Aller au contenu

Nestor345

Membres
  • Compteur de contenus

    81
  • Inscription

  • Dernière visite

Nestor345's Achievements

Member

Member (4/12)

0

Réputation sur la communauté

  1. Je viens vous dire que je m'en vais ... Pas de "solution" depuis le 17 novembre, malgré une relance tous les 3 ou 4 jours. Pear a eu une "panne" de PC et ne sait pas combien de temps cela va prendre ...ça c'était il y a 4 jours. j'ai alors demandé la prise encharge pas un autre modo, mais je n'ai pas eu de réponse ... http://forum.zebulon.fr/trojan-js-blacololerefw29-t197435.html&p=1644956#entry1644956 Nb: Les scans demandés par Pear ont été effectués le 20/11. Nestor PS: La bestiole n'a pas été éradiquée mais elle est muette depuis +/ 12 jours. Avira ne détecte plus rien, alors qu'à la "derière" analyse, la bestiole mise en quarantaine revenait chaque fois le lendemain. Et ce après rogueKiller. Le PC semble fonctionner normalement. Merci quand m^me à Pear d'avoir pris le temps de me guider. Je comprends bien qu'il lui est difficle d'être au four et au moulin, quand on a ce genre de problème.D'autant que ça n'urge pas, mais dans le doute (...).
  2. Bonjour, je vois aujourdh'hui que Pear a une "panne" de PC et ne sait pas combien de temps cela va prendre ... Est-ce qu'un autre modo peut se charger de l'analyse des scans. je remets un lien: Trojan JS/blacololeRef.W.29 - Forums Zebulon.fr Nb: Les scans demandés par Pear ont été effectués le 20/11. D'avance, merci .... Nestor PS: La bestiole n'a pas été éradiquée mais elle est muette depuis +/ 8 jours. Avira ne détecte plus rien, alors qu'à la "derière" analyse, la bestiole mise en quarantaine revenait chaque fois le lendemain. Et ce après rogueKiller. Le PC semble fonctionner normalement.
  3. Re-bonjour Je me permets de relancer une deuxième fois le sujet sur le lien ci-dessous. Les scans demandés par Pear ont été effectués le 20/11. A bientôt,j'espère. Nestor Trojan JS/blacololeRef.W.29 - Forums Zebulon.fr
  4. => je ne m'en sers que pour me rendre compte de ce qui ralentit mon PC (démarage en zone 04). Cela me permet aussi de faire une recherche internet pour savoir à quoi correspond certains processus. Je ne l'utilise qu'avec la pus grande prudence. Msconfig ne me laisse pas ce choix (j'ai besoin d'infos avant de désactiver, avec un transfert pratique vers le navigateur internet) (...). Autre chose, grâce à la signature d'Apollo, je me suis rendu compte, via le logiciel conseillé "Secunia_PSI" qu'il y avait encore pas mal de retard au niveau des mises à jour (confusion entre Windows update et Microsoft update. Je me suis dit que si ce logiciel était dans la signature d'un modo, c'est que c'était top http://theknitter-apollo.xooit.com/t2957-A-verifier-de-tempes-en-temps-important.htm J'ai aussi suivi les "conseils" de Pear et j'ai désinstallé les logiciels obsolètes. Et en cherchant à m'informer sur ce forum, j'ai installé Spywareblaster + mise à jour. Pas de conflit avec avira antivirus
  5. Je me permets de relancer le sujet sur ce lien: Trojan JS/blacololeRef.W.29 - Forums Zebulon.fr Les scans demandés par Pear ont été effectués le 20/11. A bientôt, Nestor
  6. Précision supplémentaire utile: Depuis 2 jours, Avira ne détecte plus d'intrus. Log ok. Le trojan se serait-il tapi? Bizarre ... Jusque maintenant, Avira antivirus proposait de mettre l'intrus en quarantaine, mais il revenait... Je ne suis pas le seul dans ce cas : un forumeur infecté par le m^me type de trojan a "vécu" la m^me expérience, sans avoir entrepris une éradiction "ad hoc". Trojan évaporé, en apparence ... Vous avez dit bizarre !? A+ Nestor PS: rien à signaler non plus via un scan avec HijackThis. j'en ai profité pour désactiver des programmes qui n'avvaient rien à faire au démarrage (code 04). J'ai 2 fois un svchost (?) Logfile of HijackThis v1.99.1 Scan saved at 23:21:33, on 22/11/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Program Files\Emsisoft Anti-Malware\a2service.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\sttray.exe (=> audio, ndlr; 303 octet => ok) C:\Program Files\Intel\IDU\iptray.exe D:\Mes documents\Logiciels\Logiciels sécurité 02\Spyblocker v9.0\Spyblocker clé\spyblocker.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Google\Update\GoogleUpdate.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Intel\IDU\awServ.exe C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe C:\Program Files\Java\jre7\bin\jqs.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton Utilities\NPROTECT.EXE C:\Program Files\Avira\AntiVir Desktop\avshadow.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\OO Software\Defrag\oodag.exe C:\Program Files\Speed Disk\nopdb.exe C:\WINDOWS\system32\STacSV.exe (=> audio, ndlr) C:\WINDOWS\system32\svchost.exe C:\Program Files\TwonkyMedia\twonkymediaserverwatchdog.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Program Files\TwonkyMedia\TwonkyMediaServer.