smart check virus Fermé

Question

Bonjour, Configuration: Windows Vista / Internet Explorer 9.0 j'ai le virus smart check qui s'affiche. J'ai lancé roguekiller. Voilà le rapport ci-après. Pouvez-vs me dire ce qu'il faut faire maintenant ? Pr info j'ai en anti-virus Mc Afee. merci, gapha RogueKiller V7.5.2 [30/05/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Guillaume [Droits d'admin] Mode: Recherche -- Date: 04/06/2012 21:13:52 ¤¤¤ Processus malicieux: 2 ¤¤¤ [WINDOW : Data Recovery] Kt2TTZz2xfujVb.exe -- C:\ProgramData\Kt2TTZz2xfujVb.exe -> KILLED [TermProc] [SUSP PATH] BapMeQOtifykfAh.exe -- C:\ProgramData\BapMeQOtifykfAh.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 27 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : YXE7DXCQ37 (C:\Users\Guillaume\AppData\Local\Temp\Cwn.exe) -> FOUND [SUSP PATH] HKCU\[...]\Run : BapMeQOtifykfAh.exe (C:\ProgramData\BapMeQOtifykfAh.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-3891509654-2665900038-221091781-1000[...]\Run : YXE7DXCQ37 (C:\Users\Guillaume\AppData\Local\Temp\Cwn.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-3891509654-2665900038-221091781-1000[...]\Run : BapMeQOtifykfAh.exe (C:\ProgramData\BapMeQOtifykfAh.exe) -> FOUND [SUSP PATH] {35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job @ : C:\Users\GUILLA~1\AppData\Local\Temp\Cwm.exe -> FOUND [SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job @ : C:\Users\Guillaume\AppData\Local\Temp\Cwn.exe -> FOUND [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:6092) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_TrackProgs (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : Rogue.FakeHDD ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3320620AS ATA Device +++++ --- User --- [MBR] 1a4cacec2c223afab4830a80c7f1cc16 [BSP] 7d4755e7c820a24a8f2162a6ed0543bc : Windows Vista MBR Code Partition table: 0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 62 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 129024 | Size: 10240 Mo 2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 21100544 | Size: 294941 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

g3n-h@ckm@n · Answer

salut relance roguekiller puis fais suppression

gapha · Answer

Bonsoir, Voilà le rapport après suppression le rapport après raz rac : RogueKiller V7.5.2 [30/05/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Guillaume [Droits d'admin] Mode: Suppression -- Date: 04/06/2012 22:16:01 ¤¤¤ Processus malicieux: 2 ¤¤¤ [WINDOW : Data Recovery] Kt2TTZz2xfujVb.exe -- C:\ProgramData\Kt2TTZz2xfujVb.exe -> KILLED [TermProc] [SUSP PATH] BapMeQOtifykfAh.exe -- C:\ProgramData\BapMeQOtifykfAh.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 25 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : YXE7DXCQ37 (C:\Users\Guillaume\AppData\Local\Temp\Cwn.exe) -> DELETED [SUSP PATH] HKCU\[...]\Run : BapMeQOtifykfAh.exe (C:\ProgramData\BapMeQOtifykfAh.exe) -> DELETED [SUSP PATH] {35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job @ : C:\Users\GUILLA~1\AppData\Local\Temp\Cwm.exe -> DELETED [SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job @ : C:\Users\Guillaume\AppData\Local\Temp\Cwn.exe -> DELETED [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:6092) -> NOT REMOVED, USE PROXYFIX [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_TrackProgs (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : Rogue.FakeHDD ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3320620AS ATA Device +++++ --- User --- [MBR] 1a4cacec2c223afab4830a80c7f1cc16 [BSP] 7d4755e7c820a24a8f2162a6ed0543bc : Windows Vista MBR Code Partition table: 0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 62 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 129024 | Size: 10240 Mo 2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 21100544 | Size: 294941 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt et le 2ème (rac RAZ) : RogueKiller V7.5.2 [30/05/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Guillaume [Droits d'admin] Mode: Raccourcis RAZ -- Date: 04/06/2012 22:28:51 ¤¤¤ Processus malicieux: 2 ¤¤¤ [WINDOW : Data Recovery] Kt2TTZz2xfujVb.exe -- C:\ProgramData\Kt2TTZz2xfujVb.exe -> KILLED [TermProc] [SUSP PATH] BapMeQOtifykfAh.exe -- C:\ProgramData\BapMeQOtifykfAh.exe -> KILLED [TermProc] ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Attributs de fichiers restaures: ¤¤¤ Bureau: Success 250 / Fail 0 Lancement rapide: Success 11 / Fail 0 Programmes: Success 13 / Fail 0 Menu demarrer: Success 42 / Fail 0 Dossier utilisateur: Success 33514 / Fail 0 Mes documents: Success 1654 / Fail 0 Mes favoris: Success 1271 / Fail 0 Mes images: Success 25582 / Fail 0 Ma musique: Success 4295 / Fail 0 Mes videos: Success 23 / Fail 0 Disques locaux: Success 3475 / Fail 0 Sauvegarde: [FOUND] Success 22 / Fail 1 Lecteurs: [C:] \Device\HarddiskVolume3 -- 0x3 --> Restored [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored [E:] \Device\CdRom0 -- 0x5 --> Skipped [F:] \Device\HarddiskVolume4 -- 0x2 --> Restored [H:] \Device\HarddiskVolume5 -- 0x2 --> Restored [I:] \Device\HarddiskVolume6 -- 0x2 --> Restored [J:] \Device\HarddiskVolume7 -- 0x2 --> Restored ¤¤¤ Infection : Rogue.FakeHDD ¤¤¤ Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt MERCI gapha

