rootkit sur mon pc !!

abricot31 · le 19 janvier 2010

bonjour tout le monde , il se trouve que j ai un pbleme avec l application sweetim.exe qui ne trouve pas le fichier mghooking.dll et ce dpuis le bug d'avast du 03 decembre 2009 avec le faux cheval de troie , bref un message d erreur a chaque demarrage du pc; (probleme non resolu)ce ci m a emener a faire un scan avec rootkitrevealer dont voici le rapport :

HKLM\S-1-5-21-1606980848-1425521274-725345543-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 29/01/2008 14:10 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 19/01/2010 15:27 80 bytes Data mismatch between Windows API and raw hive data.

C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Messenger\norina_2001@hotmail.com\SharingMetadata\mimosami1@hotmail.com\DFSR\Staging\CS{0091D74B-0DCF-B84A-18E9-FC3108A7A963}\01\10-{0091D74B-0DCF-B84A-18E9-FC3108A7A963}-v1-{09EEC93 06/12/2008 21:57 8 bytes Hidden from Windows API.

C:\Documents and Settings\user\Recent\Disque local ©.lnk 19/01/2010 15:43 293 bytes Hidden from Windows API.

C:\Documents and Settings\user\Recent\hookapiA.lnk 19/01/2010 15:43 415 bytes Hidden from Windows API.

C:\Documents and Settings\user\Recent\TGS200_Autowin_Doume-2015r2.lnk 05/01/2010 08:42 1.02 KB Visible in Windows API, but not in MFT or directory index.

C:\System Volume Information\_restore{98C79A28-BB8A-4F9F-B7F8-88910C9E04F6}\RP643\A0256334.ini 19/01/2010 11:29 1.08 KB Hidden from Windows API.

C:\System Volume Information\_restore{98C79A28-BB8A-4F9F-B7F8-88910C9E04F6}\RP643\A0256335.lnk 19/01/2010 15:43 1.02 KB Hidden from Windows API.

C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 11/07/2007 14:07 252.00 KB Visible in Windows API, but not in MFT or directory index.

C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 11/07/2007 14:07 111.50 KB Visible in Windows API, but not in MFT or directory index.

et une analyse hijackthis dont voici le rapport :

Logfile of HijackThis v1.99.1

Scan saved at 16:31:11, on 19/01/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\No-IP\DUC20.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\user\Mes documents\logiciel telechargé(from interN)\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ycomp/def.../search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.3

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Athan] C:\Program Files\Athan\Athan.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [sweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_S10D.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\wweb32.dll/lookup.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{706E1069-D6C7-4215-8467-ECCA2C051F71}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE

O23 - Service: FSERAAY - Unknown owner - C:\DOCUME~1\ADMINM~1\LOCALS~1\Temp\FSERAAY.exe (file missing)

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: LEC TranslateDotNet Server - Unknown owner - C:\Program Files\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing)

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NFS Server (NFSserver) - Dr. Hanewinkel -- www.haneWIN.de - C:\Program Files\nfsd\nfsd.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SunRPC Portmap Daemon (PMAPDaemon) - Dr. Hanewinkel -- www.haneWIN.de - C:\Program Files\nfsd\pmapd.exe

O23 - Service: XwpXSetSrvnfsAxe service (XwpXSetSrvnfsAxe) - Unknown owner - C:\nfs\xsetsrv.exe

O23 - Service: XWP NFS server (XWP_NFSserver) - Unknown owner - C:\nfs\nfs_ss.exe

il me semble qu il y a plusieurs rootkit sur mon pc ? comment y remedier ?merci .

Apollo · le 19 janvier 2010

Bonsoir,

Ouyouille, tu as une version Hijackthis de 1914 toi

Tu devras le désinstaller et installer une autre version quand je te l'indiquerai.

Il y a aussi tout un régiment d'applications bourrées de failles de sécurité ^^ (dont Avast)...

Sweetim est une mauvaise toolbar, il vaut mieux t'en débarrasser.

Fais ceci stp

Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

Ou ici: http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Ferme toutes les applications ouvertes pour l'installer.

Si Avast rouspète, fais-le taire pour laisser travailler l'outil.

Sous Vista: Désactiver provisoirement l'UAC comme expliqué ICI

Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

TUTO: http://pagesperso-orange.fr/NosTools/tuto_adr_3.html

Tape S (Scanner) Valide par la touche Enter.

Appuyer sur n'importe quelle touche lorsque cela sera demandé et le rapport apparaitra.

