Site pirate, infection

Résolu
bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   -  
bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,
mon site a été totalement piraté et HS ...
besoin de désinfection avant toutes choses
( g3n-h@ckm@n ) au courant ... mais est-il là ???
@+



le 'www' est fait aussi pour communiquer, partager et échanger, non ?
merci d'avoir la politesse de répondre à ceux qui essaient de vous aider

22 réponses

  • 1
  • 2
Résumé de la discussion

Problème: un site a été totalement piraté et rendu hors service, nécessitant une désinfection avant toute autre action, avec une configuration Windows XP/Vista et des navigateurs Firefox et Internet Explorer. Des mesures de réponse recommandent des outils de désinfection comme ComboFix et AdwCleaner et une analyse en ligne (ESET) pour identifier et supprimer extensions, programmes indésirables et résidus malveillants. D'autres points soulignent l'importance de sécuriser les mots de passe (Firefox) et de supprimer des modules potentiellement malveillants comme SweetIM ou Conduit, avec nettoyage des profils et changement des mots de passe. En cas de doute, effectuer un scan approfondi et vérifier les paramètres de navigation et les extensions, puis privilégier sauvegardes et réinstallation éventuelle des navigateurs.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     

    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------

    KillAll::

    ClearJavaCache::

    Folder::
    c:\users\bg\AppData\Roaming\pdfforge
    c:\program files\Conduit
    c:\users\bg\AppData\Local\Conduit
    c:\programdata\SweetIM
    c:\program files\SweetIM
    c:\programdata\Premium

    Registry::
    [-HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
    [-HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
    [-HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
    [-HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\InprocServer32]

    DDS::
    uStart Page = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0}
    mStart Page = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0}


    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    1
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Salut juju,
      Que faire avec ces 2 clés ?

      --------------------- CLES DE REGISTRE BLOQUEES
      [HKEY_USERS\S-1-5-21-1064041974-2318268328-94334938-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{BAEF7A3B-A9CA-C0F2-BAC1-CDBD6BD52671}*] 
      [HKEY_LOCAL_MACHINE\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version] 


      Bonne nuit.
      Je vois qu'Electr... veille; je le salue. ;)
      Albert
      0
    2. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      ? Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration

      le lien est HS ... :)
      vais essayer quand même ...
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Tiens illustration qui fonctionne, j'oublie toujours de la changer : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
      _______________________________________________

      @afideg :
      Hello :)
      A la limite j'aurais pu les "delock" avec "RegLock::" ou, si néfaste, les supprimer avec "RegLockDel::".
      0
    4. g3n-h@ckm@n
       
      ^^
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      vas voir avec les partitions toi ! ^^
      0
  2. Utilisateur anonyme
     
    Hey !

    Ton site ? Désinfection ?

    Si tu veux voir génie MP-le ;-)
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Yop,

    Suite à ton MP

    ▶ Télécharge ZHPDiag (de Nicolas Coolman)

    ou :ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,

    ▶ Installe et lance ZHPDiag.exe

    ▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

    ▶ Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse,

    ▶ Pour me transmettre ton rapport utilise le site http://pjjoint.malekal.com

    ▶ Clique sur Parcourir et cherche le fichier C:\ZHP\ZHPDiag.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Envoyer le fichier".

    Un lien de cette forme :

    https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ~~~~~~

    @Saachaa : tu pourras continuer si je dois partir :p
    0
    1. Utilisateur anonyme
       
      @Saachaa : tu pourras continuer si je dois partir :p 


      Non :D
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      bon ben ça va je demanderais à un de mes padawans :D
      vilain correcteur que tu es ! :3
      0
    3. Utilisateur anonyme
       
      Haha !

      Je pars à 18h...
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Mmmmh nous verrons bien, au pire y'a pas que nous comme contrib' sécu ...
      0
    5. Utilisateur anonyme
       
      Je suis même pas Sécu :-P
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    bonjour à tous les padawans ,

    il y a du monde par ici :P

    il est ou ce beau rapport de zhpdiag ?

