 
         
					
                
                
            Malpertuis
Membres- 
                Compteur de contenus15
- 
                Inscription
- 
                Dernière visite
Type de contenu
Profils
Forums
Blogs
Tout ce qui a été posté par Malpertuis
- 
	Bonjour, J'aimerais savoir comment optimiser des fichiers jpg pour une lecture conmfortable et détaillée sur un écran géant 1080p ? Qui peut m'orienter ?
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares Je n'ai pas voulu te vexer, je voulais juste te montrer la réponse que je viens de voir suite à une demande formulée précédemment sur ce forum! Le c... c'est moi qui ai voulu manger à deux rateliers. On ne m'y reprendra plus. C'est d'ailleurs sur ce forum que j'ai reçu le conseil d'aller demander de l'aide sur Zebulon et je suis loin de le regretter vu l'aide très suivie dont tu m'a fait profiter. Merci encore pour ton attention et vraiment désolé si tu as mal pris mon intervention... Noël
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares Voilà, c'est fait mais sur Firefox c'est toujours la page Orbit.immoshock.com c'est mauvais ? Page partie après : http://www.geckozone.org/forum/viewtopic.php?f=5&t=98455&p=653333#p653333 sur IE maintenant c'est Tinit.org, il m'en mettrait une par défaut ? Pour le compte utilisateur il me semble que j'ai déjà eu cette idée de créer un nouveau NOEL au lieu de Noël et de transférer mes dossiers mais ce dernier revient quand même et je ne suis plus sur de rien, mais bon on verra plus tard cela n'a peut être rien à voir avec les infections.
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares LES ADCASH pub's sont disparues SUPER http://forum.zebulon.fr/public/style_emoticons/default/icon_Super.gif Voici le rapport:All processes killed ========== OTL ========== Service AppMgmt stopped successfully! Service AppMgmt deleted successfully! Service ACDaemon stopped successfully! Service ACDaemon deleted successfully! Error: Unable to stop service MpKsl1ccded16! Service\Driver key MpKsl1ccded16 not found. Service PfFilter stopped successfully! Service PfFilter deleted successfully! C:\Program Files\IObit\Protected Folder\pffilter.sys moved successfully. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\*{CFBFAE00-17A6-11D0-99CB-00C04FD64497} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*{CFBFAE00-17A6-11D0-99CB-00C04FD64497}\ deleted successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\d360lqr4.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{2c80c23a-1ac3-4987-bfec-a33335aeb236}\searchplugin folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{2c80c23a-1ac3-4987-bfec-a33335aeb236}\modules folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{2c80c23a-1ac3-4987-bfec-a33335aeb236}\META-INF folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{2c80c23a-1ac3-4987-bfec-a33335aeb236}\defaults folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{2c80c23a-1ac3-4987-bfec-a33335aeb236}\components folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{2c80c23a-1ac3-4987-bfec-a33335aeb236}\chrome folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{2c80c23a-1ac3-4987-bfec-a33335aeb236} folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}\searchplugin folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}\modules folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}\META-INF folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}\defaults folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}\components folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}\chrome folder moved successfully. C:\Documents and Settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023} folder moved successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{A057A204-BACC-4D26-9990-79A187E2698E} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A057A204-BACC-4D26-9990-79A187E2698E}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C55BBCD6-41AD-48AD-9953-3609C48EACC7} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C55BBCD6-41AD-48AD-9953-3609C48EACC7}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Infodelivery\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully. C:\Program Files\ESET\ESET Online Scanner\Quarantine folder moved successfully. C:\Program Files\ESET\ESET Online Scanner\Modules\data\updfiles\temp folder moved successfully. C:\Program Files\ESET\ESET Online Scanner\Modules\data\updfiles\oldfiles folder moved successfully. C:\Program Files\ESET\ESET Online Scanner\Modules\data\updfiles\http_update.eset.com folder moved successfully. C:\Program Files\ESET\ESET Online Scanner\Modules\data\updfiles\continuous folder moved successfully. C:\Program Files\ESET\ESET Online Scanner\Modules\data\updfiles folder moved successfully. C:\Program