sharleen*

Merci. La page d'accueil de FF était le moteur de recherche Bing qui est la page d'accueil d'origine de FF. Si ce n'est que cette page est un "faux" : à l'ouverture, ça s'affiche avec google en grand au-dessus du rectangle moteur de recherche, puis en 1 seconde, ça se transorfme en petit google qui se retrouve sur la gauche du rectangle de recherche, avec des animations au-dessus. Pour MBAM, j'avais la version free. J'ai téléchargé la nouvelle version sur Zebulon. Et à ce propos, le problème des pubs et boutons pour télécharger d'autres logiciels que celui choisi, perdure. Il faut vraiment faire attention où l'on clique, c'est assez vicieux. J'ai été voir la messagerie : toujours le faux message d'alerte d'un logiciel espion. Et toujours les pubs.. J'ai bien noté qu'il fallait réinstaller FF, néanmoins je suis surprise qu'après tout le travail de désinfection, les problèmes d'origine demeurent : ? Je n'ai pas été voir sur IE8. J'attends ton avis pour changer FF, ou pas encore. Idem pour MBAM. S'il faut lancer une analyse MBAM, pourrait-on enlever les logiciels que tu m'as fait télécharger ? ça ferait ça en moins de fichiers à analyser.

Bonjour Apollo. Voici les rapports. Pour info : quand la fenêtre Combofix s'est ouverte et que ça a commencé à travaillé, à un moment cela a signalé que la console de récupération n'était pas sur Windows. Or elle y est. Ensuite message "l'ordinateur ne semble pas connecté à Internet, veuillez vérifier avant de cliquer sur oui". Or c'était bien connecté. J'ai cliqué sur oui quand même, n'osant pas interrompre le processus. Le message "échec téléchargement fichiers" est apparu. Le scan a ensuite commencé. Il y a toujours la page d'acceuil google sur FF, pour info. Merci. Rapport Rkill : Rkill 2.6.6 by Lawrence Abrams (Grinler) http://www.bleepingcomputer.com/ Copyright 2008-2014 BleepingComputer.com More Information about Rkill can be found at this link: http://www.bleepingcomputer.com/forums/topic308364.html Program started at: 05/31/2014 11:08:28 AM in x86 mode. Windows Version: Microsoft Windows XP Service Pack 3 Checking for Windows services to stop: * No malware services found to stop. Checking for processes to terminate: * No malware processes found to kill. Checking Registry for malware related settings: * No issues found in the Registry. Resetting .EXE, .COM, & .BAT associations in the Windows Registry. Performing miscellaneous checks: * Windows Firewall Disabled [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = dword:00000000 Checking Windows Service Integrity: * Client DNS (Dnscache) is not Running. Startup Type set to: Disabled Searching for Missing Digital Signatures: Rapport Combofix ComboFix 14-05-29.01 - YORK 31/05/2014 11:27:02.1.1 - x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.631 [GMT 2:00] Lancé depuis: c:\documents and settings\YORK\Bureau\plop.exe AV: Avira Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE} FW: CA Personal Firewall 9.1.0.26 *Disabled* {14CB4B80-8E52-45EA-905E-67C1267B4160} FW: Outpost Firewall *Enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD} * Un nouveau point de restauration a été créé . . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\documents and settings\All Users\Application Data\TEMP c:\windows\system32\PowerToyReadme.htm c:\windows\system32\SET659.tmp c:\windows\system32\SET65E.tmp c:\windows\system32\SET90.tmp c:\windows\system32\SET94.tmp c:\windows\system32\SET9B.tmp c:\windows\system32\SET9F.tmp c:\windows\system32\SETA0.tmp c:\windows\system32\SETA1.tmp c:\windows\system32\SETA2.tmp c:\windows\system32\SETA9.tmp c:\windows\system32\SETAF.tmp . . ((((((((((((((((((((((((((((( Fichiers créés du 2014-04-28 au 2014-05-31 )))))))))))))))))))))))))))))))))))) . . 2014-05-30 16:58 . 2014-05-30 16:58 26624 ----a-w- c:\windows\system32\drivers\TrueSight.sys 2014-05-30 16:58 . 2014-05-30 16:58 -------- d-----w- c:\documents and settings\All Users\Application Data\RogueKiller 2014-05-29 20:01 . 2014-05-30 08:53 -------- d-----w- C:\AdwCleaner 2014-05-29 19:20 . 2014-05-29 19:20 512 ----a-w- C:\PhysicalDisk0_MBR.bin 2014-05-29 19:15 . 2014-05-29 19:54 -------- d-----w- c:\documents and settings\YORK\Application Data\ZHP 2014-05-29 19:15 . 2014-05-29 19:20 -------- d-----w- c:\program files\ZHPDiag 2014-05-08 13:48 . 2014-05-08 13:48 227704 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll . . . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2014-05-14 09:47 . 2012-04-28 11:15 692400 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2014-05-14 09:47 . 