    0
    1. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      nulle part ;)
      ça tourne encore ^^
      61% et ça bloque ou alors ... ?
      ;)
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ferme-le.
      rouvre ZHPDiag, coche tous au tournevis puis décoche le module 061
      relance l'analyse avec la loupe :)
      0
    3. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      ok c'est re re parti ;)
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      toujours pas fini ????????????????????
      il bloque à quel % désormais ?
      0
    5. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      46% !?
      0
  6. Utilisateur anonyme
     
    il se peut que le programme ne répond pas, laisse le un peu, il va bien términer le scan :D

    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    T'es infecté par un rootkit, voilà pourquoi tes mots de passe ont été volés !


    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
    0
  8. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
     
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

    avira = rien à faire pour désactiver
    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ 

    rien demandé !!!
    mais plus aucun accés au web avec n'importe quel navigateur
    j'ai redémarré le pc et plusieurs tentatives avec firefox ...
    apparement ça y est ;)
    le rapport:
    ComboFix 12-06-14.01 - bg 14/06/2012  20:46:09.2.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3066.1792 [GMT 2:00]
    Lancé depuis: c:\users\bg\Desktop\ComboFix.exe
    AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
    SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    ((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\program files\Mozilla Maintenance Service
    c:\program files\Mozilla Maintenance Service\maintenanceservice.exe
    c:\program files\Mozilla Maintenance Service\Uninstall.exe
    c:\program files\YooBooton\tbHElper.dll
    c:\programdata\00DB1C16CF.sys
    c:\programdata\3D3
    c:\programdata\3D3\Frames\FBRU_AA-1.frame
    c:\programdata\3D3\Frames\FBRU_AA-2.frame
    c:\programdata\3D3\Frames\FBRU_AB-1.frame
    c:\programdata\3D3\Frames\FBRU_AB-2.frame
    c:\programdata\3D3\Frames\FBRU_AB-3.frame
    c:\programdata\3D3\Frames\FBRU_AB-4.frame
    c:\programdata\3D3\Frames\FBRU_AC-1.frame
    c:\programdata\3D3\Frames\FBRU_AC-2.frame
    c:\programdata\3D3\Frames\FBRU_AD-1.frame
    c:\programdata\3D3\Frames\FBRU_AD-2.frame
    c:\programdata\3D3\Frames\FCHI_AA1.frame
    c:\programdata\3D3\Frames\FCIR_AA-1.frame
    c:\programdata\3D3\Frames\FCIR_AA-2.frame
    c:\programdata\3D3\Frames\FOVL_AA1.frame
    c:\programdata\3D3\Frames\FOVL_AA2.frame
    c:\programdata\3D3\Frames\FOVL_BB1.frame
    c:\programdata\3D3\Frames\FPFR_WW1.frame
    c:\programdata\3D3\Frames\FPHO_BB-1.frame
    c:\programdata\3D3\Frames\FSEA_AA-1.frame
    c:\programdata\3D3\Frames\FSLD_AA-1.frame
    c:\programdata\3D3\Frames\FSLD_BB-1.frame
    c:\programdata\3D3\Frames\FSTR_AA-1.frame
    c:\programdata\3D3\Frames\FSTR_AA-2.frame
    c:\programdata\3D3\mm.db
    c:\programdata\F1236EEA56.sys
    c:\users\bg\AppData\Roaming\1&1
    c:\users\bg\AppData\Roaming\1&1\1&1 EasyLogin\EasyLogin.log
    c:\users\bg\AppData\Roaming\FFSJ
    c:\users\bg\AppData\Roaming\FFSJ\FFSJ.cfg
    c:\windows\system32\hjgruivrpuxxbp.dat
    c:\windows\system32\SET79A.tmp
    c:\windows\system32\Temp
    c:\windows\XSxS
    .
    .
    (((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    -------\Legacy_hjgruiixymomfp
    -------\Service_hjgruiixymomfp
    -------\Service_MozillaMaintenance
    -------\Service_MozillaMaintenance
    .
    .
    (((((((((((((((((((((((((((((   Fichiers créés du 2012-05-14 au 2012-06-14  ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-06-14 19:10 . 2012-06-14 19:13	--------	d-----w-	c:\users\bg\AppData\Local\temp
    2012-06-14 19:10 . 2012-06-14 19:10	--------	d-----w-	c:\users\Default\AppData\Local\temp
    2012-06-14 17:52 . 2012-06-14 17:52	512	----a-w-	C:\PhysicalDisk0_MBR.bin
    2012-06-14 13:40 . 2012-06-14 17:52	--------	d-----w-	C:\ZHP
    2012-06-14 13:40 . 2012-06-14 17:52	--------	d-----w-	c:\program files\ZHPDiag
    2012-06-13 19:50 . 2012-06-13 19:51	--------	d-----w-	c:\users\bg\AppData\Roaming\pdfforge
    2012-06-13 19:50 . 1998-06-23 23:00	137000	----a-w-	c:\windows\system32\MSMAPI32.OCX
    2012-06-13 19:50 . 2012-05-14 07:17	79360	----a-w-	c:\windows\system32\pdfcmon.dll
    2012-06-13 19:50 . 2012-06-13 19:51	--------	d-----w-	c:\program files\PDFCreator
