Forums Zebulon.fr: Virus « gendarmerie nationale » - Forums Zebulon.fr

bonjour à toutes et tous
je viens vers vous car depuis hier soir mon pc à été bloqué par une page soit disant de la gendarmerie nationale et me demandant de payer 200€ pour débloquer mon pc
apres quelques recherche (avec un autre pc) j'ai pu voir qu'il s'agissait d'un virus qui se répandait rapidement
j'ai pu voir qu'il y avait deja de nombreux post sur ce forum pour ce meme probleme ,j'ai donc essayer de suivre les indications données en esperant que ca résoudrait également mon probleme ...mais non!
donc la seule chose que je puisse faire avec mon pc est de démarrer en invite de commande en mode sans echec (meme en mode sans echec je n'ai pas acces au bureau)
j'ai reussi a faire un scan avec mbam (sans pouvoir le mettre à jour ,derniere maj environ 40 jours) il a trouvé des fichiers infecté mais pas celui qui me bloque
voila le rapport que j'ai pu recuperer

Malwarebytes Anti-Malware (Trial) 1.60.0.1800
www.malwarebytes.org

Database version: v2011.12.24.05

Windows XP Service Pack 3 x86 NTFS (Safe Mode)
Internet Explorer 8.0.6001.18702
Administrateur :: ARNAUD [administrator]

Protection: Disabled

05/02/2012 23:50:00
mbam-log-2012-02-05 (23-50-00).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 179684
Time elapsed: 8 minute(s), 59 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 12
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> No action taken.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKCR\AppID\{D2083641-E57F-4eab-BB85-0582424F4A29} (Adware.HotBar.CP) -> Quarantined and deleted successfully.

Registry Values Detected: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: VShareTB -> No action taken.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: -> No action taken.

Registry Data Items Detected: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1) Good: (http://www.google.com) -> Quarantined and repaired successfully.

Folders Detected: 0
(No malicious items detected)

Files Detected: 2
C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> No action taken.
C:\Documents and Settings\A\Local Settings\Temp\wpbt0.dll (Exploit.Drop) -> Quarantined and deleted successfully.

(end)

j'ai aussi fais un scan avec roguekiller (scan puis supprime mais j'ai pas garder le rapport et je ne le trouve plus)
puis aussi tdsskiller (mais j'ai que des objet inconnu classé médium ,donc j'ai tout mis en quarantaine au premier scan puis j'ai laissé skip apres avoir fais un deuxieme scan

y a t-il une solution a ce probleme? est ce que je pourrais recuperer certaine donné perso?
merci pour votre aide

Bonsoir,

Avant tout, tenter une restauration système à une date antérieure.
Lancer la restauration en ligne de commande
vous ne pouvez démarrer Windows en boot normal, ni en mode sans échec,
On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec
Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec
Sélectionnez Invite de commande en mode sans échec
validez per la touche Entrée


Choisissez votre compte usuel, pas le compte Administrateur ou autre.
Tapez cmd puis dans la fenêtre qui s'ouvre:
%systemroot%\system32\restore\rstrui.exe
validez
La restauration devrait se lancer.
1) Si vous n'avez pas accès à internet
Démarrer en Mode sans échec avec prise en charge du réseau

Relancez RogueKiller
Relancez Mbam Supprimez tout ce qu'il trouve.

2) Si l'infection persiste:
Démarrer en Mode sans échec avec Invite de commande.

Première option,si vous avez le cd Windows:
Lancer Démarrer->Exécuter
SFC /scannow
Le scan devrait pouvoir restaurer le fichier explorer.exe

Sinon, seconde option:
Rechercer c:\Windows \twexx32.dll
et si vous le trouvez
Démarrer->Exécuter->Regedit
Aller à
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Aller à shell dans la colonne de droite
Vous y voyez, comme donnée quelque chose comme C:\Documents and settings\xxxx\Desktop\machin.exe
ou "%Appdata%\mahmud.exe
Ce machin est variable .Notez le
clic droit shell -> Modifier
dans Données remplacer C:\Documents and settings\xxxx\Desktop\machin.exe par c:\Windows \twexx32.dll

Remontez à la barre de Regedit->Edition->Rechercher tapez le machin trouvé précédemment

Vous devriez le trouver là:
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
et là
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Clic droit sur la ligne où il apparait->Supprimer
Nettoyer:
C:\Documents and settings\xxxx\Desktop\machin.exe
C:\Users\xxxx\AppData\Roaming\mahmud.exe
%Temp%\JhrIdKrdhd8LhgDi8yt.tmp