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\SearchProtocolHost.exe (180 à 180 Ko, ndlr) => ok). D:\Mes documents\Logiciels\Logiciels sécurité 01 Base\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll O4 - HKLM\..\Run: [sigmatelSysTrayApp] sttray.exe O4 - HKLM\..\Run: [ipTray.exe] "C:\Program Files\Intel\IDU\iptray.exe" O4 - HKLM\..\Run: [spyBlocker] D:\Mes documents\Logiciels\Logiciels sécurité 02\Spyblocker v9.0\Spyblocker clé\spyblocker.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1344332585484 O20 - Winlogon Notify: LBTWlgn - c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Emsisoft Anti-Malware 6.0 - Service (a2AntiMalware) - Emsisoft GmbH - C:\Program Files\Emsisoft Anti-Malware\a2service.exe O23 - Service: Avira Scheduler (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Program Files\Intel\IDU\awServ.exe O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing) O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre7\bin\jqs.exe" -service -config "C:\Program Files\Java\jre7\lib\deploy\jqs\jqs.conf (file missing) O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag Agent (OODefragAgent) - O&O Software GmbH - C:\Program Files\OO Software\Defrag\oodag.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe O23 - Service: TwonkyMedia - PacketVideo - C:\Program Files\TwonkyMedia\twonkymediaserverwatchdog.exe
  7. Log MBAM 20 11 2012 (vierge) Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Version de la base de données: v2012.11.20.04 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Lucien :: LH04AFA1D [administrateur] 20/11/2012 18:59:46 mbam-log-2012-11-20 (18-59-46).txt Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|) Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 348591 Temps écoulé: 55 minute(s), 19 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté) (fin) *) Rapport Sx Nb : je vérifie les logiciels "renseignés" non mis à jour SX Check&Update Lien vers le tutoriel : Tutoriels - Security-X --- Windows Version : Windows XP 32 bits Service Pack : 3 UserName : Lucien 20/11/2012 20:22:43 version = v0.3.0 --- Windows Update Information : AUOptions : 4 Automatically, no notification --- Name : FlashPlayer ActiveX Version : 10.3.183.10 Flash Player ActiveX n'est pas à jour! (11.5.502.110) Name : FlashPlayer Plugin FF Version : 11.5.502.110 Flash Player Plugin FF est à jour Name : FlashPlayer Plugin Version : 11.5.502.110 Flash Player Plugin est à jour Nom : Adobe Shockwave Player 11.6 Version : 11.6.8.638 Adobe Reader n'est pas à jour! (11.0.00) Nom : Mozilla Firefox 16.0.2 (x86 fr) Version : 16.0.2 Java Information : Nom : Java 7 Update 9 Version : 7.0.90 Java 7 Update 9 est à jour Nom : Adobe Reader X (10.1.4) - Français Version : 10.1.4 Adobe Reader est à jour Nom : Internet Explorer Version : 8.0.6001.18702 D'avance merci pour ton analyse. Nestor
  8. 1) Adwcleaner R1 # AdwCleaner v2.008 - Rapport créé le 20/11/2012 à 18:35:23 # Mis à jour le 17/11/2012 par Xplode # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits) # Nom d'utilisateur : Lucien - LH04AFA1D # Mode de démarrage : Normal # Exécuté depuis : D:\Mes documents\Téléchargements\adwcleaner.exe # Option [Recherche] ***** [services] ***** ***** [Fichiers / Dossiers] ***** Dossier Présent : C:\Documents and Settings\All Users\Application Data\SweetIM Dossier Présent : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\SweetPacksToolbarData Dossier Présent : C:\Program Files\SweetIM Dossier Présent : C:\Program Files\YouTube Downloader Toolbar Fichier Présent : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi Fichier Présent : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\searchplugins\SweetIm.xml Fichier Présent : C:\Documents and Settings\Lucien\Bureau\Search The Web.url ***** [Registre] ***** Clé Présente : HKCU\Software\AppDataLow\Software\Search Settings Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F3FEE66E-E034-436A-86E4-9690573BEE8A} Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F3FEE66E-E034-436A-86E4-9690573BEE8A} Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A} Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064} Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847} Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847} Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847} Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289} Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847} Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847} Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847} Clé Présente : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F} Clé Présente : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils Clé Présente : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1 Clé Présente : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator Clé Présente : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1 Clé Présente : HKLM\SOFTWARE\Classes\sim-packages Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1 Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1 Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1 Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19} Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847} Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847} Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847} Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847} Clé Présente : HKLM\Software\Search Settings Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}] Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [sweetIM] Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [sweetpacks Communicator] Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelperApp.exe] Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarProxy.dll] ***** [Navigateurs] ***** -\\ Internet Explorer v8.0.6001.18702 [OK] Le registre ne contient aucune entrée illégitime. -\\ Mozilla Firefox v16.0.2 (fr) Nom du profil : default Fichier : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\prefs.js Présente : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?barid={620AF2EF-EF35-4EF8-8E6F-AA0C5D[...] Présente : user_pref("sweetim.toolbar.UserSelectedSaveSettings", "true"); Présente : user_pref("sweetim.toolbar.Visibility.VisibilityGuardLastUnHide", "0"); Présente : user_pref("sweetim.toolbar.Visibility.enable", "true"); Présente : user_pref("sweetim.toolbar.Visibility.intervaldays", "7"); Présente : user_pref("sweetim.toolbar.cargo", "3.1010000.10039"); Présente : user_pref("sweetim.toolbar.cda.DisableOveride.enable", "true"); Présente : user_pref("sweetim.toolbar.cda.HideOveride.enable", "true"); Présente : user_pref("sweetim.toolbar.cda.RemoveOveride.enable", "true"); Présente : user_pref("sweetim.toolbar.dialogs.0.enable", "true"); Présente : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-h[...] Présente : user_pref("sweetim.toolbar.dialogs.0.height", "335"); Présente : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog"); Présente : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;"); Présente : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff.asp?la[...] Présente : user_pref("sweetim.toolbar.dialogs.0.width", "761"); Présente : user_pref("sweetim.toolbar.dialogs.1.enable", "true"); Présente : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-h[...] Présente : user_pref("sweetim.toolbar.dialogs.1.height", "300"); Présente : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog"); Présente : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog"); Présente : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html"[...] Présente : user_pref("sweetim.toolbar.dialogs.1.width", "500"); Présente : user_pref("sweetim.toolbar.dialogs.2.enable", "true"); Présente : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handl[...] Présente : user_pref("sweetim.toolbar.dialogs.2.height", "150"); Présente : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove"); Présente : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog"); Présente : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp"); Présente : user_pref("sweetim.toolbar.dialogs.2.width", "530"); Présente : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.goog[...] Présente : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0"); Présente : user_pref("sweetim.toolbar.keywordUrlGuard.enable", "true"); Présente : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7"); Présente : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log"); Présente : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000"); Présente : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7"); Présente : user_pref("sweetim.toolbar.mode.debug", "false"); Présente : user_pref("sweetim.toolbar.newtab.created", "false"); Présente : user_pref("sweetim.toolbar.newtab.enable", "true"); Présente : user_pref("sweetim.toolbar.previous.keyword.URL", "hxxp://search.sweetim.com/search.asp?barid={620AF[...] Présente : user_pref("sweetim.toolbar.rc.url", "hxxp://www.sweetim.com/simffbar/rc.html?toolbar_version=$ITEM_V[...] Présente : user_pref("sweetim.toolbar.scripts.0.addcontextdiv", "true"); Présente : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification"); Présente : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", ""); Présente : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*"); Présente : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb"); Présente : user_pref("sweetim.toolbar.scripts.0.enable", "true"); Présente : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb"); Présente : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js"); Présente : user_pref("sweetim.toolbar.scripts.1.addcontextdiv", "true"); Présente : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification"); Présente : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", ""); Présente : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*"); Présente : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb"); Présente : user_pref("sweetim.toolbar.scripts.1.enable", "false"); Présente : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS"); Présente : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js"); Présente : user_pref("sweetim.toolbar.scripts.2.addcontextdiv", "false"); Présente : user_pref("sweetim.toolbar.scripts.2.callback", ""); Présente : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..