    2012-06-13 19:50 . 1998-07-05 23:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
    2012-06-13 19:50 . 2012-06-13 19:50	--------	d-----w-	c:\users\bg\AppData\Local\CRE
    2012-06-13 19:50 . 2012-06-13 19:50	--------	d-----w-	c:\program files\Conduit
    2012-06-13 19:50 . 2012-06-13 19:54	--------	d-----w-	c:\users\bg\AppData\Local\Conduit
    2012-06-13 19:48 . 2012-06-13 19:58	--------	d-----w-	c:\programdata\SweetIM
    2012-06-13 19:48 . 2012-06-13 19:58	--------	d-----w-	c:\program files\SweetIM
    2012-06-13 19:48 . 2012-06-13 19:48	--------	d-----w-	c:\programdata\Premium
    2012-06-13 19:48 . 2012-06-13 19:48	--------	d-----w-	c:\programdata\InstallMate
    2012-06-13 13:36 . 2012-06-13 13:36	--------	d-----w-	c:\users\bg\AppData\Roaming\Pencil
    2012-06-13 13:36 . 2012-06-13 13:36	--------	d-----w-	c:\users\bg\AppData\Local\Pencil
    2012-06-13 07:37 . 2012-04-23 16:00	984064	----a-w-	c:\windows\system32\crypt32.dll
    2012-06-13 07:37 . 2012-04-23 16:00	98304	----a-w-	c:\windows\system32\cryptnet.dll
    2012-06-13 07:37 . 2012-04-23 16:00	133120	----a-w-	c:\windows\system32\cryptsvc.dll
    2012-06-13 07:36 . 2012-05-01 14:03	180736	----a-w-	c:\windows\system32\drivers\rdpwd.sys
    2012-06-13 07:35 . 2012-05-15 19:51	2045440	----a-w-	c:\windows\system32\win32k.sys
    2012-06-12 13:57 . 2012-06-12 13:57	--------	d-----w-	c:\users\bg\AppData\Local\Macromedia
    2012-06-11 16:00 . 2012-06-11 16:01	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
    2012-06-11 16:00 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
    2012-06-11 15:50 . 2012-06-11 15:50	--------	d-----w-	c:\programdata\Kaspersky Lab
    2012-06-11 15:50 . 2012-06-11 15:50	--------	d-----w-	c:\program files\Kaspersky Lab
    2012-06-11 15:48 . 2012-06-11 15:48	--------	d-----w-	c:\program files\1&1
    2012-06-08 12:46 . 2012-06-09 05:48	--------	d-----w-	c:\program files\WinMerge
    2012-06-06 14:36 . 2012-06-13 19:20	772592	----a-w-	c:\windows\system32\npDeployJava1.dll
    2012-06-06 14:16 . 2012-06-06 14:16	--------	d-----w-	c:\program files\MySQL
    2012-06-06 13:47 . 2012-06-06 13:47	--------	d-----w-	c:\users\bg\paros
    2012-06-05 18:08 . 2012-06-05 18:37	--------	d-----w-	C:\tunisie
    .
    .
    .
    ((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-06-13 19:41 . 2012-03-30 12:20	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
    2012-06-13 19:41 . 2011-05-15 07:17	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
    2012-06-13 19:20 . 2010-04-26 10:38	687600	----a-w-	c:\windows\system32\deployJava1.dll
    2012-05-08 16:40 . 2012-06-13 07:39	6737808	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{5F00CE54-AF2D-4D2F-A86F-C31AE26E490F}\mpengine.dll
    2012-04-03 08:16 . 2012-05-09 09:11	3602816	----a-w-	c:\windows\system32\ntkrnlpa.exe
    2012-04-03 08:16 . 2012-05-09 09:11	3550080	----a-w-	c:\windows\system32\ntoskrnl.exe
    2012-03-30 12:39 . 2012-05-09 09:13	905600	----a-w-	c:\windows\system32\drivers\tcpip.sys
    2012-03-20 23:28 . 2012-05-09 09:13	53120	----a-w-	c:\windows\system32\drivers\partmgr.sys
    2003-03-21 11:45 . 2009-07-08 12:11	250544	----a-w-	c:\program files\Common Files\keyhelp.ocx
    2012-05-08 10:13 . 2011-05-24 16:32	97208	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
    2006-05-03 09:06	163328	--sh--r-	c:\windows\System32\flvDX.dll
    2007-02-21 10:47	31232	--sh--r-	c:\windows\System32\msfDX.dll
    2008-03-16 12:30	216064	--sh--r-	c:\windows\System32\nbDX.dll
    .
    .
    (((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
    2012-06-04 14:12	1310040	----a-w-	c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2012-06-04 1310040]
    .
    [HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
    [HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
    [HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
    [HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
    @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
    2011-10-31 21:02	94208	----a-w-	c:\users\bg\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
    @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
    2011-10-31 21:02	94208	----a-w-	c:\users\bg\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
    @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
    2011-10-31 21:02	94208	----a-w-	c:\users\bg\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
    @="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
    2011-10-31 21:02	94208	----a-w-	c:\users\bg\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