Redémarrer en mode normal

Rechercer c:\Windows \twexx32.dll
et si vous le trouvez
Renommez le explorer.exe
Démarrer->Exécuter->Regedit
Aller à
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Aller à shell dans la colonne de droite
clic droit shell -> Modifier
dans Données remplacer twexx32.dll par explorer.exe

Sinon,si vous ne trouvez pas twexx32.dll
Téléchargez le explorer.exe correspondant à votre système :

http://www.malekal.c...orer_XP_SP2.exe
http://www.malekal.c...r_Vista_SP2.exe
http://www.malekal.c...r_Seven_SP1.exe

Aller dans le dossier C:Windows
Renommer explorer.exe explorer.old
Copier le explorer.exe que vous avez téléchargé
Démarrer->Exécuter->Regedit
Aller à
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Aller à shell.
clic droit shell -> Modifier
dans Données remplacer C:\Documents and settings\xxxx\Desktop\machin.exe par Explorer.exe

Redémarrez, vous devriez avoir accès à votre système.

4)Si le mode sans échec n'est pas accessible
Lancer Otlpe

Dans le nettoyage:
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"shell"="c:\Windows \twexx32.dll"

ou
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"shell"="explorer.exe"

Ce message a été modifié par pear - 08 février 2012 - 11:28 .

bonjour
ca y est le virus a disparu (du moins je pense ,apparement le pc fonctionne comme il faut)

en ayant restaurer le systeme par la fenetre cmd j'ai pu acceder a mon bureau
par contre firefox ne marchait plus ,j'ai du remettre ie comme navigateur par defaut pour faire les mise a jour de roguekiller et mbam
en le reinstallant par dessus ca c'est remis a marcher donc c'est bon ca aussi

veux tu voir les rapport de roguekiller et mbam au cas ou?

au fait le lien sur le site de malekal pour explorer.exe pour xp ne marche pas (juste pour info)

merci beaucoup

Citation

Oui, svp.

voila les rapports
ceux de roguekiller (apres le scan et apres suppression)

RogueKiller V7.0.3 [06/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/46)
Blog: tigzy-RK

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: A [Droits d'admin]
Mode: Recherche -- Date : 07/02/2012 21:24:39

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[] HKLM\[...]\Windows : () -> ACCESS DENIED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3160021A +++++
--- User ---
[MBR] 4e7d4000d0dcb277102038f0b1a957ec
[BSP] 0a3edfa42f17a98374e1fb58359e9383 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 77618 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 158963175 | Size: 75006 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt



le deuxieme

RogueKiller V7.0.3 [06/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/46)
Blog: tigzy-RK

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: A [Droits d'admin]
Mode: Suppression -- Date : 07/02/2012 21:24:50

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
[] HKLM\[...]\Windows : () -> ACCESS DENIED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3160021A +++++
--- User ---
[MBR] 4e7d4000d0dcb277102038f0b1a957ec
[BSP] 0a3edfa42f17a98374e1fb58359e9383 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 77618 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 158963175 | Size: 75006 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt



et le rapport de mbam

Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.02.07.05

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
A :: ARNAUD [administrateur]

Protection: Désactivé

2012-02-07 21:30
mbam-log-2012-02-07 (21-30-04).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 291627
Temps écoulé: 34 minute(s), 13 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 16
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Aucune action effectuée.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Aucune action effectuée.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Aucune action effectuée.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Aucune action effectuée.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Aucune action effectuée.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Aucune action effectuée.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Aucune action effectuée.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Aucune action effectuée.
HKCR\AppID\{D2083641-E57F-4eab-BB85-0582424F4A29} (Adware.HotBar.CP) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: ;áÃzÊ;XA³0öm»Áµ -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: VShareTB -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Mauvais: (http://startsear.ch/?aff=1) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Mauvais: (http://startsear.ch/?aff=1) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Aucune action effectuée.
C:\Documents and Settings\A\Mes documents\Téléchargements\u992.exe (PUP.UltraReach) -> Aucune action effectuée.
C:\Documents and Settings\A\Local Settings\Temporary Internet Files\Content.IE5\KRSQDUN8\readme[1].exe (Trojan.VUPX.ON1) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{E7564C5D-000A-489D-9F09-AF3DB5F63A48}\RP1602\A0133834.exe (Trojan.VUPX.ON1) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{E7564C5D-000A-489D-9F09-AF3DB5F63A48}\RP1602\A0133835.exe (Trojan.VUPX.ON1) -> Mis en quarantaine et supprimé avec succès.