[...] Présente : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", ""); Présente : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script"); Présente : user_pref("sweetim.toolbar.scripts.2.enable", "false"); Présente : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad"); Présente : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?[...] Présente : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...] Présente : user_pref("sweetim.toolbar.search.history.capacity", "10"); Présente : user_pref("sweetim.toolbar.searchguard.enable", "false"); Présente : user_pref("sweetim.toolbar.simapp_id", "{620AF2EF-EF35-4EF8-8E6F-AA0C5DC0ED4F}"); Présente : user_pref("sweetim.toolbar.version", "1.7.0.3"); ************************* AdwCleaner[R1].txt - [10639 octets] - [20/11/2012 18:28:06] AdwCleaner[R2].txt - [10569 octets] - [20/11/2012 18:35:23] ########## EOF - C:\AdwCleaner[R2].txt - [10630 octets] ########## 2)AdwCleaner[s1] # AdwCleaner v2.008 - Rapport créé le 20/11/2012 à 18:38:46 # Mis à jour le 17/11/2012 par Xplode # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits) # Nom d'utilisateur : Lucien - LH04AFA1D # Mode de démarrage : Normal # Exécuté depuis : D:\Mes documents\Téléchargements\adwcleaner.exe # Option [suppression] ***** [services] ***** ***** [Fichiers / Dossiers] ***** Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\SweetIM Dossier Supprimé : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\SweetPacksToolbarData Dossier Supprimé : C:\Program Files\YouTube Downloader Toolbar Fichier Supprimé : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi Fichier Supprimé : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\searchplugins\SweetIm.xml Fichier Supprimé : C:\Documents and Settings\Lucien\Bureau\Search The Web.url Supprimé au redémarrage : C:\Program Files\SweetIM ***** [Registre] ***** Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F3FEE66E-E034-436A-86E4-9690573BEE8A} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F3FEE66E-E034-436A-86E4-9690573BEE8A} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847} Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289} Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847} Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847} Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847} Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F} Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1 Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1 Clé Supprimée : HKLM\SOFTWARE\Classes\sim-packages Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1 Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1 Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1 Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19} Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847} Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847} Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847} Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847} Clé Supprimée : HKLM\Software\Search Settings Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [sweetIM] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [sweetpacks Communicator] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelperApp.exe] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarProxy.dll] ***** [Navigateurs] ***** -\\ Internet Explorer v8.0.6001.18702 [OK] Le registre ne contient aucune entrée illégitime. -\\ Mozilla Firefox v16.0.2 (fr) Nom du profil : default Fichier : C:\Documents and Settings\Lucien\Application Data\Mozilla\Firefox\Profiles\ih78r0vn.default\prefs.js Supprimée : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?barid={620AF2EF-EF35-4EF8-8E6F-AA0C5D[...] Supprimée : user_pref("sweetim.toolbar.UserSelectedSaveSettings", "true"); Supprimée : user_pref("sweetim.toolbar.Visibility.VisibilityGuardLastUnHide", "0"); Supprimée : user_pref("sweetim.toolbar.Visibility.enable", "true"); Supprimée : user_pref("sweetim.toolbar.Visibility.intervaldays", "7"); Supprimée : user_pref("sweetim.toolbar.cargo", "3.1010000.10039"); Supprimée : user_pref("sweetim.toolbar.cda.DisableOveride.enable", "true"); Supprimée : user_pref("sweetim.toolbar.cda.HideOveride.enable", "true"); Supprimée : user_pref("sweetim.toolbar.cda.RemoveOveride.enable", "true"); Supprimée : user_pref("sweetim.toolbar.dialogs.0.enable", "true"); Supprimée : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-h[...] Supprimée : user_pref("sweetim.toolbar.dialogs.0.height", "335"); Supprimée : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog"); Supprimée : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;"); Supprimée : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff.asp?la[...] Supprimée : user_pref("sweetim.toolbar.dialogs.0.width", "761"); Supprimée : user_pref("sweetim.toolbar.dialogs.1.enable", "true"); Supprimée : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-h[...] Supprimée : user_pref("sweetim.toolbar.dialogs.1.height", "300"); Supprimée : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog"); Supprimée : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog"); Supprimée : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html"[...] Supprimée : user_pref("sweetim.toolbar.dialogs.1.width", "500"); Supprimée : user_pref("sweetim.toolbar.dialogs.2.enable", "true"); Supprimée : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handl[...] Supprimée : user_pref("sweetim.toolbar.dialogs.2.height", "150"); Supprimée : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove"); Supprimée : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog"); Supprimée : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp"); Supprimée : user_pref("sweetim.toolbar.dialogs.2.width", "530"); Supprimée : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.goog[...] Supprimée : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0"); Supprimée : user_pref("sweetim.toolbar.keywordUrlGuard.enable", "true"); Supprimée : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7"); Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log"); Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000"); Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7"); Supprimée : user_pref("sweetim.toolbar.mode.debug", "false"); Supprimée : user_pref("sweetim.toolbar.newtab.created", "false"); Supprimée : user_pref("sweetim.toolbar.newtab.enable", "true"); Supprimée : user_pref("sweetim.toolbar.previous.keyword.URL", "hxxp://search.sweetim.com/search.asp?barid={620AF[...] Supprimée : user_pref("sweetim.toolbar.rc.url", "hxxp://www.sweetim.com/simffbar/rc.html?toolbar_version=$ITEM_V[...] Supprimée : user_pref("sweetim.toolbar.scripts.0.addcontextdiv", "true"); Supprimée : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification"); Supprimée : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", ""); Supprimée : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*"); Supprimée : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb"); Supprimée : user_pref("sweetim.toolbar.scripts.0.enable", "true"); Supprimée : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb"); Supprimée : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js"); Supprimée : user_pref("sweetim.toolbar.scripts.1.addcontextdiv", "true"); Supprimée : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification"); Supprimée : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", ""); Supprimée : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*"); Supprimée : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb"); Supprimée : user_pref("sweetim.toolbar.scripts.1.enable", "false"); Supprimée : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS"); Supprimée : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js"); Supprimée : user_pref("sweetim.toolbar.scripts.2.addcontextdiv", "false"); Supprimée : user_pref("sweetim.toolbar.scripts.2.callback", ""); Supprimée : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..[...] Supprimée : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", ""); Supprimée : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script"); Supprimée : user_pref("sweetim.toolbar.scripts.2.enable", "false"); Supprimée : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad"); Supprimée : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?[...] Supprimée : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...] Supprimée : user_pref("sweetim.toolbar.search.history.capacity", "10"); Supprimée : user_pref("sweetim.toolbar.searchguard.enable", "false"); Supprimée : user_pref("sweetim.toolbar.simapp_id", "{620AF2EF-EF35-4EF8-8E6F-AA0C5DC0ED4F}"); Supprimée : user_pref("sweetim.toolbar.version", "1.7.0.3"); ************************* AdwCleaner[R1].txt - [10639 octets] - [20/11/2012 18:28:06] AdwCleaner[s1].txt - [10692 octets] - [20/11/2012 18:38:46] ########## EOF - C:\AdwCleaner[s1].txt - [10753 octets] ##########
  9. merci pour la réponse. c'est sympa de me guider via le tuto voici les scans avec les logs demandés, dans le post suivant NB: - J'ai désinstallé comme suggéré Ad-aware qui ne servait plus guère (...). Je prends bonne note que Spybot est désuet. je le désinstallerais ultérieurement (fin de semaine). Je n'avais pas activé la fonction Tea timer, et j'avais déjà décoché la fonction Host (conflit avira). j'ai désacitivé tout Spybot comme demandé. Edit 24/11: c'est fait pour Spybot. - Avira free antivirus est le seul antivirus. j'utilise norton winDr comme analyse de registre (+ JV16). - J'avais déja MBAM installé; je l'ai mis à jour avant de faire le scan (vierge). Je poste ci-dessous les logs demandés: 1) Adwcleaner R1 2) Adwcleaner S1 3) MBAM log (clean) 4)Rapport SX Rque : le rapport Sx m'indique des logiciels "out". J'ai vérifié via l'update qu'ils sont bien à jour.