Files\ESET\ESET Online Scanner\Modules\data folder moved successfully. C:\Program Files\ESET\ESET Online Scanner\Modules folder moved successfully. C:\Program Files\ESET\ESET Online Scanner folder moved successfully. C:\Program Files\ESET folder moved successfully. C:\Documents and Settings\Noël\Application Data\IObit\Advanced SystemCare V4\Log folder moved successfully. C:\Documents and Settings\Noël\Application Data\IObit\Advanced SystemCare V4\Backup folder moved successfully. C:\Documents and Settings\Noël\Application Data\IObit\Advanced SystemCare V4 folder moved successfully. C:\Documents and Settings\Noël\Application Data\IObit folder moved successfully. C:\Documents and Settings\Noël\Mes documents\Vuze Downloads folder moved successfully. ADS C:\Documents and Settings\All Users\Application Data\TEMP:A8ADE5D8 deleted successfully. ADS C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 deleted successfully. ========== SERVICES/DRIVERS ========== ========== REGISTRY ========== ========== FILES ========== < ipconfig /flushdns /c > Configuration IP de Windows Cache de résolution DNS vidé. C:\Documents and Settings\Noël\Mes documents\Bureau\cmd.bat deleted successfully. C:\Documents and Settings\Noël\Mes documents\Bureau\cmd.txt deleted successfully. C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-NOM-ORDINATEFR-Noël.job moved successfully. C:\WINDOWS\tasks\AppleSoftwareUpdate.job moved successfully. C:\WINDOWS\tasks\Google Software Updater.job moved successfully. C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore1cb6d052f46cfa8.job moved successfully. C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA1cb6d052fb94088.job moved successfully. C:\WINDOWS\tasks\User_Feed_Synchronization-{8F0BC583-A666-491C-85AF-8751E3C2BAD0}.job moved successfully. File\Folder C:\*.sqm not found. C:\WINDOWS\System32\ConduitEngine.tmp moved successfully. C:\WINDOWS\9ACEBC7B4D46462A929C99177EC5BEA6.TMP folder moved successfully. C:\WINDOWS\DUMP605f.tmp moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: admin ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->Flash cache emptied: 56468 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 98438 bytes ->Flash cache emptied: 56468 bytes User: Invité ->Temp folder emptied: 55184 bytes ->FireFox cache emptied: 12643127 bytes ->Flash cache emptied: 3005 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 18702 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: Noël ->Temp folder emptied: 673582987 bytes ->Temporary Internet Files folder emptied: 26978859 bytes ->Java cache emptied: 1017171 bytes ->FireFox cache emptied: 56362775 bytes ->Google Chrome cache emptied: 0 bytes ->Opera cache emptied: 10035767 bytes ->Flash cache emptied: 58624 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 130818 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33726 bytes RecycleBin emptied: 6667080363 bytes Total Files Cleaned = 7.103,00 mb [EMPTYFLASH] User: admin ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Flash cache emptied: 0 bytes User: Invité ->Flash cache emptied: 0 bytes User: LocalService User: NetworkService User: Noël ->Flash cache emptied: 0 bytes Total Flash Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.29.1 log created on 10122011_142653 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Un petit truc encore bizarre : quand j'ouvre IE ou Firefox je tombe toujours (et depuis longtemps) sur une page Orbit.innoshock.com alors que j'ai viré Orbitdownloader depuis longtemps. Autre chose : j'ai déjà essayé de mettre un autre pare feu mais l'installation a coincé faute à un caractère illicite dans le chemin de mes documents. Mon prénom est Noël et je l'ai utilisé comme nom d'utilisateur sur XP. Il semble que Bill Gates n'aime pas les accents car cette plaisanterie me poursuit depuis le début. que faire, j'ai bien essayé de renommer mais le problème est toujours là ?
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares Voilà, j'ai procédé de même (sans les externes, je referai un backup après comme tu me l'a conseillé) avec OTL (nettement plus rapide que ESET !) Résultat: Lien CJoint.com AJmlvN2Fn7O Lien CJoint.com AJmlzbw4dmU Pour OTL on sait sélectioner un lecteur à scanner, j'ai bien essayé avec ESET mais j'ai pas trouvé les parametres avancés !
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares Bonjour et merci pour ces conseils. OK je vais faire comme tu dis mais je dois te parler d'un fait nouveau, qui confirme sans doute nos appréhensions: démarrage très difficile ce matin: 2 x vidage de la mémoire physique, repris en mode sans échec avec la console de récupération windows téléchargée précédemment. Il n'y aurait pas quelque part un fichier de rapport exploitable qui pourait te mettre sur une piste supplémentaire?