2012-01-16 17:21 70832 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2014-03-06 17:58 . 2008-04-13 17:34 1469440 ------w- c:\windows\system32\inetcpl.cpl 2014-03-06 17:58 . 2008-04-13 17:33 920064 ----a-w- c:\windows\system32\wininet.dll 2014-03-06 17:58 . 2008-04-13 17:33 43520 ----a-w- c:\windows\system32\licmgr10.dll 2014-03-06 17:58 . 2008-04-13 17:33 18944 ----a-w- c:\windows\system32\corpol.dll 2014-03-06 00:46 . 2008-04-13 17:00 385024 ----a-w- c:\windows\system32\html.iec 2007-02-10 15:14 . 2007-02-10 15:14 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe 2009-03-31 20:47 . 2014-05-15 14:26 324976 ----a-w- c:\program files\mozilla firefox\components\coFFPlgn.dll . . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 65536] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "USB-Set"="wscript" [X] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-27 7118848] "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 196608] "NVRotateSysTray"="c:\windows\system32\nvsysrot.dll" [2005-07-27 49152] "OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2009-04-28 2374464] "OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall\feedback.exe" [2009-04-28 428032] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2014-03-13 689744] "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2013-11-21 959904] "TkBellExe"="c:\program files\real\realplayer\update\realsched.exe" [2013-06-23 295512] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-05 44544] . c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\ Enryko.lnk - c:\program files\Enryko\Enryko.exe [2006-10-19 274432] NETGEAR ProSafe VPN Client.lnk - c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe [2009-12-10 77876] . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "HonorAutoRunSetting"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2005-05-31 20:46 110592 ----a-w- c:\program files\Intel\Wireless\Bin\LgNotify.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina] 2005-08-22 09:52 49152 ----a-w- c:\program files\Softex\OmniPass\OPXPGina.dll . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Program Files\\Fichiers communs\\AOL\\System Information\\sinf.exe"= "c:\\Program Files\\NETGEAR\\NETGEAR ProSafe VPN Client\\IreIKE.exe"= "c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe"= c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe:127.0.0.1/255.255.255.255:Enabled:ViewLog "c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe"= c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe:127.0.0.1/255.255.255.255:Enabled:CMonApp "c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe"= c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe:127.0.0.1/255.255.255.255:Enabled:VPN Connection Manager . R2 AntiVirMailService;Avira Protection e-mail;c:\program files\Avira\AntiVir Desktop\avmailc.exe [2014-03-13 896592] R3 TEchoCan;Toshiba Audio Effect;c:\windows\system32\DRIVERS\TEchoCan.sys [2005-07-14 444032] S0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\DRIVERS\thpdrv.sys [2004-12-27 16384] S0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\DRIVERS\Thpevm.SYS [2007-09-03 6528] S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2013-11-27 37352] S1 IPSECDRV;SafeNet IPSec Plugin;c:\windows\system32\Drivers\IPSECDRV.sys [2008-02-04 138296] S1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [2009-04-06 704384] S1 TMEI3E;TMEI3E;c:\windows\system32\Drivers\TMEI3E.SYS [2004-06-16 5888] S2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [2009-04-28 1195008] S2 AntiVirSchedulerService;Avira Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2014-03-13 440400] S2 AntiVirWebService;Avira Protection Web;c:\program files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2014-03-13 1017424] S2 Crypto;Crypto;c:\windows\system32\Drivers\Crypto.sys [2008-01-17 536634] S2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;c:\program files\RealNetworks\RealDownloader\rndlresolversvc.exe [2013-04-16 39056] S2 Tmesrv;Tmesrv3;c:\program files\TOSHIBA\TME3\Tmesrv31.exe [2005-04-05 118784] S3 afw;Agnitum firewall driver;c:\windows\system32\DRIVERS\afw.sys [2009-02-18 31128] S3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [2009-02-10 257432] S3 DniVap;Deterministic Networks WAN Miniport (Virtual);c:\windows\system32\DRIVERS\vap.sys [2008-01-02 29184] S3 IFXTPM;IFXTPM;c:\windows\system32\DRIVERS\IFXTPM.SYS [2005-06-10 35968] . . Contenu du dossier 'Tâches planifiées' . 2014-05-31 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-28 09:48] . 2014-05-31 c:\windows\Tasks\Notification de fin de service de Microsoft Windows XP - à la connexion.job - c:\windows\system32\xp_eos.exe [2014-03-26 23:28] . 