    @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
    [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
    2008-08-04 14:45	40496	----a-w-	c:\program files\EgisTec\MyWinLocker 3\x86\PSDProtect.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
    "Sidebar"="c:\program files\windows sidebar\sidebar.exe" [2009-04-11 1233920]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-28 39408]
    "SEO Soft"="c:\divers\SeoSoft\seosoft.exe" [2012-04-07 9688064]
    "KSS"="c:\program files\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe" [2012-04-25 202296]
    "uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2012-06-13 888720]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RtHDVCpl"="RtHDVCpl.exe" [2008-07-24 6265376]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-10 13605408]
    "Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2011-07-31 126976]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-02-15 258512]
    "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
    "SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2012-05-29 115032]
    "APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "mixer2"=wdmaud.drv
    .
    [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^StartUp^ProjectWhois.lnk]
    backup=c:\windows\pss\ProjectWhois.lnk.CommonStartup
    backupExtension=.CommonStartup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2012-01-03 07:37	843712	----a-w-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
    2008-08-14 06:58	611712	----a-w-	c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\crlregistrationf]
    2003-02-18 13:16	327680	----a-w-	c:\program files\Adobe\Adobe Photoshop CS4\Plug-ins\KPT Collection\Register\Registration.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Quick Search Box]
    2011-07-31 13:24	126976	----a-w-	c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
    2009-09-27 18:13	133104	----atw-	c:\users\bg\AppData\Local\Google\Update\GoogleUpdate.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LxrAutorun]
    2006-11-09 08:00	24576	----a-w-	c:\users\bg\AppData\Local\Lexar Media\LxrAutorun.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
    2010-11-10 00:54	4240760	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
    2009-02-10 12:38	92704	----a-w-	c:\windows\System32\nvmctray.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2010-09-08 10:17	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SEO Soft]
    2012-04-07 16:12	9688064	----a-w-	c:\divers\SeoSoft\seosoft.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2012-01-17 09:07	252296	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
    2010-07-04 19:51	17408	----a-w-	c:\program files\Unlocker\UnlockerAssistant.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
    2008-01-21 02:25	202240	----a-w-	c:\program files\Windows Media Player\wmpnscfg.exe
    .
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "Google Update"="c:\users\bg\AppData\Local\Google\Update\GoogleUpdate.exe" /c
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
    "AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1064041974-2318268328-94334938-1000]
    "EnableNotificationsRef"=dword:00000001
    .
    S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    bthsvcs	REG_MULTI_SZ   	BthServ
    LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
    Akamai	REG_MULTI_SZ   	Akamai
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2009-06-04 c:\windows\Tasks\GlaryInitialize.job
    - c:\program files\Glary Utilities\initialize.exe [2009-05-08 09:39]
    .
    2012-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 15:44]
    .
    2012-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 15:44]
    .
    2012-03-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1064041974-2318268328-94334938-1000Core1cd0a9ababe758d.job
    - c:\users\bg\AppData\Local\Google\Update\GoogleUpdate.exe [2009-09-27 18:13]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0}
    mStart Page = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0}
    uInternet Settings,ProxyOverride = local
    uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    IE: Free YouTube Download - c:\users\bg\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
    IE: Free YouTube to Mp3 Converter - c:\users\bg\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
    TCP: DhcpNameServer = 192.168.1.1
    FF - ProfilePath - c:\users\bg\AppData\Roaming\Mozilla\Firefox\Profiles\mrkwrbzv.default\
    FF - prefs.js: browser.search.defaulturl - 