  10. Merci à dylav pour avoir héberger le rapport (...). à bientôt pour avoir des précisions sur quoi supprimer dans ma base de registre : Je ne voudrais pas commettre d'impair ... Je me doute qu'il y aussi d'autres demandes ... Bonne journée Nestor
  11. Voici les Logs des scans Roguekiller situés sur mon bureau de PC (sauvegardes auto) *) RKReport 1 RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : Recherche -- Date : 18/11/2012 19:31:23 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 1 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xBA7E0EB4) SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xBA7E0E6E) SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA7E0EBE) SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7E0E64) SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xBA7E0E73) SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xBA7E0E7D) SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA7E0EAF) SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xBA7E0E82) SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7E0E50) SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7E0E55) SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xBA7E0ED7) SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xBA7E0E8C) SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA7E0EC8) SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xBA7E0E87) SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA7E0EC3) SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA7E0ECD) SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xBA7E0E78) SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xBA7E0ED2) SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7E0E5F) S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA7E0EE6) S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA7E0EEB) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD2500KS-00MJB0 +++++ --- User --- [MBR] 9669825096cb0a1acaf8525aa9dab190 [bSP] c882c902433fb6197beb5ba451312982 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 64903 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 132921873 | Size: 57200 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 250067790 | Size: 116369 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_18112012_193123.txt >> RKreport[1]_S_18112012_193123.txt *) RKReport 2 RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : Recherche -- Date : 18/11/2012 19:34:15 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 1 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xBA7E0EB4) SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xBA7E0E6E) SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA7E0EBE) SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7E0E64) SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xBA7E0E73) SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xBA7E0E7D) SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA7E0EAF) SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xBA7E0E82) SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7E0E50) SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7E0E55) SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xBA7E0ED7) SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xBA7E0E8C) SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA7E0EC8) SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xBA7E0E87) SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA7E0EC3) SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA7E0ECD) SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xBA7E0E78) SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xBA7E0ED2) SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7E0E5F) S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA7E0EE6) S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA7E0EEB) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD2500KS-00MJB0 +++++ --- User --- [MBR] 9669825096cb0a1acaf8525aa9dab190 [bSP] c882c902433fb6197beb5ba451312982 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 64903 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 132921873 | Size: 57200 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 250067790 | Size: 116369 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_S_18112012_193415.txt >> RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt *) RKReport 3 RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : Recherche -- Date : 18/11/2012 19:35:11 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 1 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xBA7E0EB4) SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xBA7E0E6E) SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA7E0EBE) SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7E0E64) SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xBA7E0E73) SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xBA7E0E7D) SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA7E0EAF) SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xBA7E0E82) SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7E0E50) SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7E0E55) SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xBA7E0ED7) SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xBA7E0E8C) SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA7E0EC8) SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xBA7E0E87) SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA7E0EC3) SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA7E0ECD) SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xBA7E0E78) SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xBA7E0ED2) SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7E0E5F) S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA7E0EE6) S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA7E0EEB) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD2500KS-00MJB0 +++++ --- User --- [MBR] 9669825096cb0a1acaf8525aa9dab190 [bSP] c882c902433fb6197beb5ba451312982 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 64903 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 132921873 | Size: 57200 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 250067790 | Size: 116369 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3]_S_18112012_193511.txt >> RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt *) RKReport 4 Autre solution: Aller sur le site :Ci-JointImage IPB Appuyez sur Parcourir et chercher les rapports sur le disque, Ensuite appuyez sur Créer le lien CJoint, >> dans la page suivante --> ,, une adresse http//.. sera créée Copier /coller cette adresse dans votre prochain message. *) RKReport 5 RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : HOSTS RAZ -- Date : 18/11/2012 19:39:55 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[5]_H_18112012_193955.txt >> RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt *) RKReport 6 RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : Recherche -- Date : 18/11/2012 19:41:44 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xBA7E0EB4) SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xBA7E0E6E) SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA7E0EBE) SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7E0E64) SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xBA7E0E73) SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xBA7E0E7D) SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA7E0EAF) SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xBA7E0E82) SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7E0E50) SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7E0E55) SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xBA7E0ED7) SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xBA7E0E8C) SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA7E0EC8) SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xBA7E0E87) SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA7E0EC3) SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA7E0ECD) SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xBA7E0E78) SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xBA7E0ED2) SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7E0E5F) S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA7E0EE6) S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA7E0EEB) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD2500KS-00MJB0 +++++ --- User --- [MBR] 9669825096cb0a1acaf8525aa9dab190 [bSP] c882c902433fb6197beb5ba451312982 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 64903 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 132921873 | Size: 57200 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 250067790 | Size: 116369 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[6]_S_18112012_194144.txt >> RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ; RKreport[6]_S_18112012_194144.txt *) RKReport 7 RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : HOSTS RAZ -- Date : 18/11/2012 19:42:12 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[7]_H_18112012_194212.txt >> RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ; RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt *) RKReport 8 RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : Proxy RAZ -- Date : 18/11/2012 19:44:32 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ Termine : << RKreport[8]_PR_18112012_194432.txt >> RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ; RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt ; RKreport[8]_PR_18112012_194432.txt *) RKReport 9 RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : DNS RAZ -- Date : 18/11/2012 19:45:16 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ Termine : << RKreport[9]_DN_18112012_194516.txt >> RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ; RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt ; RKreport[8]_PR_18112012_194432.txt ; RKreport[9]_DN_18112012_194516.txt *) RKReport 10 RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : Raccourcis RAZ -- Date : 18/11/2012 19:47:29 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Attributs de fichiers restaures: ¤¤¤ Bureau: Success 0 / Fail 0 Lancement rapide: Success 0 / Fail 0 Programmes: Success 16 / Fail 0 Menu demarrer: Success 0 / Fail 0 Dossier utilisateur: Success 94 / Fail 0 Mes documents: Success 477 / Fail 477 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 112 / Fail 0 Sauvegarde: [NOT FOUND] Lecteurs: [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored [E:] \Device\CdRom0 -- 0x5 --> Skipped [F:] \Device\CdRom1 -- 0x5 --> Skipped [G:] \Device\Harddisk1\DP(1)0-0+8 -- 0x2 --> Restored [H:] \Device\Harddisk2\DP(1)0-0+9 -- 0x2 --> Restored [i:] \Device\Harddisk3\DP(1)0-0+a -- 0x2 --> Restored [J:] \Device\Harddisk4\DP(1)0-0+b -- 0x2 --> Restored [K:] \Device\HarddiskVolume3 -- 0x3 --> Restored Termine : << RKreport[10]_SC_18112012_194729.txt >> RKreport[10]_SC_18112012_194729.txt ; RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ; RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt ; RKreport[8]_PR_18112012_194432.txt ; RKreport[9]_DN_18112012_194516.txt *) RKReport 11 RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : Suppression -- Date : 18/11/2012 19:51:50 