Présente : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc.1
Clé Présente : HKLM\SOFTWARE\Classes\f
Clé Présente : HKLM\SOFTWARE\Classes\funmoods.dskBnd
Clé Présente : HKLM\SOFTWARE\Classes\funmoods.dskBnd.1
Clé Présente : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr
Clé Présente : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr.1
Clé Présente : HKLM\SOFTWARE\Classes\funmoodsApp.appCore
Clé Présente : HKLM\SOFTWARE\Classes\funmoodsApp.appCore.1
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\funmoods
[x64] Clé Présente : HKCU\Software\Conduit
[x64] Clé Présente : HKCU\Software\Funmoods
[x64] Clé Présente : HKCU\Software\Incredibar.com
[x64] Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane
[x64] Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc
[x64] Clé Présente : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\f
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoods.dskBnd
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoods.dskBnd.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoodsApp.appCore
[x64] Clé Présente : HKLM\SOFTWARE\Classes\funmoodsApp.appCore.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\esrv.EXE

***** [Registre - GUID] *****

Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{965B9DBE-B104-44AC-950A-8A5F97AFF439}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A9DB719C-7156-415E-B49D-BAD039DE4F13}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{23C70BCA-6E23-4A65-AD2E-1389062074F1}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{23D8EEF7-0E13-4000-B9C4-6603C1E912D1}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{295CACB4-51F5-46FD-914E-C72BAAE1B672}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{2CE5C4B9-6DBE-4528-96FA-C9FF38EF1762}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{34C1FDF7-02C1-4F23-B393-F48B16E071D1}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{54291324-7A3D-4F11-B707-3FB6A2C97BD9}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{59C63F11-D4E5-46E7-9B8A-EE158DCA83A8}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{5DA22CBD-0029-4A09-B757-CF0FAFC488ED}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{77A6E7D4-4A83-4A9B-A2A0-EF3B125DC29D}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C0585B2F-74D7-4734-88DE-6C150C5D4036}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{D8242E89-2F81-484A-AE5B-BA8CAD5B7347}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EF0588D6-1621-4A75-B8BE-F4BC34794136}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}]
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{23C70BCA-6E23-4A65-AD2E-1389062074F1}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{23D8EEF7-0E13-4000-B9C4-6603C1E912D1}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{295CACB4-51F5-46FD-914E-C72BAAE1B672}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{2CE5C4B9-6DBE-4528-96FA-C9FF38EF1762}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{34C1FDF7-02C1-4F23-B393-F48B16E071D1}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{54291324-7A3D-4F11-B707-3FB6A2C97BD9}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{59C63F11-D4E5-46E7-9B8A-EE158DCA83A8}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{5DA22CBD-0029-4A09-B757-CF0FAFC488ED}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{77A6E7D4-4A83-4A9B-A2A0-EF3B125DC29D}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C0585B2F-74D7-4734-88DE-6C150C5D4036}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{D8242E89-2F81-484A-AE5B-BA8CAD5B7347}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EF0588D6-1621-4A75-B8BE-F4BC34794136}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
[x64] Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.funmoods.com/?f=1&a=ddrnw
[HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://start.funmoods.com/?f=2&a=ddrnw
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Users\dddddddddddddddddddd\AppData\Roaming\Mozilla\Firefox\Profiles\efa12syp.default\prefs.js