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    URLSearchHooks-{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - (no file)
    WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    MSConfigStartUp-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe
    AddRemove-Mozilla Thunderbird (2.0.0.23) - f:\portablethunderbird\App\thunderbird\uninstall\helper.exe
    AddRemove-MozillaMaintenanceService - c:\program files\Mozilla Maintenance Service\uninstall.exe
    AddRemove-_{ADDBE07D-95B8-4789-9C76-187FFF9624B4} - c:\program files\Corel\CorelDRAW Essential Edition 3\Programs\MSILauncher {ADDBE07D-95B8-4789-9C76-187FFF9624B4}
    .
    .
    .
    **************************************************************************
    Recherche de processus cachés ... 
    .
    Recherche d'éléments en démarrage automatique cachés ... 
    .
    Recherche de fichiers cachés ... 
    .
    Scan terminé avec succès
    Fichiers cachés: 
    .
    **************************************************************************
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Akamai]
    "ServiceDll"="C:/Program Files/Common Files/Akamai/rswin_3647.dll"
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Akamai]
    "ServiceDll"="C:/Program Files/Common Files/Akamai/rswin_3647.dll"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_USERS\S-1-5-21-1064041974-2318268328-94334938-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{BAEF7A3B-A9CA-C0F2-BAC1-CDBD6BD52671}*]
    "haffdklhinfbfkbl"=hex:6b,61,70,6c,65,69,70,69,66,6d,6d,6e,68,6d,6a,63,70,67,
       65,62,69,6d,00,00
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
    "Version"=hex:e0,23,7c,b3,03,cc,34,24,7b,d4,a3,ef,f2,a8,6f,6c,2c,db,ec,b6,12,
       c2,9f,69,cb,e7,2c,f0,96,5b,60,e4,a8,3a,f0,5b,9c,a7,8d,a7,8c,d2,4a,15,48,8e,\
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\InprocServer32]
    @DACL=(02 0000)
    @="c:\\Program Files\\pdfforge Toolbar\\SearchSettings.dll"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
    "Version"=hex:e0,23,7c,b3,03,cc,34,24,7b,d4,a3,ef,f2,a8,6f,6c,2c,db,ec,b6,12,
       c2,9f,69,cb,e7,2c,f0,96,5b,60,e4,a8,3a,f0,5b,9c,a7,8d,a7,8c,d2,4a,15,48,8e,\
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'Explorer.exe'(5704)
    c:\program files\SweetIM\Messenger\mgAdaptersProxy.dll
    c:\users\bg\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
    c:\users\bg\AppData\Roaming\Dropbox\bin\MSVCP71.dll
    c:\program files\EgisTec\MyWinLocker 3\x86\psdprotect.dll
    c:\program files\EgisTec\MyWinLocker 3\x86\sysenv.dll
    c:\program files\EgisTec\MyWinLocker 3\x86\mwlUI.dll
    c:\program files\EgisTec\MyWinLocker 3\x86\GDIExtendCtrl.dll
    c:\program files\EgisTec\MyWinLocker 3\x86\mwlOP.dll
    c:\program files\EgisTec\MyWinLocker 3\x86\CryptoAPI.dll
    c:\program files\EgisTec\MyWinLocker 3\x86\ShowErrMsg.dll
    c:\thumbsplus\cswshlex.dll
    c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\nvvsvc.exe
    c:\windows\system32\rundll32.exe
    c:\program files\EgisTec\VITAKEY\CompPtcVUI.exe
    c:\program files\Avira\AntiVir Desktop\sched.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\windows\system32\ASTSRV.EXE
    c:\windows\system32\LxrSII1s.exe
    c:\program files\McAfee\SiteAdvisor\McSACore.exe
    c:\program files\EgisTec\MyWinLocker 3\x86\MWLService.exe
    c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
    c:\windows\system32\rundll32.exe
    c:\windows\system32\PSIService.exe
    c:\program files\Common Files\Protexis\License Service\PsiService_2.exe
    c:\program files\CyberLink\Shared Files\RichVideo.exe
    c:\program files\Photodex\ProShowGold\ScsiAccess.exe
    c:\program files\TeamViewer\Version6\TeamViewer_Service.exe
    c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    c:\windows\system32\WUDFHost.exe
    c:\progra~1\COMMON~1\X10\Common\x10nets.exe
    c:\windows\system32\conime.exe
    c:\windows\RtHDVCpl.exe
    c:\windows\ehome\ehmsas.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\program files\Windows Media Player\wmplayer.exe
    c:\program files\Avira\AntiVir Desktop\avshadow.exe
    c:\windows\ehome\ehsched.exe
    c:\windows\ehome\ehRecvr.exe
    c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
    .
    **************************************************************************
    .
    Heure de fin: 2012-06-14  21:22:40 - La machine a redémarré
    ComboFix-quarantined-files.txt  2012-06-14 19:22
    .
    Avant-CF: 104 192 176 128 octets libres
    Après-CF: 104 166 076 416 octets libres
    .
    - - End Of File - - A02E0DC81E079CA6ECB1ED5EB3A9A1E0
    