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares Ouf, ce fut laborieux : 3h30 pour mon disque interne. Dans un premier temps le programme c'est bloqué à la première menace sur registrybooster.exe J'ai recommencé et cette fois il a été jusqu'au bout sauf que quand j'ai vu qu'il ne trouvait rien sur mes partitions D et E ( qui ne contiennent que des documents ) j'ai débranché mes disques externes comme ils ne contiennent que des sauvegardes de l'interne. (éventuellemnt est-il possible de relancer ultérieurement sur un média externe en choisissant le lecteur mais je n'ai pas vu comment faire) Voici ce que cela donne pour C: C:\Documents and Settings\Noël\Mes documents\PRG Téléchargés\ZIP SOFTS DIVERS\NERO F. Baclin\Nero.6.0.0.11.Full.FR.+..Keygen.+.adon+.All.plugin.teste.divxovore.com\Nero.6.0.0.11.Full.FR.+..Keygen.+.adon+.All.plugin.teste.divxovore.com.rar une variante probable de Win32/Agent.KTHXEFP cheval de troie supprimé - mis en quarantaine C:\Documents and Settings\Noël\Mes documents\Téléchargements\SoftonicDownloader_pour_pcboost.exe une variante de Win32/SoftonicDownloader.A application nettoyé par suppression - mis en quarantaine C:\Downloads\Programs\plugin.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine C:\Downloads\Programs\registrybooster.exe une variante de Win32/RegistryBooster application supprimé - mis en quarantaine C:\Downloads\Programs\Setup_FreeVideoConverter.exe Win32/Adware.Toolbar.Dealio application supprimé - mis en quarantaine C:\Downloads\Programs\VLC.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine C:\Downloads\Programs\xvid_setup1.2.2-win32.exe Win32/Adware.HotBar application supprimé - mis en quarantaine C:\Program Files\Uniblue\RegistryBooster\registrybooster.exe Win32/RegistryBooster application nettoyé par suppression - mis en quarantaine C:\Program Files\VideoLAN\VLC\plugin.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine C:\Qoobox\Quarantine\C\Program Files\SoftonicDownloader25339.exe.vir une variante de Win32/SoftonicDownloader.A application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998873.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998874.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998875.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998876.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998877.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998878.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998879.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998880.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP587\A0998881.exe une variante de Win32/Adware.Agent.NNJ application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP592\A0999653.exe une variante de Win32/SoftonicDownloader.A application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001889.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001890.exe une variante de Win32/RegistryBooster application supprimé - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001891.exe Win32/Adware.Toolbar.Dealio application supprimé - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001892.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001893.exe Win32/Adware.HotBar application supprimé - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001894.exe Win32/RegistryBooster application nettoyé par suppression - mis en quarantaine C:\System Volume Information\_restore{C9D4939E-1D21-4856-B31C-89202670BFBC}\RP595\A1001895.exe Win32/Adware.OfferBox application supprimé - mis en quarantaine C:\ZHP\Quarantine\Spigot.DIR\wtxpcom\components\WidgiToolbarFF.dll.5 une variante de Win32/Adware.Toolbar.Dealio application nettoyé par suppression - mis en quarantaine C'est des trucs dangereux ? Je n'ai pas trouvé les commandes pour effacer Eset
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares Bonjour, J'oublie la donc la désinstallation de Protected Folder ? J'aimerais continuer sur l'analyse en ligne mais cette fois j'ai un souci avec la désactivation de MSE : j'ai bien décoché la case d'analyse planifiée mais l'icone MSE reste vert et dans le panneau de configuration le détecteur de virus semble toujours activé, même après un redémarrage (laborieux !)Que faire ? Je corrige, j'avais décoché dans la première fenêtre. Maintenant c'est bon, donc je peux continuer. Sorry !
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares OK Docteur, continuons le traitement pas à pas si tu veux bien sinon je vais pédaler sec... Keygen : je n'avais rien vu de semblable jusqu'à présent, si il était "collé" sur CS2 ce doit être à partir d'un CD reçu d'une connaissance ( mais j'ai viré ce programme il y a quelques semaines pour le remplacer par un CS5 tout-à-fait officiel (acheté !). IObitMalware Fighter OK je l'ai viré. Protected Folder : j'ai déjà essayé de le virer précédemment sans succès car il faut introduire un mot de passe que je n'ai pas. BitRemover m'a enlevé 61 fichiers. Je planche sur la suite en attendant. Pour info j'ai retrouvé le rapport du premier scan Malwarebytes lancé avant ton intervention : Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Version de la base de données: 7873 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 5/10/2011 9:30:52 mbam-log-2011-10-05 (09-30-52).txt Type d'examen: Examen rapide Elément(s) analysé(s): 198359 Temps écoulé: 8 minute(s), 2 seconde(s) Processus mémoire infecté(s): 1 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 4 Elément(s) de données du Registre infecté(s): 3 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 5 Processus mémoire infecté(s): c:\documents and settings\Noël\application data\PCtuto\updatepctuto\autoupdater.exe (Trojan.Eorezo) -> 3188 -> Unloaded process successfully. Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoupdater (Trojan.Eorezo) -> Value: autoupdater -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_XMLLookup (Hijacker.XMLLookup) -> Value: bak_XMLLookup -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_intl (Hijacker.intl) -> Value: bak_intl -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\XMLLookup (Hijacker.XMLLookup) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s'>http://www.helpmeopen.com/?n=app&l=%04x&ext=%s'>http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s'>http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\intl (Hijacker.intl) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Quarantined and deleted successfully. Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): c:\documents and settings\Noël\application data\PCtuto\updatepctuto\autoupdater.exe (Trojan.Eorezo) -> Quarantined and deleted successfully. c:\documents and settings\Noël\application data\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully. c:\documents and settings\Noël\application data\Adobe\plugs\mmc105.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully. c:\documents and settings\Noël\application data\Adobe\plugs\mmc50.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully. c:\documents and settings\Noël\application data\Adobe\plugs\mmc526675968.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully. Comme tu le vois il y a avait déjà du monde et il faut croire que mes outils de sécurité à ce moment étaient vraiment insuffisants. Je suis vraiment ravi de m'être inscrit ici. J'attends ton avis avant de continuer avec les autres analyses proposées.
