Forums Zebulon.fr: [Résolu] Virus TR/Crypt.ZPACK.Gen2 - aide Combofix - Forums Zebulon.fr

Bonjour
Je viens d'avoir le virus suivant dans mon ordi : TR/Crypt.ZPACK.Gen2
J'avais perdu l'accès à tous mes documents et mon ordi s'est éteint tout seul.
Sur un forum j'ai trouvé une propoistion d'analyse avec Combofix que j'ai suivie. Ca a permis de restaurer l'ensemble de mes documents . mais je ne sais pas quoi faire du rapport. Quelqu'un peut il m'aider ?
Merci beaucoup

Voici le rapport

ComboFix 12-01-29.02 - Nina 29/01/2012 23:04:03.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3068.1457 [GMT 1:00]
Lancé depuis: c:\users\Nina\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\~Je3voc0nFfwCcJ
c:\programdata\~Je3voc0nFfwCcJr
c:\programdata\gOPYcVGVjRBj.exe
c:\programdata\Je3voc0nFfwCcJ
c:\programdata\Je3voc0nFfwCcJ.exe
c:\programdata\Roaming
c:\users\Nina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Check
c:\users\Nina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Check\System Check.lnk
c:\users\Nina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Check\Uninstall System Check.lnk
c:\users\Nina\Desktop\System Check.lnk
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-12-28 au 2012-01-29 ))))))))))))))))))))))))))))))))))))
.
.
2012-01-29 22:09 . 2012-01-29 22:10 -------- d-----w- c:\users\Nina\AppData\Local\temp
2012-01-29 22:09 . 2012-01-29 22:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-01-29 21:55 . 2012-01-29 21:58 -------- d-----w- c:\program files\trend micro
2012-01-29 21:54 . 2012-01-29 21:55 -------- d-----w- C:\rsit
2012-01-29 18:07 . 2012-01-06 04:19 6557240 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{60FEF665-3B27-44BC-A058-C712827EC179}\mpengine.dll
2012-01-09 21:40 . 2012-01-09 21:40 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll
2012-01-09 21:40 . 2012-01-09 21:40 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll
2012-01-09 21:40 . 2012-01-09 21:40 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll
2012-01-09 21:40 . 2012-01-09 21:40 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll
2012-01-07 15:29 . 2012-01-29 21:47 -------- d--h--w- c:\users\Nina\AppData\Roaming\Skype
2012-01-07 15:29 . 2012-01-07 15:30 -------- d-----r- c:\program files\Skype
2012-01-07 15:29 . 2012-01-07 15:29 -------- d--h--w- c:\programdata\Skype
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-15 21:50 . 2011-12-15 21:50 653584 ---ha-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2011-12-07 09:08 . 2011-01-14 00:11 236576 ------w- c:\windows\system32\MpSigStub.exe
2011-11-28 21:16 . 2011-07-20 09:11 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-09 21:40 . 2011-05-01 11:37 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{38542454-dfb6-44f5-b052-d4e071a3d073}"= "c:\program files\Elf_1.12\prxtbElf0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{38542454-dfb6-44f5-b052-d4e071a3d073}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{38542454-dfb6-44f5-b052-d4e071a3d073}]
2011-05-09 09:49 176936 ----a-w- c:\program files\Elf_1.12\prxtbElf0.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2012-01-04 19:20 1514152 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{38542454-dfb6-44f5-b052-d4e071a3d073}"= "c:\program files\Elf_1.12\prxtbElf0.dll" [2011-05-09 176936]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-01-04 1514152]
.
[HKEY_CLASSES_ROOT\clsid\{38542454-dfb6-44f5-b052-d4e071a3d073}]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{38542454-DFB6-44F5-B052-D4E071A3D073}"= "c:\program files\Elf_1.12\prxtbElf0.dll" [2011-05-09 176936]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-01-04 1514152]
.
[HKEY_CLASSES_ROOT\clsid\{38542454-dfb6-44f5-b052-d4e071a3d073}]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-18 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"NSUFloatingUI"="c:\program files\Sony\Network Utility\LANUtil.exe" [2008-07-30 262144]
"HP Deskjet 3070 B611 series (NET)"="c:\program files\HP\HP Deskjet 3070 B611 series\Bin\ScanToPCActivationApp.exe" [2011-06-08 1804648]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-10-13 17351304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-11-25 98304]
"IAStorIcon"="c:\program files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe" [2010-11-05 283160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe" [2011-09-08 888488]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2011-03-24 49208]
"Microsoft Default Manager"="c:\program files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]
.
c:\users\Nina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Alertes de surveillance de l'encre - HP Deskjet 3070 B611 series (réseau).lnk - c:\windows\system32\RunDll32.exe [2006-11-2 44544]
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2008-07-15 16:04 98304 ----a-w- c:\windows\System32\VESWinlogon.dll
.
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-09 17:42]
.
2012-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-09 17:42]
.
2012-01-29 c:\windows\Tasks\HP Photo Creations Messager.job
- c:\programdata\HP Photo Creations\MessageCheck.exe [2011-02-15 10:11]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
FF - ProfilePath - c:\users\Nina\AppData\Roaming\Mozilla\Firefox\Profiles\xd5eerp8.default\
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-gOPYcVGVjRBj.exe - c:\programdata\gOPYcVGVjRBj.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-01-29 23:10
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2012-01-29 23:12:29
ComboFix-quarantined-files.txt 2012-01-29 22:12
.
Avant-CF: 85 234 397 184 octets libres
Après-CF: 89 008 209 920 octets libres
.
- - End Of File - - C9E76BFEFEA9265E47AD6494454E6112