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    @bg62

    OK. On va continuer la désinfection des navigateurs alors :

    Télécharge sur cette page : AdwCleaner (de Xplode)

    ▶ Clique sur Télécharger et enregistre le fichier sur ton Bureau

    ▶ Exécute AdwCleaner.

    Sur le menu principal :

    ▶ Clique sur Suppression et patiente le temps du nettoyage.

    ▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
    0
    1. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      ok c'est parti ;)
      merci @+
      0
  10. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
     
    rapide lui ... ;)
    rapport:
    # AdwCleaner v1.609 - Rapport créé le 15/06/2012 à 11:59:28
    # Mis à jour le 10/06/2012 par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
    # Nom d'utilisateur : bg - PC-DE-BG
    # Exécuté depuis : C:\Users\bg\desktop\adwcleaner.exe
    # Option [Suppression]
    
    
    ***** [Services] *****
    
    
    ***** [Fichiers / Dossiers] *****
    
    Dossier Supprimé : C:\Users\bg\AppData\Local\Conduit
    Dossier Supprimé : C:\Users\bg\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
    Dossier Supprimé : C:\Users\bg\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}
    Dossier Supprimé : C:\Users\bg\AppData\LocalLow\Conduit
    Dossier Supprimé : C:\Users\bg\AppData\LocalLow\pdfforge
    Dossier Supprimé : C:\Users\bg\AppData\LocalLow\Search Settings
    Dossier Supprimé : C:\Users\bg\AppData\Roaming\pdfforge
    Dossier Supprimé : C:\ProgramData\SweetIM
    Dossier Supprimé : C:\Program Files\Conduit
    Dossier Supprimé : C:\Program Files\SweetIM
    Fichier Supprimé : C:\Users\bg\AppData\Roaming\Mozilla\Firefox\Profiles\mrkwrbzv.default\searchplugins\SweetIm.xml
    
    ***** [Registre] *****
    
    [*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
    Clé Supprimée : HKCU\Software\Search Settings
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKCU\Software\SweetIm
    Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
    Clé Supprimée : HKLM\SOFTWARE\Conduit
    Clé Supprimée : HKLM\SOFTWARE\pdfforge
    Clé Supprimée : HKLM\SOFTWARE\Search Settings
    Clé Supprimée : HKLM\SOFTWARE\SweetIM
    Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils
    Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator
    Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\sim-packages
    Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar
    Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook
    Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
    
    ***** [Registre - GUID] *****
    
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{BFB5F154-9212-46F3-B547-AC6106030A54}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BFB5F154-9212-46F3-B547-AC6106030A54}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8736C681-37A0-40C6-A0F0-4C083409151C}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BFB5F154-9212-46F3-B547-AC6106030A54}
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{BFB5F154-9212-46F3-B547-AC6106030A54}]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{BFB5F154-9212-46F3-B547-AC6106030A54}]
    