Présente : user_pref("extensions.3499ur3ur4hfsudfs.scode", "
(function(){var bdomains={\"search.babylon.com\":[...]
Présente : user_pref("extensions.ffxtlbr@funmoods.com.install-event-fired", true);
Présente : user_pref("extensions.funmoods_i.aflt", "ddrnw");
Présente : user_pref("extensions.funmoods_i.dfltLng", "");
Présente : user_pref("extensions.funmoods_i.dfltSrch", true);
Présente : user_pref("extensions.funmoods_i.dnsErr", true);
Présente : user_pref("extensions.funmoods_i.excTlbr", false);
Présente : user_pref("extensions.funmoods_i.hmpg", true);
Présente : user_pref("extensions.funmoods_i.hmpgUrl", "hxxp://start.funmoods.com/?f=1&a=ddrnw");
Présente : user_pref("extensions.funmoods_i.id", "42ef2628000000000000c43dc7d536a5");
Présente : user_pref("extensions.funmoods_i.instlDay", "15476");
Présente : user_pref("extensions.funmoods_i.instlRef", "");
Présente : user_pref("extensions.funmoods_i.newTab", true);
Présente : user_pref("extensions.funmoods_i.newTabUrl", "hxxp://start.funmoods.com/?f=2&a=ddrnw");
Présente : user_pref("extensions.funmoods_i.prdct", "funmoods");
Présente : user_pref("extensions.funmoods_i.prtnrId", "funmoods");
Présente : user_pref("extensions.funmoods_i.smplGrp", "none");
Présente : user_pref("extensions.funmoods_i.srchPrvdr", "Search");
Présente : user_pref("extensions.funmoods_i.tlbrId", "base");
Présente : user_pref("extensions.funmoods_i.tlbrSrchUrl", "hxxp://start.funmoods.com/results.php?f=3&a=ddrnw&q=[...]
Présente : user_pref("extensions.funmoods_i.vrsn", "1.5.11.16");
Présente : user_pref("extensions.funmoods_i.vrsnTs", "1.5.11.1617:56:58");
Présente : user_pref("extensions.funmoods_i.vrsni", "1.5.11.16");

*************************

AdwCleaner[R1].txt - [11897 octets] - [24/05/2012 08:09:12]
AdwCleaner[S1].txt - [314 octets] - [24/05/2012 08:09:21]
AdwCleaner[R2].txt - [11984 octets] - [24/05/2012 08:10:08]

########## EOF - C:\AdwCleaner[R2].txt - [12113 octets] ##########

(fin)

AdwCleaner[S2] :

# AdwCleaner v1.607 - Rapport créé le 24/05/2012 à 08:10:23
# Mis à jour le 23/05/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : dddddddddddddddddddd - BLACKBIRD-BOBZI
# Exécuté depuis : E:\Jdownloader\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\dddddddddddddddddddd\AppData\Local\OpenCandy
Dossier Supprimé : C:\Users\dddddddddddddddddddd\AppData\Roaming\OpenCandy
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\fcmdSrch.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Funmoods
Clé Supprimée : HKCU\Software\Incredibar.com
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Funmoods
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc.1
Clé Supprimée : HKLM\SOFTWARE\Classes\f
Clé Supprimée : HKLM\SOFTWARE\Classes\funmoods.dskBnd
Clé Supprimée : HKLM\SOFTWARE\Classes\funmoods.dskBnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr
Clé Supprimée : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\funmoodsApp.appCore
Clé Supprimée : HKLM\SOFTWARE\Classes\funmoodsApp.appCore.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\funmoods

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{965B9DBE-B104-44AC-950A-8A5F97AFF439}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A9DB719C-7156-415E-B49D-BAD039DE4F13}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{23C70BCA-6E23-4A65-AD2E-1389062074F1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{23D8EEF7-0E13-4000-B9C4-6603C1E912D1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{295CACB4-51F5-46FD-914E-C72BAAE1B672}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2CE5C4B9-6DBE-4528-96FA-C9FF38EF1762}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{34C1FDF7-02C1-4F23-B393-F48B16E071D1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{54291324-7A3D-4F11-B707-3FB6A2C97BD9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{59C63F11-D4E5-46E7-9B8A-EE158DCA83A8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5DA22CBD-0029-4A09-B757-CF0FAFC488ED}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{77A6E7D4-4A83-4A9B-A2A0-EF3B125DC29D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C0585B2F-74D7-4734-88DE-6C150C5D4036}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8242E89-2F81-484A-AE5B-BA8CAD5B7347}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EF0588D6-1621-4A75-B8BE-F4BC34794136}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}]
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{23C70BCA-6E23-4A65-AD2E-1389062074F1}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{23D8EEF7-0E13-4000-B9C4-6603C1E912D1}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{295CACB4-51F5-46FD-914E-C72BAAE1B672}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2CE5C4B9-6DBE-4528-96FA-C9FF38EF1762}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{34C1FDF7-02C1-4F23-B393-F48B16E071D1}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{54291324-7A3D-4F11-B707-3FB6A2C97BD9}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{59C63F11-D4E5-46E7-9B8A-EE158DCA83A8}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5DA22CBD-0029-4A09-B757-CF0FAFC488ED}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{77A6E7D4-4A83-4A9B-A2A0-EF3B125DC29D}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C0585B2F-74D7-4734-88DE-6C150C5D4036}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8242E89-2F81-484A-AE5B-BA8CAD5B7347}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EF0588D6-1621-4A75-B8BE-F4BC34794136}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.funmoods.com/?f=1&a=ddrnw --> hxxp://www.google.fr
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://start.funmoods.com/?f=2&a=ddrnw --> hxxp://www.google.fr
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 --> hxxp://www.google.fr