2014-05-08 c:\windows\Tasks\Notification de fin de service de Microsoft Windows XP -mensuellement.job - c:\windows\system32\xp_eos.exe [2014-03-26 23:28] . 2006-10-19 c:\windows\Tasks\Rappel d'enregistrement 1.job - c:\windows\system32\OOBE\oobebaln.exe [2005-08-29 17:34] . 2006-10-19 c:\windows\Tasks\Rappel d'enregistrement 2.job - c:\windows\system32\OOBE\oobebaln.exe [2005-08-29 17:34] . 2014-05-31 c:\windows\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-544044165-1649040337-268803306-1006.job - c:\program files\RealNetworks\RealDownloader\recordingmanager.exe [2013-04-16 01:09] . 2014-05-31 c:\windows\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-544044165-1649040337-268803306-1006.job - c:\program files\RealNetworks\RealDownloader\realupgrade.exe [2013-04-16 01:07] . 2014-05-31 c:\windows\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-544044165-1649040337-268803306-1006.job - c:\program files\RealNetworks\RealDownloader\realupgrade.exe [2013-04-16 01:07] . 2014-05-31 c:\windows\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-544044165-1649040337-268803306-1006.job - c:\program files\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-05-13 c:\windows\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-544044165-1649040337-268803306-1006.job - c:\program files\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-05-31 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-544044165-1649040337-268803306-1006.job - c:\program files\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-03-08 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-544044165-1649040337-268803306-1006.job - c:\program files\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . . ------- Examen supplémentaire ------- . uStart Page = https://www.google.fr/ TCP: DhcpNameServer = 192.168.1.1 FF - ProfilePath - c:\documents and settings\YORK\Application Data\Mozilla\Firefox\Profiles\xgkux5co.default-1401377755143\ . - - - - ORPHELINS SUPPRIMES - - - - . Toolbar-Locked - (no file) c:\documents and settings\YORK\Menu Démarrer\Programmes\Démarrage\ERUNT AutoBackup.lnk - c:\program files\ERUNT\AUTOBACK.EXE %SystemRoot%\ERDNT\AutoBackup\#Date# /noconfirmdelete /noprogresswindow AddRemove-ERUNT_is1 - c:\program files\ERUNT\unins000.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2014-05-31 11:42 Windows 5.1.2600 Service Pack 3 NTFS . Recherche de processus cachés ... . Recherche d'éléments en démarrage automatique cachés ... . Recherche de fichiers cachés ... . Scan terminé avec succès Fichiers cachés: 0 . ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- . [HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences] @Denied: (2) (LocalSystem) "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,48,b4,96,65,eb,49,f8,4b,b2,f0,c6,\ "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,48,b4,96,65,eb,49,f8,4b,b2,f0,c6,\ . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_13_0_0_214_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_13_0_0_214_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="IFlashBroker5" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- DLLs chargées dans les processus actifs --------------------- . - - - - - - - > 'winlogon.exe'(1576) c:\program files\Softex\OmniPass\opxpgina.dll c:\program files\Intel\Wireless\Bin\LgNotify.dll . - - - - - - - > 'explorer.exe'(836) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\eappprxy.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Autres processus actifs ------------------------ . c:\program files\Intel\Wireless\Bin\EvtEng.exe c:\program files\Intel\Wireless\Bin\S24EvMon.exe c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe c:\program files\Intel\Wireless\Bin\ZcfgSvc.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe c:\program files\TOSHIBA\TOSHIBA RAID\Service\kraidsvc.exe c:\program files\Intel\Wireless\Bin\OProtSvc.exe c:\program files\TOSHIBA\TOSHIBA RAID\Service\krdevctl.exe c:\program files\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\wscript.exe c:\windows\system32\rundll32.exe c:\program files\Apoint2K\Apntex.exe c:\program files\Avira\AntiVir Desktop\avshadow.exe . ************************************************************************** . Heure de fin: 2014-05-31 11:51:27 - La machine a redémarré ComboFix-quarantined-files.txt 2014-05-31 09:51 . Avant-CF: 67 600 052 224 octets libres Après-CF: 67 728 236 544 octets libres . - - End Of File - - 60570829BF9331208F35B159998CC085 671B81004FDD1588FA9ED1331C9CECA9