    ***** [Navigateurs] *****
    
    -\\ Internet Explorer v9.0.8112.16421
    
    Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0} --> hxxp://www.google.com
    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0} --> hxxp://www.google.com
    
    -\\ Mozilla Firefox v12.0 (fr)
    
    Nom du profil : default 
    Fichier : C:\Users\bg\AppData\Roaming\Mozilla\Firefox\Profiles\mrkwrbzv.default\prefs.js
    
    Supprimée : user_pref("extensions.linkextend.addit.remoteInstallItems", "{ \"software\": {\"13\": {\"id\": \"13\[...]
    Supprimée : user_pref("extensions.s4fToolbar.si-blekko-rank", true);
    
    -\\ Google Chrome v18.0.1025.168
    
    Fichier : C:\Users\bg\AppData\Local\Google\Chrome\User Data\Default\Preferences
    
    Supprimée :    "homepage": "hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0}",
    Supprimée :    "urls_to_restore_on_startup": [   "hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AF[...]
    
    -\\ Opera v11.64.1403.0
    
    Fichier : C:\Users\bg\AppData\Roaming\Opera\Opera\operaprefs.ini
    
    [OK] Le fichier ne contient aucune entrée illégitime.
    
    *************************
    
    AdwCleaner[S1].txt - [7127 octets] - [15/06/2012 11:59:28]
    
    ########## EOF - C:\AdwCleaner[S1].txt - [7255 octets] ##########
    

    @+
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ouais ben mon cfscript n'a pas fonctionné quoi.
    puisqu'adwcleaner a supprimé des dossiers qui étaient censés être partis avec les instructions que j'ai donné à combofix.

    ▶ Télécharge Malwarebytes' Anti-Malware (MBAM).

    ▶ enregistre l'exécutable sur le bureau.

    ▶ Installe-le puis configure-le comme ceci :

    Configuration

    si tu n'as rien modifié fais directement quitter sinon enregistrer

    Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

    ▶▶▶ Ce logiciel gratuit est à garder.

    ===================================================

    Uniquement en cas de problème de mise à jour:

    Télécharger mises à jour manuelles MBAM

    ▶ Exécute le fichier après l'installation de MBAM

    ===================================================

    Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

    ▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
    ▶ Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
    ▶ Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ▶ Ferme tes navigateurs.
    ▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", tu ouvres le dernier en date et le colle dans ta prochaine réponse.
    0
    1. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      c'est parti ;)
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      et ça donne quoi ton blog pendant ce temps là ? t'as suivi les conseils des autres ? (faire un nouveau dossier, protéger ton htaccess toussa)
      0
    3. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      pour l'instant les services 'abuse' ont bloqué le site hier (même le ftp), google l'a même sanctionné aussi (je parle du blog mais du site complet aussi ^^) ... j'ai du perdre qq choses ...mais j'ai demandé une révision à GG hier soir et tout est débloqué
      toutes les 'données' sont ici:
      http://forum.webmaster-rank.info/referencement/site-pirate-et-descente-aux-enfers-t4458-50.html
      (un paquet mais ... il y a matière ...)
      et le site :
      https://www.unesourisetmoi.info/
      le blog:
      https://longuetraine.fr/
      @+
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      en gros c'était à cause d'un plugin pas à jour sur ton site ?
      0
    5. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      non ... il n'y a jamais eu de mise à jour dispo ... !!!
      et va savoir si c'était vraiment ça ou 'que' ça ...
      il ont quand même fait fort les gars ^^
      0
  12. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Hello TLM

    Merci juju pour ta réponse à cette question https://forums.commentcamarche.net/forum/affich-25377261-site-pirate-infection#29

    Al.
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      De rien :-)
      Bon dimanche Al.
      0
    2. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      7 heures .... ^^
      mais ça semble arriver au bout ...
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      t'as combien de gb à analyser ? xD
      0
    4. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      165 environ ... mais énormément de 'petits' fichiers ...
      mais ça avance ;)
      ... toujours rien trouvé apparemment ...
      0
    5. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      800 000 fichiers ... et il va au moins encore lui rester c:\wndows ....
      0
  13. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
     
    ouf ...
    voici:
    Malwarebytes Anti-Malware (Essai) 1.61.0.1400
    www.malwarebytes.org
    
    Version de la base de données: v2012.06.17.02
    
    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    bg :: PC-DE-BG [administrateur]
    