Ce message a été modifié par ninette49 - 04 février 2012 - 10:10 .

Bonjour Ninette49.

Citation

Tu ne dois pas imiter les procédures données à d'autres utilisateurs car chaque problème est différent et ComboFix ne doit pas être utilisé avant qu'un conseiller (ici du moins) ne le juge nécessaire. Il peut être dangereux, car l'auteur est un humain, et tout le monde sait que l'erreur est humaine.

Un bug du tool est ton pc est bon à formater...

Dans ton cas, Combofix n'était pas nécessaire; RogueKiller et MBAM font très bien l'affaire et parfois TDSSKiller en sus.

Bref:

Télécharge AdwCleaner par Xplode: Les Téléchargements - Outils de Xplode - AdwCleaner

Enregistre-le sur le bureau (et pas ailleurs).

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.
Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

Clique sur Suppression et laisse travailler l'outil.

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

Le rapport est en outre sauvegardé sous C:\AdwCleaner[S1]

-------------------------

A lire absolument: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows (quand tu auras terminé ici car la liste est loooongue).

----------------------------
Après avoir posté le rapport d'AdwCleaner:

ZHPDiag :

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
  
  
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
  
  
• L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
  
  
• Double-clique sur ZHPDiag pour lancer l'exécution
  
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
  
  
• Clique sur le tournevis.
  
• Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%
  Tu refermes ZHPDiag
  
  
• Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)
  Ce rapport étant trop long pour le forum, héberge le :
  
  • soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
    
  • soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
    
  • Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

@++

Bonsoir
Merci pour la réponse !
La prochaine fois je viendrai poser directement la question. Ca sera plus sûr !!!

Alors voilà 1ere étape faite et voici le rapport d'AdwCleaner.

# AdwCleaner v1.408 - Rapport créé le 30/01/2012 à 19:17:54
# Mis à jour le 29/01/2012 par Xplode
# Système d'exploitation : Windows Vista ™ Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Nina - PC-DE-NINA (Administrateur)
# Exécuté depuis : C:\Users\Nina\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Nina\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Supprimé : C:\Users\Nina\AppData\Local\AskToolbar
Dossier Supprimé : C:\Users\Nina\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Nina\AppData\LocalLow\AskToolbar
Dossier Supprimé : C:\Users\Nina\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Nina\AppData\LocalLow\ConduitEngine
Dossier Supprimé : C:\Users\Nina\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Program Files\Ask.com
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Dossier Supprimé : C:\Users\Nina\AppData\Roaming\Mozilla\Firefox\Profiles\xd5eerp8.default\extensions\toolbar@ask.com

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2857572
Clé Supprimée : HKCU\Software\Ask.com
Clé Supprimée : HKCU\Software\AskToolbar
Clé Supprimée : HKCU\Software\APN
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\AskToolbar
Clé Supprimée : HKLM\SOFTWARE\APN
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy
Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

***** [Navigateurs] *****

-\\ Internet Explorer v7.0.6001.18000

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v9.0.1 (fr)