Merci. Je pense alors qu'il vaut mieux que je fasse cela demain. Merci beaucoup pour ton suivi, bonne fin de soirée (laborieuse sans doute ).

Apollo, est-ce que Combofix va mettre longtemps ou pas ? Si oui, je ferai cela demain, si non, je le fais ce soir. merci

Voilà, j'ai supprimé ce qui a été trouvé dans le registre (je n'ai pas touché aux autres onglets). excuse-moi, je fatigue, je n'avais pas vu que je n'avais pas coché les cases.. Merci pour ta réponse, je me demandais pourquoi je ne trouvais pas proxy et le reste. Rapport registre. RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software Mail : http://www.adlice.com/contact/ Remontées : http://forum.adlice.com Site Web : http://www.surlatoile.org/RogueKiller/ Blog : http://www.adlice.com Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Démarrage : Mode normal Utilisateur : YORK [Droits d'admin] Mode : Suppression -- Date : 05/30/2014 19:52:59 ¤¤¤ Processus malicieux : 1 ¤¤¤ [suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ ¤¤¤ Entrées de registre : 9 ¤¤¤ [suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> SUPPRIMÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> SUPPRIMÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> SUPPRIMÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> SUPPRIMÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> SUPPRIMÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> SUPPRIMÉ [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> SUPPRIMÉ [PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> SUPPRIMÉ [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> REMPLACÉ (0) ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Fichiers : 0 ¤¤¤ ¤¤¤ Fichier HOSTS : 1 ¤¤¤ [C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost ¤¤¤ Antirootkit : 26 ¤¤¤ [sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4 [sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e [sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe [sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96 [sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64 [sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73 [sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d [sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf [sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b [sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82 [sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50 [sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91 [sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55 [sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7 [sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c [sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8 [sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87 [sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3 [sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd [sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0 [sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78 [sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2 [sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f [sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a [shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6 [shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ MBR Verif : ¤¤¤ +++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++ --- User --- [MBR] 135cd55e761913a22b95468f51943da9 [bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB 1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB User = LL1 ... OK Error reading LL2 MBR! ([1] Fonction incorrecte. ) ============================================ RKreport_SCN_05302014_190558.log - RKreport_DEL_05302014_191500.log - RKreport_SCN_05302014_195232.log

Merci.

Pour "fichiers" et "MBR", il n'y avait rien, je ne mets pas les rapports pour ne pas charger. Sauf si tu le souhaite. Rapport Navigateurs RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software Mail : http://www.adlice.com/contact/ Remontées : http://forum.adlice.com Site Web : http://www.surlatoile.org/RogueKiller/ Blog : http://www.adlice.com Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Démarrage : Mode normal Utilisateur : YORK [Droits d'admin] Mode : Suppression -- Date : 05/30/2014 19:15:00 ¤¤¤ Processus malicieux : 1 ¤¤¤ [suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ ¤¤¤ Entrées de registre : 9 ¤¤¤ [suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Fichiers : 0 ¤¤¤ ¤¤¤ Fichier HOSTS : 1 ¤¤¤ [C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost ¤¤¤ Antirootkit : 26 ¤¤¤ [sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4 [sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e [sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe [sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96 [sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64 [sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73 [sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d [sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf [sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b [sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82 [sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50 [sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91 [sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55 [sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7 [sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c [sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8 [sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87 [sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3 [sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd [sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0 [sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78 [sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2 [sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f [sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a [shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6 [shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ MBR Verif : ¤¤¤ +++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++ --- User --- [MBR] 135cd55e761913a22b95468f51943da9 [bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB 1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB User = LL1 ... OK Error reading LL2 MBR! ([1] Fonction incorrecte. ) ============================================ RKreport_SCN_05302014_190558.log