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Users\dddddddddddddddddddd\AppData\Roaming\Mozilla\Firefox\Profiles\efa12syp.default\prefs.js

C:\Users\dddddddddddddddddddd\AppData\Roaming\Mozilla\Firefox\Profiles\efa12syp.default\user.js ... Supprimé !

Supprimée : user_pref("extensions.3499ur3ur4hfsudfs.scode", "
(function(){var bdomains={\"search.babylon.com\":[...]
Supprimée : user_pref("extensions.ffxtlbr@funmoods.com.install-event-fired", true);
Supprimée : user_pref("extensions.funmoods_i.aflt", "ddrnw");
Supprimée : user_pref("extensions.funmoods_i.dfltLng", "");
Supprimée : user_pref("extensions.funmoods_i.dfltSrch", true);
Supprimée : user_pref("extensions.funmoods_i.dnsErr", true);
Supprimée : user_pref("extensions.funmoods_i.excTlbr", false);
Supprimée : user_pref("extensions.funmoods_i.hmpg", true);
Supprimée : user_pref("extensions.funmoods_i.hmpgUrl", "hxxp://start.funmoods.com/?f=1&a=ddrnw");
Supprimée : user_pref("extensions.funmoods_i.id", "42ef2628000000000000c43dc7d536a5");
Supprimée : user_pref("extensions.funmoods_i.instlDay", "15476");
Supprimée : user_pref("extensions.funmoods_i.instlRef", "");
Supprimée : user_pref("extensions.funmoods_i.newTab", true);
Supprimée : user_pref("extensions.funmoods_i.newTabUrl", "hxxp://start.funmoods.com/?f=2&a=ddrnw");
Supprimée : user_pref("extensions.funmoods_i.prdct", "funmoods");
Supprimée : user_pref("extensions.funmoods_i.prtnrId", "funmoods");
Supprimée : user_pref("extensions.funmoods_i.smplGrp", "none");
Supprimée : user_pref("extensions.funmoods_i.srchPrvdr", "Search");
Supprimée : user_pref("extensions.funmoods_i.tlbrId", "base");
Supprimée : user_pref("extensions.funmoods_i.tlbrSrchUrl", "hxxp://start.funmoods.com/results.php?f=3&a=ddrnw&q=[...]
Supprimée : user_pref("extensions.funmoods_i.vrsn", "1.5.11.16");
Supprimée : user_pref("extensions.funmoods_i.vrsnTs", "1.5.11.1617:56:58");
Supprimée : user_pref("extensions.funmoods_i.vrsni", "1.5.11.16");

*************************

AdwCleaner[R1].txt - [11897 octets] - [24/05/2012 08:09:12]
AdwCleaner[S1].txt - [314 octets] - [24/05/2012 08:09:21]
AdwCleaner[R2].txt - [12017 octets] - [24/05/2012 08:10:08]
AdwCleaner[S2].txt - [9577 octets] - [24/05/2012 08:10:23]

########## EOF - C:\AdwCleaner[S2].txt - [9705 octets] ##########

(fin)

AdwCleaner[S3] :

# AdwCleaner v1.607 - Rapport créé le 24/05/2012 à 11:26:38
# Mis à jour le 23/05/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : dddddddddddddddddddd - BLACKBIRD-BOBZI
# Exécuté depuis : E:\Jdownloader\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Registre - GUID] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Users\dddddddddddddddddddd\AppData\Roaming\Mozilla\Firefox\Profiles\efa12syp.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S3].txt - [830 octets] - [24/05/2012 11:26:38]

########## EOF - C:\AdwCleaner[S3].txt - [957 octets] ##########
(fin)

donc la je t'ai envoyé tout les scan avec adwcleaner S1, S2, S3, R1, R2 .