g3n-h@ckm@n · Answer

ok relance puis fais proxyfix

gapha · Answer

proxy RAZ ? Je ne vois pas proxy fix

gapha · Answer

voilà rapport proxy raz : RogueKiller V7.5.2 [30/05/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Guillaume [Droits d'admin] Mode: Proxy RAZ -- Date: 04/06/2012 22:56:55 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Entrees de registre: 1 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:6092) -> DELETED Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

gapha · Answer

j'ai téléchargé. mais je ne trouve pas le pgm malwarebytes après pour l'exécuter. Il y a ce nom ds program data mais ensuite juste un fichier ignore.dat. merci de l'aide

g3n-h@ckm@n · Answer

bah il aurait du se lancer à l installation...t'es sur que c est malwarebytes que tu as telechargé ? ^^

gapha · Answer

Ca a marché : MERCI beaucoup !
Voilà le rapport :

alwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18943

10/09/2010 23:02:32
mbam-log-2010-09-10 (23-02-32).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 133103
Temps écoulé: 24 minute(s), 31 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Guillaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Guillaume\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Guillaume\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

g3n-h@ckm@n · Answer

ah ben vu comme ca....

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

gapha · Answer

voilà le rapport :

 http://pjjoint.malekal.com/files.php?id=20120605_g14l12i8g13y5

g3n-h@ckm@n · Answer

tu n'es absolument pas serieux avec ton ordinateur c'est pas la premiere fois que tu attrapes ce genre de cochonneries mais ca t'empeche pas de recommencer sur les sites de streaming....

==========================

le proxy , tu as bien cliqué sur supprimer ?

gapha · Answer

c'est la 2ème fois en effet mais le streaming est stoppé depuis la 1ère fois (vacciné). Mais la procédure de correction n'avait pas été aussi complète que celle-ci. Des restes ? Cette 2ème, je ne sais pas comment c'est venu. Si tu sais, je suis preneur.
===
Oui, j'ai bien cliqué sur supprimer le proxy. J'ai fait tourner winlogon.exe une fois aussi, après. Et voilà le 2ème rapport :
 http://pjjoint.malekal.com/files.php?id=20120606_r5n8i6q6c9

g3n-h@ckm@n · Answer

j'ai compris , tu as telechargé cette version de pre_scan juste avant que je fasse les corrections sur le proxy c'est pour cela que que la reparation de cette clé buggue

supprime tout , retelecharge-le puis repasse-le avec la version de ce matin à jour

gapha · Answer

voilà le nouveau rapport après avoir téléchargé le nouveau winlogon.exe 

http://pjjoint.malekal.com/files.php?id=20120606_v13l8m13k13x9

j'espère que ça a marché.

g3n-h@ckm@n · Answer

yes ca a marché :) le proxy a été viré 

le temps de regarder un peu et je te donne la suite

g3n-h@ckm@n · Answer

suite :

bon

desinstalle price gong
desinstalle adobe reader 9
desinstalle FreeCompressor
desinstalle SweetIM toolbar for internet explorer
desinstalle tout Java