Je regrette si l'ordre n'est pas suivi : il n'y a pas indiqué "proxy,etc", alors je suis finalement l'ordre des onglets. Rapport Registre RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software Mail : http://www.adlice.com/contact/ Remontées : http://forum.adlice.com Site Web : http://www.surlatoile.org/RogueKiller/ Blog : http://www.adlice.com Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Démarrage : Mode normal Utilisateur : YORK [Droits d'admin] Mode : Suppression -- Date : 05/30/2014 19:15:00 ¤¤¤ Processus malicieux : 1 ¤¤¤ [suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ ¤¤¤ Entrées de registre : 9 ¤¤¤ [suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Fichiers : 0 ¤¤¤ ¤¤¤ Fichier HOSTS : 1 ¤¤¤ [C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost ¤¤¤ Antirootkit : 26 ¤¤¤ [sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4 [sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e [sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe [sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96 [sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64 [sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73 [sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d [sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf [sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b [sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82 [sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50 [sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91 [sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55 [sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7 [sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c [sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8 [sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87 [sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3 [sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd [sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0 [sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78 [sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2 [sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f [sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a [shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6 [shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ MBR Verif : ¤¤¤ +++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++ --- User --- [MBR] 135cd55e761913a22b95468f51943da9 [bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB 1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB User = LL1 ... OK Error reading LL2 MBR! ([1] Fonction incorrecte. ) ============================================ RKreport_SCN_05302014_190558.log Rapport tâches (il n'y a rien) : RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software Mail : http://www.adlice.com/contact/ Remontées : http://forum.adlice.com Site Web : http://www.surlatoile.org/RogueKiller/ Blog : http://www.adlice.com Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Démarrage : Mode normal Utilisateur : YORK [Droits d'admin] Mode : Suppression -- Date : 05/30/2014 19:15:00 ¤¤¤ Processus malicieux : 1 ¤¤¤ [suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ ¤¤¤ Entrées de registre : 9 ¤¤¤ [suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Fichiers : 0 ¤¤¤ ¤¤¤ Fichier HOSTS : 1 ¤¤¤ [C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost ¤¤¤ Antirootkit : 26 ¤¤¤ [sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4 [sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e [sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe [sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96 [sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64 [sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73 [sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d [sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf [sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b [sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82 [sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50 [sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91 [sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55 [sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7 [sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c [sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8 [sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87 [sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3 [sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd [sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0 [sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78 [sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2 [sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f [sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a [shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6 [shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ MBR Verif : ¤¤¤ +++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++ --- User --- [MBR] 135cd55e761913a22b95468f51943da9 [bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB 1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB User = LL1 ... OK Error reading LL2 MBR! ([1] Fonction incorrecte. ) ============================================ RKreport_SCN_05302014_190558.log Rapport Antirootkits : RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software Mail : http://www.adlice.com/contact/ Remontées : http://forum.adlice.com Site Web : http://www.surlatoile.org/RogueKiller/ Blog : http://www.adlice.com Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Démarrage : Mode normal Utilisateur : YORK [Droits d'admin] Mode : Suppression -- Date : 05/30/2014 19:15:00 ¤¤¤ Processus malicieux : 1 ¤¤¤ [suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ ¤¤¤ Entrées de registre : 9 ¤¤¤ [suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Fichiers : 0 ¤¤¤ ¤¤¤ Fichier HOSTS : 1 ¤¤¤ [C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost ¤¤¤ Antirootkit : 26 ¤¤¤ [sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4 [sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e [sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe [sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96 [sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64 [sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73 [sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d [sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf [sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b [sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82 [sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50 [sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91 [sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55 [sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7 [sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c [sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8 [sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87 [sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3 [sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd [sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0 [sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78 [sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2 [sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f [sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a [shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6 [shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ MBR Verif : ¤¤¤ +++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++ --- User --- [MBR] 135cd55e761913a22b95468f51943da9 [bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB 1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB User = LL1 ... OK Error reading LL2 MBR! ([1] Fonction incorrecte. ) ============================================ RKreport_SCN_05302014_190558.log

Rapport Host. Je n'ai plus à supprimer ? Excuse la question mais je peux accéder à présent uniquement à la tâche "rapport, j'espère que c'est normal. RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software Mail : http://www.adlice.com/contact/ Remontées : http://forum.adlice.com Site Web : http://www.surlatoile.org/RogueKiller/ Blog : http://www.adlice.com Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Démarrage : Mode normal Utilisateur : YORK [Droits d'admin] Mode : Suppression -- Date : 05/30/2014 19:15:00 ¤¤¤ Processus malicieux : 1 ¤¤¤ [suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ ¤¤¤ Entrées de registre : 9 ¤¤¤ [suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Fichiers : 0 ¤¤¤ ¤¤¤ Fichier HOSTS : 1 ¤¤¤ [C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost ¤¤¤ Antirootkit : 26 ¤¤¤ [sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4 [sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e [sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe [sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96 [sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64 [sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73 [sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d [sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf [sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b [sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82 [sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50 [sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91 [sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55 [sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7 [sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c [sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8 [sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87 [sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3 [sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd [sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0 [sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78 [sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2 [sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f [sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a [shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6 [shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ MBR Verif : ¤¤¤ +++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++ --- User --- [MBR] 135cd55e761913a22b95468f51943da9 [bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB 1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB User = LL1 ... OK Error reading LL2 MBR! ([1] Fonction incorrecte. ) ============================================ RKreport_SCN_05302014_190558.log