Maintenant le rapport de mbam :

mbam-log-2012-05-24 (11-33-58) 

Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.24.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
dddddddddddddddddddd :: BLACKBIRD-BOBZI [administrateur]

Protection: Activé

24/05/2012 11:33:58
mbam-log-2012-05-24 (11-33-58).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 413999
Temps écoulé: 27 minute(s), 34 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 5
HKCR\CLSID\{312BFDCE-A901-4203-B4F2-ADCB957D1887} (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\ICS5R7Y0OS (Trojan.FakeAlert.SA) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\R8388QA8U8 (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\ProgramData\TheBflix (PUP.BFlix) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 10
C:\ProgramData\Windows\msseedir.dll (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
C:\Users\dddddddddddddddddddd\AppData\Local\Temp\FNMD\FM\1.5.11.16\FM4ie.exe (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
C:\Users\dddddddddddddddddddd\AppData\Roaming\addons.dat (Bifrose.Trace) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\TheBflix\background.html (PUP.BFlix) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\TheBflix\bhoclass.dll (PUP.BFlix) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\TheBflix\content.js (PUP.BFlix) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\TheBflix\joifgdlkhokekeaenpkaehbnjhncglbh.crx (PUP.BFlix) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\TheBflix\settings.ini (PUP.BFlix) -> Mis en quarantaine et supprimé avec succès.

(fin)


je t'ais fournis tout mes rapport par peur de raté quelque chose :s dsl x) entout cas merci bcp de ton aide rapide et qui a l'air éfficase ^^.

Fish66 · Answer

Re, De rien :-), on n'a pas encore terminé... * Télécharge ZHPDiag (de Nicolas Coolman) à partir l'un des deux liens : Lien 1 ou Lien 2 * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7) * Clique sur l'icône en forme de loupe pour lancer le diagnostique * Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com * Fais copier/coller le lien fourni dans ta prochaine réponse * Aide ZHPDiag : <<< ICI >>> @+ _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _ ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Bobzimer · Answer

Voila rapport de ZHPDiag posté sur malekal.com :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120524_h8k8b10i7c15

Fish66 · Answer

Re,
1/Désinstalle : Logiciel: Skype Toolbars 

2/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified     
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\AutoKMS.job    => Infection Diverse (Trojan.Keygen)
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\AutoKMSDaily.job    => Infection Diverse (Trojan.Keygen)
[MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS.exe (.not file.)    => Infection Diverse (Trojan.Keygen)
[MD5.00000000000000000000000000000000] [APT] [AutoKMSDaily] (...) -- C:\Windows\AutoKMS.exe (.not file.)    => Infection Diverse (Trojan.Keygen)
O44 - LFC:[MD5.C826711D000C71F37D9B4EA5FA4C8F6E] - 12/05/2012 - 09:12:32 ---A- . (...) -- C:\Windows\AutoKMS.ini   [184]    => Infection Diverse (Trojan.Keygen)
[HKLM\Software\WOW6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}]    => Infection PUP (Spyware.Soft2PC)
O42 - Logiciel: Skype Toolbars - (.Skype Technologies S.A..) [HKLM] -- {CD95D125-2992-4858-B3EF-5F6FB52FBAD6}    => Toolbar.Skype
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}]    => Toolbar.Skype
[MD5.00000000000000000000000000000000] [APT] [{0DE1D229-F720-4D7E-BB74-736EB23B47BB}] (...) -- C:\Users\dddddddddddddddddddd\Downloads\Nouveau dossier\VMware-player-3.1.4-385536.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{20AC6C42-726B-4F7E-8277-6C564720E0A1}] (...) -- E:\Jdownloader\VMware-workstation-full-8.0.0-471780.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{2B360F9A-2985-4363-836A-45B56A7F4212}] (...) -- C:\Users\dddddddddddddddddddd\Desktop\VMware-player-3.1.4-385536.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{4C39745C-EC58-4E8B-B0F5-684F93C5C6AD}] (...) -- E:\Jdownloader\SETUP.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{5FB06448-3BBC-4F7D-B633-9F5945FCF0E2}] (...) -- C:\Users\dddddddddddddddddddd\Downloads\VMware-player-3.1.4-385536.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{9222E1CD-CB29-4AAF-BE1C-D4E94612A94D}] (...) -- C:\Users\dddddddddddddddddddd\Desktop\VMware-player-3.1.4-385536.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{A2AA63F3-FB24-4363-983E-71AE5241555D}] (...) -- C:\Users\dddddddddddddddddddd\Downloads\VMware-player-3.1.4-385536.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{A5C5E6A9-72F2-48A4-930C-D78C40AC548E}] (...) -- E:\Jdownloader\realplayer_realplayer_10.5_francais_9527.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C5DEA8A8-B0B9-4F3D-8938-881B2AB5012C}] (...) -- C:\Users\dddddddddddddddddddd\Downloads\VMware-player-3.1.4-385536.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{DCB552C6-17B0-4F70-8C74-19EC84B1EDC2}] (...) -- C:\Users\dddddddddddddddddddd\Downloads\install2.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{E642F78E-098B-4AE0-ABD1-6A2228A04404}] (...) -- c:\program files (x86)\mozilla firefox\firefox.exered-installed;madedefault (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\06519389.sys . (...) -- C:\Windows\System32\Drivers\06519389.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\44274033.sys . (...) -- C:\Windows\System32\Drivers\44274033.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\70747280.sys . (...) -- C:\Windows\System32\Drivers\70747280.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\06519389.sys . (...) -- C:\Windows\System32\Drivers\06519389.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\44274033.sys . (...) -- C:\Windows\System32\Drivers\44274033.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\70747280.sys . (...) -- C:\Windows\System32\Drivers\70747280.sys (.not file.)

FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

3/
* Télécharge Rsthosts 

* Lance le ainsi      
* Utilisateurs Windows XP => double clique >>sur RstHosts .exe      
* Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur RstHosts .exe .      

* Appuie sur Restaurer.      
* Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.     
* Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt)      

@+

Bobzimer · Answer

Re,

Voila le rapport de ZHPFixReport :

https://pjjoint.malekal.com/files.php?id=20120524_l12o12d15s11j9

et le rapport de Rsthosts :

https://pjjoint.malekal.com/files.php?id=20120524_d14y11j13o1014

Fish66 · Answer

Re,

Redémarre ton PC

Lance ton antivirus puis poste le rapport stp

Tiens moi au courant de l'état de ton PC! merci..

@+

Bobzimer · Answer

Re,
Pc redémarrer firefox a pas l'aire de ramé il a l'aire plus fluide tout sa tout sa puis la je viens de lancer une analyse sur tout mes disques et sur ma mémoire vives a l'aide de nod32 et pour être sur j'ai éxécuté un examen complet a l'aide de ton logiciel Malwarebytes' Anti-Malware je te poste tout sa après les analyses.

Un grand merci pour tes réponses très rapides tes tuto claire :) !
A plus ;) et encore merci

Fish66 · Answer

Re, 

C'est nécessaire de faire les scans un par un et pas tous ensemble.. 

En attendant les rpports..

@+ 

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Bobzimer · Answer

Re, 
alors voila le rapport de eset nod32 :

https://pjjoint.malekal.com/files.php?id=20120524_k9y7z8v11j11

Now je fait le scan avec Malwarebytes' Anti-Malware . :)

a+

Bobzimer · Answer

Re,
Voila le rapport de Malwarebytes' Anti-Malware :

https://pjjoint.malekal.com/files.php?id=20120524_q13m13y9m9i9

En tout cas je te remercie de ton aide je peut passé le topic en résolut ? :)

a+

Fish66 · Answer

Re,

Avant de finaliser, lance ZHPDiag depuis le bureau et prépare stp un 
dernier rapport ZHPDiag

@+

Bobzimer · Answer

Re,

Pas de problèmes ;) voila le rapport  de ZHPDiag :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120524_h10y13m11x8q11

Merci de ton aide 

A+

Fish66 · Answer

Re,

Il reste encore d'infection!