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xBA7E0EB4) SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xBA7E0E6E) SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA7E0EBE) SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7E0E64) SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xBA7E0E7D) SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA7E0EAF) SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xBA7E0E82) SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7E0E50) SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7E0E55) SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xBA7E0ED7) SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xBA7E0E8C) SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA7E0EC8) SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xBA7E0E87) SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA7E0EC3) SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA7E0ECD) SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xBA7E0E78) SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xBA7E0ED2) SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7E0E5F) S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA7E0EE6) S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA7E0EEB) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD2500KS-00MJB0 +++++ --- User --- [MBR] 9669825096cb0a1acaf8525aa9dab190 [bSP] c882c902433fb6197beb5ba451312982 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 64903 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 132921873 | Size: 57200 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 250067790 | Size: 116369 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[11]_D_18112012_195150.txt >> RKreport[10]_SC_18112012_194729.txt ; RKreport[11]_D_18112012_195150.txt ; RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ; RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt ; RKreport[8]_PR_18112012_194432.txt ; RKreport[9]_DN_18112012_194516.txt
  12. Avant d'arriver à la phase ZhpDiag, j'ai utilisé le programme RogueKiller. J'ai suivi le processus; j'ai collecté les logs (sauf le 1er, oubli dû au stress). Les voici postés ci-après. J'ai aussi sur mon bureau une sauvegarde des scan. Je les collecte et je les poste dans une réponse séparée Voici ci-après les logs des phases précédentes de Roguekiller.exe *)Lancer RogueKiller.exe Cliquer sur Rapport et copier/coller le contenu => Suppression. J'ai ensuite refais un scan pour vérifier si ça apparaissait encore. Vierge. *) Host rapport: RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : HOSTS RAZ -- Date : 18/11/2012 19:42:12 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[7]_H_18112012_194212.txt >> RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ; RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt X *) Proxy RAZ => Pas d'affichage. *)DNS RAZ => Pas d'affichage. *) Racc. RAZ RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/63) Website: RogueKiller Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Lucien [Droits d'admin] Mode : Raccourcis RAZ -- Date : 18/11/2012 19:47:29 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Attributs de fichiers restaures: ¤¤¤ Bureau: Success 0 / Fail 0 Lancement rapide: Success 0 / Fail 0 Programmes: Success 16 / Fail 0 Menu demarrer: Success 0 / Fail 0 Dossier utilisateur: Success 94 / Fail 0 Mes documents: Success 477 / Fail 477 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 112 / Fail 0 Sauvegarde: [NOT FOUND] Lecteurs: [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored [E:] \Device\CdRom0 -- 0x5 --> Skipped [F:] \Device\CdRom1 -- 0x5 --> Skipped [G:] \Device\Harddisk1\DP(1)0-0+8 -- 0x2 --> Restored [H:] \Device\Harddisk2\DP(1)0-0+9 -- 0x2 --> Restored [i:] \Device\Harddisk3\DP(1)0-0+a -- 0x2 --> Restored [J:] \Device\Harddisk4\DP(1)0-0+b -- 0x2 --> Restored [K:] \Device\HarddiskVolume3 -- 0x3 --> Restored Termine : << RKreport[10]_SC_18112012_194729.txt >> RKreport[10]_SC_18112012_194729.txt ; RKreport[1]_S_18112012_193123.txt ; RKreport[2]_S_18112012_193415.txt ; RKreport[3]_S_18112012_193511.txt ; RKreport[4]_D_18112012_193554.txt ; RKreport[5]_H_18112012_193955.txt ; RKreport[6]_S_18112012_194144.txt ; RKreport[7]_H_18112012_194212.txt ; RKreport[8]_PR_18112012_194432.txt ; RKreport[9]_DN_18112012_194516.txt
  13. Bonjour, je suis infecté par un trojan: JS/blacololeRef.W.29 (signalé par avira free antivirus). J'ai d'abord lancé RogueKiller.exe. puis comme je n'avais pas d'icône ni de "programme" à l'étape "Zhpdiag" (sous windows XP), j'ai téléchargé sur zebulon ce dernier. Voici le rapport ci-dessous. Merci de bien vouloir m'assister. Nestor Rapport de ZHPDiag. -édit- Voilà typiquement un rapport qu'il est dangereux de coller directement dans un message, au risque de bloquer le sujet (à cause des limites du gestionnaire de forum IPB 3.1), donc de le rendre inaccessible. Il est donc préférable de faire héberger de tels rapports, par exemple chez C'est ce que j'ai fait avec le tien
  14. Nestor345

    Son HS

    re, C'est solutionné: géné de dire ce que c'est : La femme d'ouvrage est passée par là. mauvais contact. Le voyant étant visible, je n'ai pas poussé plus loin ... Merci de votre aide quand m^me. Nestor.
  15. Nestor345

    Son HS

    Re, Oui, oui cette clé est présente, mais il s'agit de Mediaplayer (Pour WMP je suppose). Je n'arrive pas faire un copier / coller de toutes les valeurs avec le bloc-note ... je précise que je fonctionne avec I-tunes, et que je souhaiterais le garder. Pas de son au démarrage de Windows Xp non plus. En allant voir dans les variables du systéme (Perf & maintenance > Système > Onglet "Avancé"), j'ai vu que j'avais une valeur pour le lecteur vidéo QuikTime, mais pas pour le lecteur audio I-Tunes (variables d'environnement > Variables Système > Path). J'ai pu corriger le lancement de Spybot ainsi, en suivant les conseils donnés sur le site de Microsoft updates et en éditant une nouvelle clé. mais j'avais des éléments précis pour effectuer une recherche : framedyn Je vais tenter une recherche google avec "Itunes JV16 + HS" (pour son HS). A + nestor
×
×
  • Créer...