    Protection: Activé
    
    17/06/2012 08:12:24
    mbam-log-2012-06-17 (08-12-24).txt
    
    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 1307447
    Temps écoulé: 13 heure(s), 48 minute(s), 41 seconde(s)
    
    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)
    
    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)
    
    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)
    
    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)
    
    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)
    
    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)
    
    Fichier(s) détecté(s): 10
    C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\2aba389a4eabf417f626ec34db11fdfeb5c9882e\java.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\7b7ea856c5b1c32f37246d1a3f82a09a7999b71c\SystemControl.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\8f76ced44796e3b289c5a16241bc87db1ff5f46b\verclsid.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\94d64b6d858bde5687f61e096506bb9ee21af6e\JSEd.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\98e92d89a7afe41fdc73ed461e862fe263355c82\WebsiteLayoutMaker.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\9e5eadc64a350bd2f2dffcce12dcee62bca\ssvagent.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\bg\AppData\Local\Xenocode\Sandbox\1.0.0.0\2009.12.29T02.54\Virtual\STUBEXE\8.0.1112\@PROGRAMFILES@\Bibble Labs\Bibble 5\build\bibble5pro.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\bg\AppData\Local\Xenocode\Sandbox\1.0.0.0\2009.12.29T02.54\Virtual\STUBEXE\8.0.1112\@PROGRAMFILES@\Bibble Labs\Bibble 5\build\Splash.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\bg\AppData\Roaming\Thinstall\ThumbsPlus version 7 SP2\1000000800002i\svchost.exe (Trojan.IRCBot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\bg\AppData\Roaming\Thinstall\ThumbsPlus version 7 SP2\400000a5a00002i\Thumbs.exe (Trojan.IRCBot) -> Mis en quarantaine et supprimé avec succès.
    
    (fin)
    

    @+
    0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ah ben c'est du propre ^^
    Dis moi, tes logiciels pour ton site là; sont légaux ? Me semblent pas au vu de ce que vient de supprimer MBAM, t'avais une collection de portes dérobées ... Aie ...

    Fais une analyse online avec Eset STP : https://www.eset.com/fr/home/products/online-scanner/

    (analyse à faire avec internet expl'horreur ^^)
    0
    1. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      à par notepad++ et dream je n'utilise que ceux là ... des restes de traces de tests peut-être ???
      ou ?
      bon c'est parti sur IE ....
      0
    2. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      il a fait une install ...
      je laisse les options cochées par défaut ?
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Hello

      Ouaip ça devrait être suffisant :)
      0
    4. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      ok ça tourne depuis 1 h 40 ....
      @+
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      d'acc

      à tout à l'heure :)
      0
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bien.

    Refais moi un ptit ZHPdiag pour voir (toujours en clic droit -> exécuter en tant qu'admin)

    Coche tout au tournevis puis clic sur la loupe.

    Rapport à héberger

    +
    0
  16. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello,

    Bon ben j'espère qu'ils sont aux archives car je vais pas m'amuser à désinfecter toute ma vie ton pc non plus
    ne t'étonnes plus d'avoir vu ton site "hacké" vu ton comportement sur le net !

    A lire de toute urgence : https://forum.malekal.com/viewtopic.php?t=893&start=
    0
    1. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      pour le site je pense (je croise les doigts) que ça va se calmer la faille de sécurité est normalement fermée puisque les fichiers ont été supprimés, je verrai après pour une mise à jour ...
      'comportement sur le net , oui ... je sais, mais faut bien tester de temps en temps et résultat ... boum !!!
      pourtant les protections (antirus antimalware) sont toujours actives mais ...
      en tous cas merci pour ce lien ;)
      je vais potasser ça

      et maintenant que fait-on ?
      @+
      0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    bah alors tu "teste" pas sous machine hôte tu fais ça en VM ou avec sandboxie

    refais moi un zhpdiag avec tout coché au tournevis
    0
    1. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      "machine hôte" .... faudrait que je m'y connaisse là ...
      zhpdiag ok tout à l'heure ou demain ;)
      @+
      0
  18. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
     
    0
    1. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      comprends pas grand chose mai:"Total RAM: 3066 MB (44% free) [Attention - Mémoire libre insuffisante - désinstaller les programmes inutiles]" ???
      j'ai 4Go de ram ... !?!
      0
  • 1
  • 2