==========================
Avant d'utiliser ComboFix :  
	
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :  

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix  

* Télécharge Defogger (de jpshortstuff) sur  ton Bureau  
* Lance le  

* Une fenêtre apparait : clique sur "Disable"  

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

===================================================  

Attention, avant de commencer, lis attentivement la procédure  

******************************************************** 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »  
Voici Aide combofix 

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  
 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

*Note : Le rapport se trouve également là : C:\ComboFix.txt

@+

Bobzimer · Answer

Re,

Voila le rapport de ComboFix :

https://pjjoint.malekal.com/files.php?id=20120524_z5k5t12l8q5


( esqu'il faut que j'appuie sur  Re-enable dans defogger ?car le logiciel c'est fermer seul apres le lancement de ComboFix )

Fish66 · Answer

Re,
Lorsqu'on termine la désinfection tu appppuis sur " Re-enable"
================

Pour bien vérifier que le  fichier ci-dessous est  infecté rend toi sur ce site
Virus Total

*	Clique sur " choose  file "
*	Vas sur ton disque chercher ce fichier à cet emplacement :
	
c:\windows\vtany.sys 


*	Clique ensuite sur le bouton «  Scan it » 
*	Patiente le temps de l'analyse qui dépend de la taille du fichier
*	Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio)
*	Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse


A demain

Bonne nuit

Bobzimer · Answer

Re,

Je ne trouve pas le fichier "vtany.sys" dans :

c:\windows\vtany.sys

je ne le trouve nulle part :S .

Merci de ton aide :) 

Bonne nuit et a demain. ^^

Fish66 · Answer

Salut, =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ----------------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : * Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) * Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : * Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : __________________________________________________ KillAll:: File:: c:\windows\DEA314C409294250BC9298E4C105F28D.TMP c:\users\DDDDDD~1\AppData\Local\Temp\0058AB3.tmp c:\users\DDDDDD~1\AppData\Local\Temp\006CC6A.tmp c:\users\DDDDDD~1\AppData\Local\Temp\0089FAB.tmp Driver:: X6va005 X6va006 X6va008 __________________________________________________ * Enregistre ce fichier sous le nom CFScript * Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur : cette capture * Combofix se lance, laisse toi guider.. * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! * Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt @+

Bobzimer · Answer

Lu ! , 
Alors voila le rapport de ComboFix après la manip :

https://pjjoint.malekal.com/files.php?id=20120525_v13p12y13r138

par contre après cette manip avec comboFix  ma clef wifi ne captais plus ma freebox :) j'ai due réinstaller les logiciel de ma clef pour re capter mon wifi normal ? :X

a+

Fish66 · Answer

Re,

C'est un blocage du à Combofix qui a fait son boulot!  :-)

==============================
Lance ZHPDiag depuis le bureau puis prépare stp un nouveau rapport ZHPDiag

@+

Bobzimer · Answer

Reuh, 

Voila le rapport de ZHPDiag :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120525_b11t7b9y1014

A+ :p

Fish66 · Answer

Re,
1/
* Télécharge OTM (OldTimer) sur ton Bureau 

ICI >> OTM (OldTimer) 
* Double clic "OTMoveIt3.exe" 
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer. 

- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 



:files 
C:\Windows\AutoKMS.ini   
C:\Windows\System32\SETE2A5.tmp   
C:\Windows\System32\SETE0AE.tmp   
C:\Windows\SysNative\SETE0AE.tmp   

:Reg 
[-HKLM\Software\(ÁÖ)³ª¿ìÄÞ]
[-HKLM\Software\WOW6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}]  

:commands 
[emptytemp] 




- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved. 
- Clique maintenant sur le bouton MoveIt! 
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