Profil : xd5eerp8.default
Fichier : C:\Users\Nina\AppData\Roaming\Mozilla\Firefox\Profiles\xd5eerp8.default\prefs.js

Supprimée : user_pref("extensions.asktb.AviraIDW-TS", "1319920075537");
Supprimée : user_pref("extensions.asktb.AviraIDW-XML", "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\r\n<button xm[...]
Supprimée : user_pref("extensions.asktb.InstallDir", "C:\\Program Files\\Ask.com\\");
Supprimée : user_pref("extensions.asktb.cbid", "JM");
Supprimée : user_pref("extensions.asktb.config-updated", false);
Supprimée : user_pref("extensions.asktb.cr-o", "");
Supprimée : user_pref("extensions.asktb.crumb", "2011.09.03+08.15.17-toolbar003iad-FR-UGFyaXMsRnJhbmNl");
Supprimée : user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&[...]
Supprimée : user_pref("extensions.asktb.dtid", "YYYYYYYYFR");
Supprimée : user_pref("extensions.asktb.dyn-weather-do-locid-lookup-weatherWidget", false);
Supprimée : user_pref("extensions.asktb.dyn-weather-locid-weatherWidget", "FRXX0076");
Supprimée : user_pref("extensions.asktb.dyn-weather-tempunit-weatherWidget", "C");
Supprimée : user_pref("extensions.asktb.first-restart-after-config-update", true);
Supprimée : user_pref("extensions.asktb.fresh-install", false);
Supprimée : user_pref("extensions.asktb.guid", "00d3356f-1307-4f84-a123-1098920ae729");
Supprimée : user_pref("extensions.asktb.hxxp-header-whitelist-uri", "hxxp://sp.ask.com/toolbar/config/main/asktb[...]
Supprimée : user_pref("extensions.asktb.if", "first");
Supprimée : user_pref("extensions.asktb.l", "dis");
Supprimée : user_pref("extensions.asktb.last-config-req", "1327947178869");
Supprimée : user_pref("extensions.asktb.last-v", "3.14.0.100010");
Supprimée : user_pref("extensions.asktb.locale", "fr_FR");
Supprimée : user_pref("extensions.asktb.location", "Paris,France");
Supprimée : user_pref("extensions.asktb.notification-shown", true);
Supprimée : user_pref("extensions.asktb.o", "100000080");
Supprimée : user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
Supprimée : user_pref("extensions.asktb.qsrc", "2871");
Supprimée : user_pref("extensions.asktb.r", "3");
Supprimée : user_pref("extensions.asktb.sa", "NO");
Supprimée : user_pref("extensions.asktb.search-suggestions-enabled", true);
Supprimée : user_pref("extensions.asktb.silent-upgrade", true);
Supprimée : user_pref("extensions.asktb.silent-upgrade-from-pre-newtabs-build", false);
Supprimée : user_pref("extensions.asktb.themeid", "");
Supprimée : user_pref("extensions.asktb.to", "");
Supprimée : user_pref("extensions.asktb.v", "3.14.0.100010");
Supprimée : user_pref("extensions.enabledAddons", "toolbar@ask.com:3.14.0.100010,{972ce4c6-7e08-4474-a285-320819[...]

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Nina\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [7396 octets] - [30/01/2012 19:17:54]

*************************

Dossier Temporaire : 6 dossier(s) et 5 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [7616 octets] ##########

Et voilà le rapport ZHPDiag !!!

Lien CJoint.com BAEtNvE20PK

Merci encore
@+

Ce message a été modifié par ninette49 - 30 janvier 2012 - 07:45 .

Re

ZHPFix :

• Ferme toutes les applications ouvertes
  
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
  
  
• Clique sur H .
  