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares Bonjour et merci pour cette précision. Je résume: Désactivation MSE : OK. Lancement ComboFix. Le programme me demande de télécharger 1 console de récupération Windows : OK A l'étape 50 une fenêtre MSE s'ouvre : détection d'une menace potentielle : excécution. Une demi heure après j'ai ce rapport : ComboFix 11-10-09.01 - Noël 10/10/2011 8:33.1.2 - x86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.32.1036.18.1023.406 [GMT 2:00] Lancé depuis: c:\documents and settings\Noël\Mes documents\Bureau\ComboFix.exe AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095} . . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\program files\SoftonicDownloader25339.exe c:\windows\IsUn0413.exe . . ((((((((((((((((((((((((((((( Fichiers créés du 2011-09-10 au 2011-10-10 )))))))))))))))))))))))))))))))))))) . . 2011-10-10 06:17 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll 2011-10-10 06:17 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll 2011-10-09 12:13 . 2011-10-09 12:13 -------- d-----w- c:\program files\CCleaner 2011-10-09 11:30 . 2011-10-09 11:30 28752 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8016C5F3-CE98-4F78-8B4B-2BFC522779E7}\MpKsldaaa9442.sys 2011-10-09 11:29 . 2011-10-09 11:29 56200 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8016C5F3-CE98-4F78-8B4B-2BFC522779E7}\offreg.dll 2011-10-09 11:29 . 2011-09-12 14:14 7269712 ------w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8016C5F3-CE98-4F78-8B4B-2BFC522779E7}\mpengine.dll 2011-10-09 11:29 . 2011-05-24 17:14 222080 ------w- c:\windows\system32\MpSigStub.exe 2011-10-09 11:27 . 2011-10-10 06:17 -------- d-----w- c:\windows\LastGood 2011-10-09 11:26 . 2011-10-09 11:27 -------- d-----w- c:\program files\Microsoft Security Client 2011-10-09 11:10 . 2011-10-09 11:22 -------- d-----w- C:\dec45a09dd5ea1b29343da4c5d0b1d 2011-10-08 08:43 . 2011-10-08 08:43 512 ----a-w- C:\PhysicalDisk0_MBR.bin 2011-10-08 08:32 . 2011-10-09 10:45 -------- d-----w- C:\ZHP 2011-10-08 08:31 . 2011-10-08 09:02 -------- d-----w- c:\program files\ZHPDiag 2011-10-08 08:25 . 2011-10-08 08:25 -------- d-----w- c:\documents and settings\Noël\Bureau 2011-10-06 14:03 . 2011-10-06 14:03 -------- d-----w- c:\documents and settings\Noël\Application Data\IObit 2011-10-06 13:41 . 2011-10-06 13:41 -------- d-----w- c:\windows\9ACEBC7B4D46462A929C99177EC5BEA6.TMP 2011-10-05 07:20 . 2011-10-05 07:20 -------- d-----w- c:\documents and settings\Noël\Application Data\Malwarebytes 2011-10-05 07:20 . 2011-10-05 07:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2011-10-05 07:20 . 2011-10-05 07:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2011-10-05 07:20 . 2011-08-31 15:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-10-04 13:01 . 2011-10-04 13:01 -------- d-----w- c:\documents and settings\admin 2011-09-25 09:33 . 2011-09-25 09:33 -------- d-----w- c:\documents and settings\Noël\Application Data\ElephormDVDPlayer.8FC2E10752433BF8182FC825ABC2922D2AC381F8.1 . . . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2011-10-04 14:28 . 2003-10-05 19:19 26624 ----a-w- c:\windows\system32\userinit.exe 2011-09-09 09:12 . 2002-09-23 13:10 606208 ----a-w- c:\windows\system32\crypt32.dll 2011-08-27 14:34 . 2011-08-27 14:34 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-07-28 18:54 . 2003-10-05 12:01 947472 ----a-w- c:\windows\system32\msjava.dll 2011-07-15 13:29 . 2003-10-05 19:18 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2010-12-24 11:18 . 2011-07-14 10:47 2670592 ----a-w- c:\program files\VirtualDub.exe 2003-08-14 17:13 . 2003-10-13 07:51 40960 -c--a-w- c:\program files\Uninstall_PCM.exe 2011-09-30 09:14 . 2011-03-31 09:39 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Ub4TrayApp"="c:\program files\Astase\UltraBackup\4.0\bin\ubtray.exe" [2004-10-21 1381376] "YSearchProtection"="c:\program files\Yahoo!\Search Protection\SearchProtection.exe" [2008-07-11 223984] "NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2004-11-30 1945600] "c:\program files\NetMeter\NetMeter.exe"="c:\program files\NetMeter\NetMeter.exe" [2007-08-11 331264] "AdobeBridge"="c:\program files\Adobe\Adobe Bridge CS5.1\Bridge.exe" [2011-03-02 12008296] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PRISMSTA.EXE"="PRISMSTA.EXE START" [X] "Dit"="Dit.exe" [2002-08-28 73728] "CHotkey"="mHotkey.exe" [2003-06-27 506368] "ledpointer"="CNYHKey.exe" [2003-06-27 5798912] "PCMService"="c:\program files\Medion Home Cinema XL II\PowerCinema\PCMService.exe" [2003-06-24 61440] "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872] "Cmaudio"="cmicnfg.cpl" [2003-10-14 2269184] "PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2003-05-28 394240] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 50688] "UMonit"="c:\windows\system32\UMonit.exe" [2007-06-18 200704] "Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-04-14 536576] "Belgacom"="c:\program