Rapport processus (je vais tâcher de suivre l'ordre pour la suite) : RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software Mail : http://www.adlice.com/contact/ Remontées : http://forum.adlice.com Site Web : http://www.surlatoile.org/RogueKiller/ Blog : http://www.adlice.com Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Démarrage : Mode normal Utilisateur : YORK [Droits d'admin] Mode : Suppression -- Date : 05/30/2014 19:15:00 ¤¤¤ Processus malicieux : 1 ¤¤¤ [suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ ¤¤¤ Entrées de registre : 9 ¤¤¤ [suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ [PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Fichiers : 0 ¤¤¤ ¤¤¤ Fichier HOSTS : 1 ¤¤¤ [C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost ¤¤¤ Antirootkit : 26 ¤¤¤ [sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4 [sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e [sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe [sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96 [sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64 [sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73 [sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d [sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf [sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b [sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82 [sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50 [sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91 [sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55 [sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7 [sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c [sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8 [sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87 [sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3 [sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd [sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0 [sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78 [sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2 [sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f [sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a [shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6 [shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ MBR Verif : ¤¤¤ +++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++ --- User --- [MBR] 135cd55e761913a22b95468f51943da9 [bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB 1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB User = LL1 ... OK Error reading LL2 MBR! ([1] Fonction incorrecte. ) ============================================ RKreport_SCN_05302014_190558.log

Au moment où RogueKiller a stoppé un fichier suspect "catchme", est apparu une fenêtre de licence pour Adlice, à accepter, ou refuser. j'ai lu.. j'ai accepté, une fenêtre de FF s'est ouverte sur un site pour Adlice, avec un téléchargement possible de RogueKiller.. J'ai fermé et le scan a continué. J'espère que c'est ok, en tous cas, que si ça n'est pas normal ça n'a pas causé davantage de dommage. Voici le rapport du scan. : RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software Mail : http://www.adlice.com/contact/ Remontées : http://forum.adlice.com Site Web : http://www.surlatoile.org/RogueKiller/ Blog : http://www.adlice.com Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Démarrage : Mode normal Utilisateur : YORK [Droits d'admin] Mode : Recherche -- Date : 05/30/2014 19:05:58 ¤¤¤ Processus malicieux : 1 ¤¤¤ [suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ ¤¤¤ Entrées de registre : 9 ¤¤¤ [suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> TROUVÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> TROUVÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> TROUVÉ [suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> TROUVÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> TROUVÉ [PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> TROUVÉ [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> TROUVÉ [PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> TROUVÉ [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Fichiers : 0 ¤¤¤ ¤¤¤ Fichier HOSTS : 1 ¤¤¤ [C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost ¤¤¤ Antirootkit : 26 ¤¤¤ [sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4 [sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e [sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe [sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96 [sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64 [sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73 [sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d [sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf [sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b [sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82 [sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50 [sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91 [sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55 [sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7 [sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c [sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8 [sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87 [sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3 [sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd [sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0 [sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78 [sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2 [sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f [sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a [shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6 [shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ MBR Verif : ¤¤¤ +++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++ --- User --- [MBR] 135cd55e761913a22b95468f51943da9 [bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB 1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB User = LL1 ... OK Error reading LL2 MBR! ([1] Fonction incorrecte. ) Re. maintenant, je vais dans chaque onglet de RogueKiller, je supprime et poste chaque rapport : ?

Un 32 Bits autant que je me souvienne... désolée, je ne me souviens plus où vérfier.. Merci pour le fichier.

Merci mais pourrais-tu me préciser le nom du logiciel d'installation : je retombe sur yet another cleaner, donc j'annule. Ensuite je retombe sur "setup.exe" de fusioninstall : c'est bien ce dernier qui installe RogueKiller ?