(fin)

Télécharger AdwCleaner
Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt


Nettoyage
Relancez AdwCleaner avec droits administrateur
Cliquez sur Suppression et postez le rapport C:\AdwCleaner[S1].txt

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman
Double-cliquer sur ZHPDiag.exe pour installer l'outil
Sur le bureau ,il y aura 3 icônes


Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le tournevis et choisissez Tous
En cas de blocage, sur O80 par exemple, cliquez sur le tournevis pour le décocher

Clic sur la Loupe pour lancer le scan
Postez le rapport ZhpDiag.txt qui apparait sur le bureau
Comment poster les rapports
Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.
Autre solution:
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Ensuite appuyez sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

voici le premier rapport

recherche avec awdcleaner

# AdwCleaner v1.408 - Rapport créé le 09/02/2012 à 21:05:30
# Mis à jour le 29/01/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : A - ARNAUD (Administrateur)
# Exécuté depuis : C:\Documents and Settings\A\Bureau\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Documents and Settings\A\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Présent : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\Conduit
Dossier Présent : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\ConduitEngine
Dossier Présent : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\extensions\engine@conduit.com
Fichier Présent : C:\Program Files\Mozilla Firefox\Plugins\npvsharetvplg.dll
Fichier Présent : C:\Program Files\Windows live\messenger\msimg32.dll
Fichier Présent : C:\WINDOWS\system32\conduitEngine.tmp
Fichier Présent : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\searchplugins\Startsear.xml

***** [Registre] *****

[*] Clé Présente : HKCU\Software\TBSB09718
[*] Clé Présente : HKLM\SOFTWARE\Classes\Toolbar.CT2504091
[*] Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.TBSB09718.1
[*] Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TBSB09718.TBSB09718Toolbar
Clé Présente : HKCU\Software\Babylon
Clé Présente : HKLM\SOFTWARE\Conduit
Clé Présente : HKLM\SOFTWARE\Classes\Conduit.Engine
Clé Présente : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher.1
Clé Présente : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher
Clé Présente : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO.1
Clé Présente : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO
Clé Présente : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Présente : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v10.0 (fr)

Profil : n9wzh3s1.default
Fichier : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\prefs.js

Présente : user_pref("browser.search.defaultengine", "Web Search");
Présente : user_pref("browser.search.defaultenginename", "Web Search");
Présente : user_pref("browser.search.order.1", "Web Search");
Présente : user_pref("keyword.URL", "hxxp://startsear.ch/?aff=1&src=sp&cf=7eb21b96-04c2-11e1-b8f6-00016cc66fa3&[...]

*************************

AdwCleaner[R1].txt - [4827 octets] - [09/02/2012 21:05:30]

########## EOF - C:\AdwCleaner[R1].txt - [4955 octets] ##########

le deuxieme apres suppression

# AdwCleaner v1.408 - Rapport créé le 09/02/2012 à 21:15:10
# Mis à jour le 29/01/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : A - ARNAUD (Administrateur)
# Exécuté depuis : C:\Documents and Settings\A\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\A\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Supprimé : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\Conduit
Dossier Supprimé : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\ConduitEngine
Dossier Supprimé : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\extensions\engine@conduit.com
Fichier Supprimé : C:\Program Files\Mozilla Firefox\Plugins\npvsharetvplg.dll
Fichier Supprimé : C:\Program Files\Windows live\messenger\msimg32.dll
Fichier Supprimé : C:\WINDOWS\system32\conduitEngine.tmp
Fichier Supprimé : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\searchplugins\Startsear.xml

***** [Registre] *****

[*] Clé Supprimée : HKCU\Software\TBSB09718
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2504091
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.TBSB09718.1
[*] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TBSB09718.TBSB09718Toolbar
Clé Supprimée : HKCU\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v10.0 (fr)

Profil : n9wzh3s1.default
Fichier : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\prefs.js

Supprimée : user_pref("browser.search.defaultengine", "Web Search");
Supprimée : user_pref("browser.search.defaultenginename", "Web Search");
Supprimée : user_pref("browser.search.order.1", "Web Search");
Supprimée : user_pref("keyword.URL", "hxxp://startsear.ch/?aff=1&src=sp&cf=7eb21b96-04c2-11e1-b8f6-00016cc66fa3&[...]

*************************

AdwCleaner[R1].txt - [4956 octets] - [09/02/2012 21:05:30]
AdwCleaner[S1].txt - [4934 octets] - [09/02/2012 21:15:10]

*************************

Dossier Temporaire : 150 dossier(s) et 98 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [5157 octets] ##########

zhp n'a pas l'air de marcher
lors du scan il bloque
tout d'abord il affiche des message d'erreur et puis bloque a 61%



j'ai essayer "annuler" ou "continuer" ca fais pareil ,aussi il faut cliquer plusieurs fois pour qu'il parte ce message