============

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[-HKU\S-1-5-21-3891509654-2665900038-221091781-1000\Software\Microsoft\Internet Explorer\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}]
[-HKU\S-1-5-21-3891509654-2665900038-221091781-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{b13e6377-ec0a-4c07-ac89-dcd48b57203d}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
""=-
"QuickTime Task"=-
"SweetIM"=-
"Adobe Reader Speed Launcher"=-
[HKU\S-1-5-21-3891509654-2665900038-221091781-1000\Software\Microsoft\Windows\CurrentVersion\Run] 
""=-
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\bfisduxx]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kcghlwan]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mediafix70700en02.exe]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar] 
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-    
[HKU\S-1-5-21-3891509654-2665900038-221091781-1000\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a83c3565-302c-4bf8-b000-6b6f1811d892}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
[-HKU\S-1-5-21-3891509654-2665900038-221091781-1000\Software\FissaSearch]     
[-HKU\S-1-5-21-3891509654-2665900038-221091781-1000\Software\FreeCompressor]     
[-HKU\S-1-5-21-3891509654-2665900038-221091781-1000\Software\OfferBox]     
[-HKU\S-1-5-21-3891509654-2665900038-221091781-1000\Software\Spointer]     
[-HKU\S-1-5-21-3891509654-2665900038-221091781-1000\Software\SweetIM]     
[-HKLM\Software\BrowserChoice]     
[-HKLM\Software\FreeCompressor]     
[-HKLM\Software\SweetIM]     

File::
C:\Users\Guillaume\Downloads\SweetImSetup.exe 

Folder::
C:\Program Files\FreeCompressor
C:\Users\Guillaume\AppData\Local\jeckdyjim
C:\Users\Guillaume\AppData\Local\oelkdpiyk
C:\Users\Guillaume\AppData\Roaming\1BC8823E4873A2999F33A7B0F2A11F11
C:\Program Files\PriceGong
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeCompressor     
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong     
C:\Users\Guillaume\AppData\Roaming\1BC8823E4873A2999F33A7B0F2A11F11 
C:\Users\Guillaume\AppData\Roaming\FissaSearch  
C:\Users\Guillaume\AppData\Roaming\freeCompressor 
C:\Users\Guillaume\AppData\Roaming\OfferBox     
C:\ProgramData\SweetIM     
C:\Users\Guillaume\AppData\Local\freecompressor Air  
C:\Program Files\iPod(31) 
C:\Program Files\iTunes(32) 
C:\Program Files\PriceGong     
C:\Program Files\SweetIM     

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

gapha · Answer

Je n'ai  fait que la 1ère partie (via désinstaller pgm ds panneau configuration) avec un pb sur Free compressor:

desinstalle price gong    OK
desinstalle adobe reader 9    OK
desinstalle FreeCompressor           Non OK et message : "there is a problem with this windows installer package. a program required for this install to complete could not be run. contact your support personnel or package vendor. 

desinstalle SweetIM toolbar for internet explorer     OK
desinstalle tout Java          OK
 
je préfère te demander avant de faire la suite. merci

g3n-h@ckm@n · Answer

fais la suite ca va sauter quand meme ^^

gapha · Answer

voilà

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.606 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Guillaume : Windows Vista (TM) Home Premium (32 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

Script : 23:13:04

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Supprimé : C:\Users\Guillaume\Downloads\SweetImSetup.exe

¤

Supprimé : C:\Program Files\FreeCompressor 
Supprimé : C:\Users\Guillaume\AppData\Local\jeckdyjim 
Supprimé : C:\Users\Guillaume\AppData\Local\oelkdpiyk 
Supprimé : C:\Users\Guillaume\AppData\Roaming\1BC8823E4873A2999F33A7B0F2A11F11 
Absent : C:\Program Files\PriceGong 
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeCompressor 
Absent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong 
Absent : C:\Users\Guillaume\AppData\Roaming\1BC8823E4873A2999F33A7B0F2A11F11 
Supprimé : C:\Users\Guillaume\AppData\Roaming\FissaSearch 
Supprimé : C:\Users\Guillaume\AppData\Roaming\freeCompressor 
Supprimé : C:\Users\Guillaume\AppData\Roaming\OfferBox 
Supprimé : C:\ProgramData\SweetIM 
Supprimé : C:\Users\Guillaume\AppData\Local\freecompressor Air 
Supprimé : C:\Program Files\iPod(31) 
Supprimé : C:\Program Files\iTunes(32) 
Absent : C:\Program Files\PriceGong 
non Supprimé : C:\Program Files\SweetIM 