Pour MBAM, j'ai fait la MAJ hier avant de lancer l'analyse, j'ai la version 1.75.0.1300 Avira Antivirus Suite, version 14.0.3.350 Dois-je d'abord lancer RogueKiller (pas de clef USB, je crains) ? Ou bien d'abord changer FF ? Je suis allée sur le lien pour télécharger RogueKiller : un "fichier" setup.exe a été téléchargé. J'avais un doute, j'ai supprimé et suis retournée sur le lien : là au moment de télécharger je me retrouve sur un site yac.mix, et le "fichier" est yet_another_cleaner_dnf.exe. Je n'ai pas téléchargé. J'ai recommencé la manip, et c'est à nouveau le "fichier" setup.exe : peux-tu me confirmer que c'est correct, que je ne me retrouve pas redirigée... Merci

Redémarrer le pc après JRT, c'est ce que j'ai finalement fait après avoir posté le dernier rapport, mais ça n'a rien changé. J'ai été voir sur le support Avira, et comme tu l'indiques, il se peut qu'un des logiciels utilisés pour le nettoyage empêche la protection e-mails d'Avira. J'ai jeté un coup d'oeil au lien que tu indiques pour réinitialiser Avira... je n'ai pas la version free, mais premium suite. D'après ce que j'ai lu en bas de page, je peux quand même utiliser ce que tu indiques : peux-tu me confirmer. Je le ferai donc une fois tout terminé. Pour désinstaller FF, oui, je me suis dit qu'il allait peut-être faire cela. Il y a toujours toutes ces publicités et la page d'accueil google qui n'était pas la mienne.. Pour l'instant je m'abstiens car le temps est à l'orage, donc je vais arrêter. Je tâche de reprendre plus tard. A plus tard, merci.

J'ai oublié de te demander : quand j'ai procédé hier à la réinitialisation de Firefox, un dossier a été créé sur le bureau avec les anciennes données : que dois-je en faire si Firefox était infecté ? Voici le rapport JRT. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 6.1.4 (04.06.2014:1) OS: Microsoft Windows XP x86 Ran by YORK on 30/05/2014 at 11:40:23,65 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values ~~~ Registry Keys ~~~ Files ~~~ Folders ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 30/05/2014 at 11:50:07,00 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Bonjour Apollo. Voici le rapport AdwCleaner. Le redémarrage de l'ordinateur a été demandé après le nettoyage. Au rallumage, l'icône d'Avira reste en parapluie fermé : la protection web est assurée mais pas la protection e-mail, et impossible de l'activer. C'est en ouvrant gmx sur Firefox que le fameux faux message d'hier est apparu, je ne sais si ça a à voir avec cette messagerie. Je continue pour la suite. # AdwCleaner v3.211 - Rapport créé le 30/05/2014 à 10:52:42 # Mis à jour le 26/05/2014 par Xplode # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits) # Nom d'utilisateur : YORK - YORKMOBILE # Exécuté depuis : C:\Documents and Settings\YORK\Bureau\adwcleaner_3.211.exe # Option : Nettoyer ***** [ Services ] ***** ***** [ Fichiers / Dossiers ] ***** ***** [ Raccourcis ] ***** ***** [ Registre ] ***** Clé Supprimée : HKCU\Software\powerpack Clé Supprimée : HKCU\Software\AppDataLow\Software ***** [ Navigateurs ] ***** -\\ Internet Explorer v8.0.6001.18702 -\\ Mozilla Firefox v29.0.1 (fr) [ Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ekbd826r.default\prefs.js ] [ Fichier : C:\Documents and Settings\YORK\Application Data\Mozilla\Firefox\Profiles\xgkux5co.default-1401377755143\prefs.js ] ************************* AdwCleaner[R0].txt - [1076 octets] - [30/05/2014 10:46:45] AdwCleaner[s0].txt - [1001 octets] - [30/05/2014 10:52:42] ########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [1061 octets] ##########

Je te remercie. Malgré tout, je pense qu'il vaut mieux que fasse cela demain. Merci beaucoup, à demain.