  
• Copie-colle les lignes ci-dessous dans la fenêtre

R3 - URLSearchHook: Elf 1.12 Toolbar - {38542454-dfb6-44f5-b052-d4e071a3d073} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\Elf_1.12\prxtbElf0.dll  
R3 - URLSearchHook: Elf 1.12 Toolbar - {38542454-dfb6-44f5-b052-d4e071a3d073} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\Elf_1.12\prxtbElf0.dll  
O2 - BHO: Elf 1.12 - {38542454-dfb6-44f5-b052-d4e071a3d073} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Elf_1.12\prxtbElf0.dll  
O3 - Toolbar: Elf 1.12 Toolbar - {38542454-dfb6-44f5-b052-d4e071a3d073} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Elf_1.12\prxtbElf0.dll  
[MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe (.not file.)   
O42 - Logiciel: Elf 1.12 Toolbar - (.Elf 1.12.) [HKLM] -- Elf_1.12 Toolbar  
[HKCU\Software\Ask.com.tmp]   
[MD5.197215658B8015182192E1EBCA3BBCC3] [SPRF][07/01/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Nina\AppData\Local\Temp\AskSLib.dll   [246440]  
[HKCU\Software\Ask.com.tmp]    
C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar   
emptytemp
emptyflash
firewallraz 
   

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
  
  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé
  
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
  
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

@++

Merci Apollo !!!

Je n'ai pas eu à confirmer des désinstallation de programmes.
Le rapport était sur le bureau finalement. j'espère que c'est le bon.

Voilà


Rapport de ZHPFix 1.12.3379 par Nicolas Coolman, Update du 22/01/2011
Fichier d'export Registre :
Run by Nina at 30/01/2012 20:23:57
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : ZHPFix Fix de rapport
Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

========== Logiciel(s) ==========
ABSENT Uninstall Process: c:\program files\elf_1.12\uninstall.exe

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\Nina\AppData\Local\Temp\AskSLib.dll

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Elf_1.12 Toolbar]
SUPPRIME Key: CLSID BHO: {38542454-dfb6-44f5-b052-d4e071a3d073}
SUPPRIME Key: HKCU\Software\Ask.com.tmp
ABSENT Key: HKCU\Software\Ask.com.tmp

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {38542454-dfb6-44f5-b052-d4e071a3d073}
SUPPRIME Toolbar: {38542454-dfb6-44f5-b052-d4e071a3d073}
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Public) : {DA375E8B-EF38-498D-98C9-2DE1D5A776D8}
SUPPRIME FirewallRaz (Public) : {F42F3D71-F4F4-4142-859E-9A8D9224F090}
SUPPRIME FirewallRaz (None) : {2C570EC7-815A-41EA-80C6-1A09B4A31786}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 70
SUPPRIME Flash Cookies: 281

========== Fichier(s) ==========
SUPPRIME File: c:\program files\elf_1.12\prxtbelf0.dll
ABSENT File: c:\program files\elf_1.12\prxtbelf0.dll
SUPPRIME File: c:\users\nina\appdata\local\temp\askslib.dll
ABSENT Folder/File: c:\windows\system32\tasks\scheduled update for ask toolbar
SUPPRIME Temporaires Windows: : 27
SUPPRIME Flash Cookies: 114

========== Tache planifiée ==========
SUPPRIME Task: Scheduled Update for Ask Toolbar


========== Récapitulatif ==========
1 : Module(s) mémoire
4 : Clé(s) du Registre
7 : Valeur(s) du Registre
2 : Dossier(s)
6 : Fichier(s)
1 : Logiciel(s)
1 : Tache planifiée


End of clean in 00mn 06s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 30/01/2012 20:23:57 [2104]



@++

Ok,

1) Télécharge TFC par OldTimer et enregistre-le sur le bureau.

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

---------
2) Télécharge Malwarebytes' Anti-Malware (MBAM).

Enregistre l'exécutable sur le bureau.

|MG| Malwarebytes Anti-Malware 1.60.0.1800 Download

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.



Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :
  

  Citation

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
  
  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++

Je ne sais pas ce qui s'est passé...
Après une heure d'analyse par MBAM, mon ordi s'est éteint tout seul et a redémarré

Je relance l'analyse et je reposte ce que ça donne.

@+

Alors fais d'abord une analyse rapide.

Le pc qui redémarre peut avoir plusieurs causes mais pas forcément infectieuses; il suffit d'une baisse de tension secteur et c'est goal.

Si ça se reproduit, dis-le moa.

@++

J'ai fait une analyse rapide qui n'a rien détecté. Pourtant tout à l'heure il y avait deux éléments détects pendant l'analyse complète...

Voilà le rapport
Malwarebytes Anti-Malware (Essai) 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.30.03

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Nina :: PC-DE-NINA [administrateur]

Protection: Activé

30/01/2012 22:04:58
mbam-log-2012-01-30 (22-04-58).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 170624
Temps écoulé: 6 minute(s), 6 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)