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows Vista Home Premium Edition
Windows Information:		Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:	Dell Inc.
BIOS Manufacturer:		Dell Inc.
System Manufacturer:		Dell Inc.
System Product Name:		Inspiron 530
Logical Drives Mask:		0x000003bc

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows Vista MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 23:14:36

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.

gapha · Answer

voilà

# AdwCleaner v1.608 - Rapport créé le 06/06/2012 à 23:47:49
# Mis à jour le 27/05/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Guillaume - PC-DE-GUILLAUME
# Exécuté depuis : C:\Users\Guillaume\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4EUMIR9S\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Supprimé au redémarrage : C:\Program Files\SweetIM

***** [Registre] *****

Clé Supprimée : HKCU\Software\FissaSearch
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\Spointer
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\SweetIM
Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils
Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator
Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1
Clé Supprimée : HKLM\SOFTWARE\Classes\S
Clé Supprimée : HKLM\SOFTWARE\Classes\sim-packages
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\ForceRenive
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SweetIM]

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B41306C6-96D0-442A-BCC4-B0F621E82CE9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [2376 octets] - [06/06/2012 23:47:49]

########## EOF - C:\AdwCleaner[S1].txt - [2504 octets] ##########


merci

gapha · Answer

Bonjour, peux-tu me dire si c'est réparé et terminé ou pas encore ? Merci beaucoup :)

g3n-h@ckm@n · Answer

re

si tu n'as plus de soucis je peux te donnner la procedure finale :D

gapha · Answer

bonsoir, il semble que je n'aie plus de problèmes. Internet va BEAUCOUP plus vite. merci donc de me donner cette procédure en effet. je vais remettre l'anti virus actif aussi. 
quelque chose à faire pour éviter que ça revienne ou nettoyage régulier via un logiciel ? 
merci beaucoup de ton aide, comment te remercier encore ?

g3n-h@ckm@n · Answer

en finissant comme il se doit :D

https://gen-hackman.kanak.fr/

gapha · Answer

voilà rien de rouge, donc je n'ai qu'un rapport :
WhyIGotInfected v1.5.3(by Tigzy)
********************************

Run : 7/06/2012 22:10:57 [Normal Mode]
Machine : PC-DE-GUILLAUME (2 CPUs) [Guillaume : ADMIN]
OS: Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (x86)

~~ Plugins check: ~~

UPTODATE [Microsoft® Windows Vista(TM) Édition Familiale Premium ] Current : Service Pack 2 -- Latest : Service Pack 2
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Adobe Flash] Current : 11.2.202.235 -- Latest : 11.2.202.235
UPTODATE [Adobe Flash ActiveX] Current : 11.2.202.235 -- Latest : 11.2.202.235


Finished
<C:\Users\Guillaume\Desktop\WIGIReport[1].txt>
WIGIReport[0].txt ; WIGIReport[1].txt

gapha · Answer

Delfix
# DelFix v8.8 - Rapport créé le 07/06/2012 à 22:17:47
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Guillaume - PC-DE-GUILLAUME (Administrateur)
# Exécuté depuis : C:\Users\Guillaume\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IJTFW84Y\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\pre_scan
Supprimé : C:\Users\Guillaume\Desktop\RK_Quarantine

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Users\Guillaume\Desktop\Pre_Scan_06_06_2012_20_40_00.txt
Supprimé : C:\Users\Guillaume\Desktop\Pre_script.txt
Supprimé : C:\Users\Guillaume\Desktop\RKreport[1].txt
Supprimé : C:\Users\Guillaume\Desktop\RKreport[2].txt
Supprimé : C:\Users\Guillaume\Desktop\RKreport[3].txt
Supprimé : C:\Users\Guillaume\Desktop\RKreport[4].txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1105 octets] - [07/06/2012 22:17:47]

########## EOF - C:\DelFix[S1].txt - [1229 octets] ##########

g3n-h@ckm@n · Answer

magnifique :)

Smart check virus

29 réponses

Discussions similaires