files\Belgacom\bin\sprtcmd.exe" [2008-05-29 202016] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-09-18 202256] "ExtraFilmManager"="c:\program files\ExtraFilm Designer BE FR\ExtraFilmManager.exe" [2010-06-15 159744] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296] "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920] "AdobeAAMUpdater-1.0"="c:\program files\Fichiers communs\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-15 499608] "SwitchBoard"="c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096] "AdobeCS5.5ServiceManager"="c:\program files\Fichiers communs\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360] "MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "AvgUninstallURL"="start Uninstallation survey | AVG France [?] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] . c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\ Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2007-4-16 282624] Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588] NCProTray.lnk - c:\program files\SEC\Natural Color Pro\NCProTray.exe [2010-8-29 49152] Windows Desktop Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2007-2-5 118784] . [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400] . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice] @="Service" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc] @="Service" . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled] "REGSHAVE"=c:\program files\REGSHAVE\REGSHAVE.EXE /AUTORUN "SearchSettings"="c:\program files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe" . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\eMule\\eMule0.50a\\emule.exe"= "c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"= "c:\\Program Files\\Java\\jre6\\bin\\javaws.exe"= "c:\\Program Files\\Java\\jre6\\launch4j-tmp\\crazyloader.exe"= "c:\\Program Files\\Opera\\opera.exe"= "c:\\Program Files\\Mozilla Firefox\\firefox.exe"= "c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"= "c:\\Program Files\\Raptr\\raptr.exe"= "c:\\Program Files\\Raptr\\raptr_im.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1657:UDP"= 1657:UDP:Windows Media Format SDK (iexplore.exe) "1656:UDP"= 1656:UDP:Windows Media Format SDK (iexplore.exe) "5985:TCP"= 5985:TCP:*:Disabled:Gestion à distance de Windows . R1 MpKsldaaa9442;MpKsldaaa9442;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{8016C5F3-CE98-4F78-8B4B-2BFC522779E7}\MpKsldaaa9442.sys [9/10/2011 13:30 28752] R2 IMFservice;IMF Service;c:\program files\IObit\IObit Malware Fighter\IMFsrv.exe [8/06/2011 14:15 820568] R2 LogWatch;Event Log Watch;c:\program files\CA\SharedComponents\CA_LIC\LogWatNT.exe [20/09/2002 16:29 53248] R2 PfFilter;PfFilter;c:\program files\IObit\Protected Folder\pffilter.sys [11/06/2011 16:02 140848] R2 sprtsvc_belgacom;SupportSoft Sprocket Service (belgacom);c:\program files\Belgacom\bin\sprtsvc.exe [29/05/2008 11:18 202016] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [12/06/2003 8:47 24704] R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [10/09/2003 13:22 362688] R4 OADevice;OADriver;\??\c:\windows\system32\drivers\OADriver.sys --> c:\windows\system32\drivers\OADriver.sys [?] R4 OAmon;OAmon;\??\c:\windows\system32\drivers\OAmon.sys --> c:\windows\system32\drivers\OAmon.sys [?] R4 OAnet;OAnet;\??\c:\windows\system32\drivers\OAnet.sys --> c:\windows\system32\drivers\OAnet.sys [?] S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13:16 130384] S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [17/03/2010 17:22 135664] S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?] S3 APL531;OVT Scanner;c:\windows\system32\Drivers\ov550i.sys --> c:\windows\system32\Drivers\ov550i.sys [?] S3 CA_LIC_CLNT;Client de licence CA;c:\program files\CA\SharedComponents\CA_LIC\lic98rmt.exe [20/09/2002 16:27 77824] S3 CA_LIC_SRVR;Serveur de licence CA;c:\program files\CA\SharedComponents\CA_LIC\lic98rmtd.exe [20/09/2002 16:41 77824] S3 FileMonitor;FileMonitor;c:\program files\IObit\IObit Malware Fighter\Drivers\wxp_x86\FileMonitor.sys [23/07/2011 17:00 239600] S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [17/03/2010 17:22 135664] S3 MR97310_VGA_DUAL_CAMERA;XDC-300;c:\windows\system32\DRIVERS\mr97310v.sys --> c:\windows\system32\DRIVERS\mr97310v.sys [?] S3 RegFilter;RegFilter;c:\program files\IObit\IObit Malware Fighter\Drivers\wxp_x86\RegFilter.sys [23/07/2011 17:00 30368] S3 SwitchBoard;SwitchBoard;c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe [19/02/2010 13:37 517096] S3 UrlFilter;UrlFilter;c:\program files\IObit\IObit Malware Fighter\Drivers\wxp_x86\UrlFilter.sys [23/07/2011 17:00 16080] S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [5/10/2003 21:19 14336] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13:16 753504] . --- Autres Services/Pilotes en mémoire --- . *NewlyCreated* - MPFILTER *NewlyCreated* - MPKSLDAAA9442 *NewlyCreated* - MSMPSVC *NewlyCreated* - OADEVICE *NewlyCreated* - OAMON *NewlyCreated* - OANET . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] WINRM REG_MULTI_SZ WINRM . Contenu du dossier 'Tâches planifiées' . 2011-08-03 c:\windows\Tasks\AdobeAAMUpdater-1.0-NOM-ORDINATEFR-Noël.job - c:\program files\Fichiers communs\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-08-03 15:42] . 2011-08-22 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50] . 2011-10-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cb6d052f46cfa8.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-17 15:21] . 2011-10-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA1cb6d052fb94088.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-17 15:21] . 2011-10-09 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 13:39] . 2011-10-10 c:\windows\Tasks\MpIdleTask.job - c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 13:39] . 2010-07-20 c:\windows\Tasks\SmartDefrag.job - c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2009-09-11 10:57] . 2011-10-10 c:\windows\Tasks\User_Feed_Synchronization-{8F0BC583-A666-491C-85AF-8751E3C2BAD0}.job - c:\windows\system32\msfeedssync.exe [2006-10-17 02:31] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://search.orbitdownloader.com uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 mStart Page = hxxp://www.tinit.org/ uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s TCP: DhcpNameServer = 192.168.1.1 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} - hxxp://www.tele2mail.com/static/apps/utils/AccountHelper.cab DPF: {B60CEFE7-2DD0-4B78-951A-509D951DB1F0} - hxxp://www.extrafilm.be/ExtraFilmUploader6.cab FF - ProfilePath - c:\documents and settings\Noël\Application Data\Mozilla\Firefox\Profiles\kuyabzn7.default\ FF - prefs.js: browser.search.selectedEngine - Yahoo FF - prefs.js: browser.startup.homepage - hxxp://search.orbitdownloader.com FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=685749&p= FF - user.js: browser.cache.memory.capacity - 16000 FF - user.js: browser.chrome.favicons - false FF - user.js: browser.display.show_image_placeholders - true FF - user.js: browser.turbo.enabled - true FF - user.js: browser.urlbar.autocomplete.enabled - true FF - user.js: browser.urlbar.autofill - true FF - user.js: content.max.tokenizing.time - 3000000 FF - user.js: content.maxtextrun - 4095 FF - user.js: content.notify.backoffcount - 5 FF - user.js: content.notify.interval - 1000000 FF - user.js: content.notify.ontimer - true FF - user.js: content.switch.threshold - 1000000 FF - user.js: dom.disable_window_status_change - true FF - user.js: network.http.max-connections - 48 FF - user.js: network.http.max-connections-per-server - 16 FF - user.js: network.http.max-persistent-connections-per-proxy - 16 FF - user.js: network.http.max-persistent-connections-per-server - 8 FF - user.js: network.http.pipelining - true FF - user.js: network.http.pipelining.firstrequest - true FF - user.js: network.http.pipelining.maxrequests - 8 FF - user.js: network.http.proxy.pipelining - true FF - user.js: network.http.request.max-start-delay - 0 FF - user.js: nglayout.initialpaint.delay - 1000 FF - user.js: plugin.expose_full_path - true FF - user.js: ui.submenuDelay - 0 . - - - - ORPHELINS SUPPRIMES - - - - . Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) WebBrowser-{31C7D459-9CC3-44F2-9DCA-FC11795309B4} - (no file) . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-10-10 08:49 Windows 5.1.2600 Service Pack 3 NTFS . Recherche de processus cachés ... . Recherche d'éléments en démarrage automatique cachés ... . HKLM\Software\Microsoft\Windows\CurrentVersion\Run UMonit = c:\windows\system32\UMonit.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? . Recherche de fichiers cachés ... . Scan terminé avec succès Fichiers cachés: 0 . ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- . [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4969CD68-185D-08AF-540B-48F90628E6DA}*] "pacfgkmnklakgdgpfapifeccepnnkbne"=hex:61,61,00,00 . [HKEY_USERS\S-1-5-21-20106061-4004121289-3461866522-1009\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . [HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters] @DACL=(02 0000) @SACL= "WinSock_Registry_Version"="2.0" "Current_NameSpace_Catalog"="NameSpace_Catalog5" "Current_Protocol_Catalog"="Protocol_Catalog9" . --------------------- DLLs chargées dans les processus actifs --------------------- . - - - - - - - > 'winlogon.exe'(624) c:\windows\system32\Ati2evxx.dll . Heure de fin: 2011-10-10 08:56:58 ComboFix-quarantined-files.txt 2011-10-10 06:56 . Avant-CF: 12.467.531.776 octets libres Après-CF: 14.205.870.080 octets libres . WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect . - - End Of File - - 5D7A9C763E9921FCF9939AD761F3D8E1 Voici ce que je trouve cez MSE: Hacktoll:Win32/keygen : supprimé; Vérification: les fenêtre de pub sont toujours là sur le site en question. Ce n'est pas encore la bonne piste. Désolé de te faire perdre du temps.