Voilà le rapport ZHPFix; Si le nettoyage par AdwCleaner doit prendre du temps, je le ferai demain. Rapport de ZHPFix 2014.4.13.3 par Nicolas Coolman, Update du 13/04/2014 Fichier d'export Registre : Run by YORK at 29/05/2014 21:54:35 High Elevated Privileges : OK Windows XP Professional Service Pack 3 (Build 2600) Corbeille vidée (00mn 02s) Dossier Prefetcher vidé Réparation des raccourcis navigateur ========== Logiciels ========== SUPPRIMÉ: Google Toolbar for Firefox ========== Clés du Registre ========== SUPPRIMÉ: HKLM\Software\Classes\AOLTB.AOLToolBand.1 Branche de Base de Registres IFEO non infectée ! ========== Valeurs du Registre ========== ProxyFix : Configuration proxy supprimée avec succès SUPPRIMÉ ProxyServer Value SUPPRIMÉ ProxyEnable Value SUPPRIMÉ EnableHttp1_1 Value SUPPRIMÉ ProxyHttp1.1 Value SUPPRIMÉ ProxyOverride Value SUPPRIMÉ: FirewallRaz (SP) : C:\Program Files\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe SUPPRIMÉ: FirewallRaz (SP) : C:\Program Files\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe SUPPRIMÉ: FirewallRaz (SP) : C:\Program Files\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe SUPPRIMÉ: FirewallRaz (DP) : C:\Program Files\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe SUPPRIMÉ: FirewallRaz (DP) : C:\Program Files\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe SUPPRIMÉ: FirewallRaz (DP) : C:\Program Files\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe Aucune valeur présente dans la clé d'exception du registre (FirewallRaz) ========== Dossiers ========== Aucun dossiers CLSID Local utilisateur vide SUPPRIMÉS Temporaires Windows (1) SUPPRIMÉS Flash Cookies (2) ========== Fichiers ========== SUPPRIMÉS Temporaires Windows (0) (0 octets) SUPPRIMÉS Flash Cookies (1) (75 octets) ========== Récapitulatif ========== 2 : Clés du Registre 13 : Valeurs du Registre 3 : Dossiers 2 : Fichiers 1 : Logiciels End of clean in 00mn 21s ========== Chemin de fichier rapport ========== C:\Documents and Settings\YORK\Application Data\ZHP\ZHPFix[R1].txt - 29/05/2014 21:54:38 [1885]

Merci. Voici le lien : http://cjoint.com/?0EDvAmeEbFX

Re. L'assistant veut créer un raccourci dans le menu démarrer, pas sur le bureau : c'est ok ?

Bonsoir Appollo. Merci pour ta rapidité d'intervention. Je fais ce que tu indiques, à +.

Bonsoir. Après une réinitialisation de Firefox, le navigateur se retrouve infecté par reimageplus.com. L'analyse MBAM n'a rien donné. résumé : suite à un possible problème de compatibilité entre le navigateur (dernière version) et une de mes messageries, j'ai voulu vérifier si le problème existait sur IE8. Message d'alerte d'IE8 au moment d'accéder à la messagerie gratuite comme quoi le certificat d'authentification semblait être faux, que la page était redirigée. J'ai quitté, fermé le navigateur. Nettoyé avec Ccleaner. J'ai ouvert Firefox, j'ai procédé à une réinitialisation. Une fenêtre s'est ouverte à la fin de l'opération signalant un problème d'onglet. J'ai fermé la fenêtre, derrière Mozilla était ouvert mais au lieu de la page d'accueil habituelle, c'était Google moteur de recherche. Je me connecte à la dite messagerie, la connexion faite, un message d'alerte en bas de page signale un logiciel malveillant. Ce message redirigeait sur une page présentant un logiciel de Windows à télécharger. Ce que je n'ai pas fait. Cette page (ni le message d'alerte en fait) ne provenait ni de l'anti-virus ni de microsoft. Dans la barre d'adresse figurait reimageplus.com. WOT a disparu, et il y a plein de pubs. Merci de votre aide.

Merci pour les infos Apollo, Bonne soirée .

Oui, je me doutais un peu que le scan était superflu, mais j'ai préféré poser la question Un très grand merci pour ton aide, ton suivi, et ton efficacité J'avais vérifié les points souligné sur ton site, suite à ta première demande. Les outils de désinfection ont été désinstallés, mais il reste SFTGC : ? C'est ironique, car en cherchant l'avis d'internautes sur de petits logiciels pour redimensionner les photos ou images, l'un d'eux déconseillait un logiciel recommandé sur le site : il avait eu un malware greffé sur Mozilla. Alors je suis passée au second logiciel, ai examiné les avis, puis ai téléchargé, pour me retrouver avec un problème similaire.. Avant de clore totalement, j'ai une question : j'ai vu dans les programmes WCreator 2, est-ce utile de le garder ? Je vais mettre le sujet en résolu. J'attends ta réponse pour SFTG.....et encore merci