2/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[MD5.00000000000000000000000000000000] [APT] [{0DE1D229-F720-4D7E-BB74-736EB23B47BB}] (...) -- C:\Users\dddddddddddddddddddd\Downloads\Nouveau dossier\VMware-player-3.1.4-385536.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{20AC6C42-726B-4F7E-8277-6C564720E0A1}] (...) -- E:\Jdownloader\VMware-workstation-full-8.0.0-471780.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{4C39745C-EC58-4E8B-B0F5-684F93C5C6AD}] (...) -- E:\Jdownloader\SETUP.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{A2AA63F3-FB24-4363-983E-71AE5241555D}] (...) -- C:\Users\dddddddddddddddddddd\Downloads\VMware-player-3.1.4-385536.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{A5C5E6A9-72F2-48A4-930C-D78C40AC548E}] (...) -- E:\Jdownloader\realplayer_realplayer_10.5_francais_9527.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{DCB552C6-17B0-4F70-8C74-19EC84B1EDC2}] (...) -- C:\Users\dddddddddddddddddddd\Downloads\install2.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{E642F78E-098B-4AE0-ABD1-6A2228A04404}] (...) -- c:\program files (x86)\mozilla firefox\firefox.exered-installed;madedefault (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{632EA395-4CEE-47A7-ABA9-9BC1D9045EF4}] (...) -- E:\SETUP.exe (.not file.)    => Existe aussi en malware DELF-CA.Troj
[MD5.00000000000000000000000000000000] [APT] [{E941CF46-EBA2-4B5D-9B27-8C4E2D7D2E7D}] (...) -- D:\SETUP.exe (.not file.)    => Existe aussi en malware DELF-CA.Troj
[MD5.00000000000000000000000000000000] [APT] [{F6DA5CB3-2CAE-4A58-9CFF-EEDB7E9CD5FB}] (...) -- D:\start.exe (.not file.)




Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

@+

Bobzimer · Answer

Re !,

Voila le rapport de OTMoveIt3  :

https://pjjoint.malekal.com/files.php?id=20120525_c6d8c7q11m12

Voila le rapport de ZHPFix :

https://pjjoint.malekal.com/files.php?id=20120525_s5f13n13k10l5

Et parcontre c'est normal quand maintenant jouvre mon disque de stockage interne je voie les dossiers : $RECYCLE.BIN et MSOCacheque avant je ne voyais pas ? :x

Merci et a plus :)

Fish66 · Answer

Re,
* Tu peux lire Peut-on supprimer le dossier MSOcache ?

* Tu peux supprimer les dossiers : $RECYCLE.BIN 

@+

Bobzimer · Answer

Re,

Et merci a toi Fish66 et tes tuto je te remerci de m'avoir aider a dé-infecter le pc :D je peut passé en résolu ? :3 ou il y a d'autre chose a faire ? 

Merci  et A+

Fish66 · Answer

Re,

De rien  :-)

Pour finir :


 Updatechecker :
Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour   
Tu peux l'utiliser une fois par semaine           
=========================================== 
**Nettoyage 

Suppression des outils de désinfections:
* Télécharge  Delfix   sur ton bureau.          
* Lance le, tape suppression puis valide          
* Patiente pendant le scan jusqu'à l'ouverture du rapport.          
* Copie/Colle le contenu du rapport dans ta prochaine réponse.          
Note : Le rapport se trouve également sous C:\DelFix.txt          
* Tu peux le desinstaller          

===========================================         
<code>Défragmentation : :
Défragmente tes disques dur par defraggler  
Tu peux lutiliser une fois par trimestre    
===========================================    

Nettoyage des fichiers et des clés de registre :
* Télécharge et installe CCleaner version Slim               
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis         
* Avancé et décoche la case Effacer uniquement les fichiers etc....         
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.         
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .         
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/         
Tu peux utiliser Ccleaner une fois par semaine        

===========================================    
Purger les points de restauration système:   

* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :   

Windows XP    

Windows Vista    

Windows 7    

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...   

===========================================    
Conseils :       
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules          
complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...         

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.          

3/ Un peu de lecture :        
* Les dangers du Peer-To-Peer, Emule etc..         
* Comment Sécuriser son ordinateur...        
*Pourquoi et comment je me fais infecter   
 *pourquoi maintenir son navigateur à jour   

@+

Bobzimer · Answer

Re,

Voila le rapport de Delfix  :

https://pjjoint.malekal.com/files.php?id=20120525_13d5o14x13c11

J'ai télécharger tout les logiciel sauf ccleaner, Adblock je vais défragmenté tout mes disque car je ne l'ai jamais fait depuis que j'ai mon pc x) pis je te remercie encore de ton aide :p je me sent plus fluide sur firefox  :p .

merci beaucoup de ton aide et de tes poste très rapide :p 

A+

Fish66 · Answer

Re,

De rien .. , je suis content de t'avoir aidé  :-)

Bonne journée

TrojanDownloader.Mebload.AR impossible a supp

31 réponses

Discussions similaires