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares OK on continue le traitement. Pour MWAM : il ne voit rien semble-t-il : Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Version de la base de données: 7908 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 9/10/2011 15:40:50 mbam-log-2011-10-09 (15-40-50).txt Type d'examen: Examen rapide Elément(s) analysé(s): 198156 Temps écoulé: 13 minute(s), 43 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) Pour ComboFix je n'arrive pas à l'installer car je ne vois pas comment désactiver MSE, le clic droit sur l'icone dans la zone de notification conduit seulement à "ouvrir" et je ne vois rien dans la fenêtre ou l'aide. Tu as une idée ?
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares Bonjour, Voilà j'ai appliqué ZHPfix sauf provisoirement pour e-mule dont je prends le risque d'encore l'utiliser pour télécharger des trucs importants. Rapport de ZHPFix 1.12.3363 par Nicolas Coolman, Update du 05/10/2011 Fichier d'export Registre : Run by Noël at 9/10/2011 12:45:38 Windows XP Home Edition Service Pack 3 (Build 2600) Web site : ZHPFix Fix de rapport ========== Logiciel(s) ========== SUPPRIME O42 - Logiciel: UpdatePCTuto 1.0 - (.PCtuto.) [HKLM] -- UpdatePCTuto_is1 ABSENT Uninstall Process: c:\program files\vuze\uninstall.exe ABSENT Uninstall Process: c:\program files\vuze_remote\uninstall.exe ========== Clé(s) du Registre ========== SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Vuze_Remote Toolbar] SUPPRIME Key: HKCU\Software\PCTUTO SUPPRIME Key: HKCU\Software\PriceGong SUPPRIME Key: HKCU\Software\Spointer SUPPRIME Key: HKLM\Software\Freeze.com SUPPRIME Key: HKLM\Software\PCTuto SUPPRIME Key: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load SUPPRIME Key: HKLM\Software\Classes\imside1egate.application.1 ABSENT Key: HKLM\Software\freeze.com ABSENT Key: HKCU\Software\PCTuto ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\UpdatePCTuto_is1 ABSENT Key: HKCU\Software\Azureus SUPPRIME Key: HKCU\Software\BitTorrent ABSENT Key: HKCU\Software\Vuze_Remote SUPPRIME Key: HKCU\Software\eMule ABSENT Key: HKLM\Software\Azureus ABSENT Key: HKLM\Software\Vuze_Remote ABSENT Key: CLSID BHO: {30F9B915-B755-4826-820B-08FBA6BD249D} SUPPRIME Key: CLSID BHO: {31c7d459-9cc3-44f2-9dca-fc11795309b4} ABSENT Key: CLSID BHO: {ba14329e-9550-4989-b3f2-9732e92d17cc} ABSENT Key: HKCU\Software\Conduit ABSENT Key: HKCU\Software\conduitEngine SUPPRIME Key: HKLM\Software\Conduit ABSENT Key: HKLM\Software\conduitEngine SUPPRIME Key: SearchScopes :{afdbddaa-5d3f-42ee-b79c-185a7020515b} SUPPRIME Key: HKLM\Software\Classes\Conduit.Engine SUPPRIME Key: HKLM\Software\Classes\Toolbar.ct2504091 ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar ========== Valeur(s) du Registre ========== SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe SUPPRIME AAKE KeyValue: C:\Program Files\BitTorrent\bittorrent.exe SUPPRIME AAKE KeyValue: C:\Program Files\Vuze\Azureus.exe SUPPRIME URLSearchHook: {31c7d459-9cc3-44f2-9dca-fc11795309b4} ABSENT Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} ABSENT Toolbar: {30F9B915-B755-4826-820B-08FBA6BD249D} ABSENT [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{30F9B915-B755-4826-820B-08FBA6BD249D} ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D} SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440} ========== Préférences navigateur ========== ABSENT Chrome File: SUPPRIME Mozilla Pref: user_pref("CT2124875.SearchEngine", "Recherche||http://search.conduit.com/Results.aspx? SUPPRIME Mozilla Pref: user_pref("CT2124875.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?'>http://search.conduit.com/ResultsExt.aspx?'>http://search.conduit.com/ResultsExt.aspx?'>http://search.conduit.com/ResultsExt.aspx? SUPPRIME Mozilla Pref: user_pref("CT2549680.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx? SUPPRIME Mozilla Pref: user_pref("CT2549680.TBHomePageUrl", "http://search.conduit.com/?ctid=CT2549680&SearchSource=13"); SUPPRIME Mozilla Pref: user_pref("CT2849852.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx? SUPPRIME Mozilla Pref: user_pref("ConduitEngine.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx? SUPPRIME Mozilla Pref: user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2549680 ========== Dossier(s) ========== SUPPRIME Folder: C:\Program Files\Fichiers Communs\Spigot SUPPRIME Folder: C:\Documents and Settings\Noël\Application Data\OpenCandy ABSENT C:\Documents and Settings\Noël\Application Data\PCtuto SUPPRIME Folder: C:\Documents and Settings\Noël\Application Data\PriceGong SUPPRIME Folder: C:\Documents and Settings\Noël\Local Settings\Application Data\crazyloader Air SUPPRIME Folder: C:\Documents and Settings\Noël\Local Settings\Application Data\OpenCandy SUPPRIME Folder: c:\documents and settings\noël\application data\adobe\plugs SUPPRIME Folder: c:\documents and settings\noël\application data\adobe\shed SUPPRIME Folder: C:\Program Files\BitTorrent SUPPRIME Folder: C:\Program Files\GigaTribe SUPPRIME Folder: C:\Program Files\Vuze ABSENT C:\Program Files\Vuze_Remote SUPPRIME Folder: C:\Program Files\Conduit ABSENT C:\Program Files\ConduitEngine SUPPRIME Folder: c:\documents and settings\noël\local settings\application data\conduit SUPPRIME Folder: c:\documents and settings\noël\application data\mozilla\firefox\profiles\kuyabzn7.default\conduit SUPPRIME Folder: c:\documents and settings\noël\application data\mozilla\firefox\profiles\kuyabzn7.default\conduitengine SUPPRIME Folder: c:\documents and settings\noël\application data\mozilla\firefox\profiles\kuyabzn7.default\extensions\engine@conduit.com ========== Fichier(s) ========== ABSENT Folder/File: c:\documents and settings\noël\application data\opencandy ABSENT Folder/File: c:\documents and settings\noël\application data\pctuto ABSENT Folder/File: c:\documents and settings\noël\application data\pricegong ABSENT Folder/File: c:\documents and settings\noël\local settings\application data\crazyloader air ABSENT Folder/File: c:\documents and settings\noël\local settings\application data\opencandy ABSENT File: c:\documents and settings\all users\menu démarrer\programmes\vuze.lnk SUPPRIME File: c:\program files\vuze\azureus.exe ABSENT File: c:\program files\bittorrent\bittorrent.exe ABSENT File: c:\program files\vuze\azureus.exe ABSENT Folder/File: c:\program files\vuze_remote ABSENT Folder/File: c:\documents and settings\noël\local settings\application data\vuze_remote SUPPRIME File: c:\documents and settings\noël\application data\mozilla\firefox\profiles\kuyabzn7.default\searchplugins\conduit.xml SUPPRIME Reboot c:\program files\iobitcom\tbiob1.dll ABSENT File: c:\program files\conduitengine\prxconduitengine.dll ABSENT File: c:\program files\vuze_remote\prxtbvuz2.dll ABSENT File: c:\documents and settings\noël\application data\mozilla\firefox\profiles\kuyabzn7.default\searchplugins\conduit.xml ABSENT Folder/File: c:\program files\conduit ABSENT Folder/File: c:\program files\conduitengine ABSENT Folder/File: c:\documents and settings\noël\local settings\application data\conduitengine ABSENT Folder/File: c:\documents and settings\noël\application data\mozilla\firefox\profiles\kuyabzn7.default\searchplugins\conduit.xml ========== Récapitulatif ========== 28 : Clé(s) du Registre 10 : Valeur(s) du Registre 18 : Dossier(s) 20 : Fichier(s) 3 : Logiciel(s) 8 : Préférences navigateur End of clean in 02mn 35s ========== Chemin de fichier rapport ========== C:\ZHP\ZHPFix[R1].txt - 9/10/2011 12:45:39 [6898] Si j'ai bien compris cette procédure est sensée me débarrasser de trucs potentiellement dangereux mais pas nécessairement des pubs intempestives (effectivement elles sont toujours là !) Pas d'autre solution pour ces dernières ? J'ai remplacé AVG par MSE, j'ai viré Adaware et ASC mais j'ai gardé Malware bytes. J'ai remplacé ASC par CCleaner et installé online Armor. Merci encore pour l'aide apportée.
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares Merci pour ces conseils très détaillés. Effectivement oublier l'usage du P2P me semble une sage décision d'autant plus que de nombreux sites proposent du téléchargement direct, aisé et plus rapide. Toutefois c'est sur l'un de ces sites, alloserie.tk pour ne pas le citer, que l'apparition de pubs intempestives me semble s'être déclarée. Ne serait-ce donc pas remplacer un mal par un autre ? Avant de mettre en oeuvre la procédure ZHPFIX tu dis qu'il faut "désactiver" les anti-virus/malwares, je dois comprendre les "désinstaller" ou c'est ZHP qui va le faire ?
- 
	  Pub récalcitranteMalpertuis a répondu à un(e) sujet de Malpertuis dans Analyses et éradication malwares Merci pour cette marche à suivre et voici le lien en question: Lien CJoint.com AJikUtJVxF7
- 
	Bonjour, Je suis nouveau sur ce forum. Depuis quelques temps j'ai très souvent des fenêtres de publicités intempestives (surtout pour des jeux) qui s'ouvrent, surtout sur un site de téléchargement dont le WOT n'est pas précisé. Dans un premier temps j'ai essayé trois antimalwares classiques mais sans succès. Ensuite j'ai installé et fait un scan complet avec Malwarebyte's Antimalware qui m'a éliminé une douzaine d'éléments douteux et le phénomène semblait disparu. J'ai crié victoire trop vite, cela recommence de plus belle ! Que faire ? Merci pour vote aide.