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

abricot31 · le 20 janvier 2010

bonjour apollo et merci pour ton aide precieuse .

voici le rapport de AD :

.

======= LOGFILE OF AD-REMOVER 1.1.4.6_I | ONLY XP/VISTA/7 =======

.

Updated by C_XX on 19.01.2010 at 21:16

Contact: AdRemover.contact@gmail.com

Website: http://pagesperso-orange.fr/NosTools/ad_remover.html

.

Launch at: 8:11:04, 20/01/2010 | Normal Boot | Option: SCAN

Executed from: C:\Ad-Remover\

Operating system: Microsoft® Windows XP™ Service Pack 2 v5.1.2600

Computer Name: MOKHTAR | Current user: adminmokhtar

.

============== FOUND ELEMENT(S) ==============

.

C:\Windows\Installer\c961ec.msi

.

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}

HKLM\Software\Classes\CLSID\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}

HKLM\Software\Classes\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}

HKLM\software\classes\SWEETIE.IEToolbar

HKLM\software\classes\SWEETIE.IEToolbar.1

HKLM\software\classes\SWEETIE.SWEETIE

HKLM\software\classes\SWEETIE.SWEETIE.1

HKLM\software\classes\ToolBand.SWEETIE

HKLM\software\classes\ToolBand.SWEETIE.1

HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}

HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}

HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E

HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9

.

============== Added scan ==============

.

* Mozilla FireFox Version 3.5.4 [fr] *

.

ProfilePath: 5m16r57r.default (adminmokhtar)

.

(ADMINM~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\adminmokhtar\Mes documents\Tأ©lأ©chargements

(ADMINM~1, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03,{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}:6.0.10,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,jqs@sun.com:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7

.

* Internet Explorer Version 6.0.2900.2180 *

.

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

.

Search Page: hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://fr.yahoo.com

Use Custom Search URL: 1 (0x1)

Search Bar: hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/sb/*hxxp://fr.yahoo.com/search/ie.html

Do404Search: 01000000

Local Page: C:\WINDOWS\system32\blank.htm

Show_ToolBar: yes

Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

.

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

.

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.google.com/ie

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: %SystemRoot%\system32\blank.htm

Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

.

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

.

Error: Value: "Tabs" does not exist!

.

============== Suspect (Cracks, Serials, ...) ==============

.

C:\Documents and Settings\user\Bureau\itgate , bm 220 cas\dreambox\cccam sur pc\FLYCCCAM_Cracked.rar

C:\Documents and Settings\user\Local Settings\Temp\7zS8E.tmp\AU\patch.exe

C:\Documents and Settings\user\Local Settings\Temp\HouseCall\bspatch.exe

C:\Documents and Settings\user\Mes documents\flashage des demos\ng4\Package complet pour l instalation de plugpatcher ng4.rar

C:\Documents and Settings\user\Mes documents\flashage des demos\ng4\ng4 plug patcher\SETUP1.EXE

C:\Documents and Settings\user\Mes documents\flashage des demos\ng4\ng4 plug patcher\ST6UNST.EXE

C:\Documents and Settings\user\Mes documents\flashage des demos\ng4\ng4 plug patcher\Nouveau dossier\Plug Patcher .exe

C:\Documents and Settings\user\Mes documents\flashage des demos\ng4\plug patcher\Plug Patcher .exe

C:\Documents and Settings\user\Mes documents\flashage des demos\ng4\plug patcher\SETUP1.EXE

C:\Documents and Settings\user\Mes documents\flashage des demos\ng4\plug patcher\ST6UNST.EXE

C:\Documents and Settings\user\Mes documents\flashage des demos\ng4\TPS_NG4_OK_avec_PLUGPATCHER_Le_12-08-08\Plug_Patcher\Plug Patcher .exe

C:\Documents and Settings\user\Mes documents\flashage des demos\stream 1100\Kup230 Engineer Patched.rar

.

===================================

.

4635 Byte(s) - C:\Ad-Report-SCAN[1].log

.

15 File(s) - C:\DOCUME~1\ADMINM~1\LOCALS~1\Temp

10 File(s) - C:\WINDOWS\Temp

89 File(s) - C:\WINDOWS\Prefetch

.

2 File(s) - C:\Ad-Remover\BACKUP

0 File(s) - C:\Ad-Remover\QUARANTINE

.

End at: 8:18:15 | 20/01/2010 - SCAN[1]

.

============== E.O.F ==============

.

Apollo · le 20 janvier 2010

Bonjour,

1) ) Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

TUTO: http://pagesperso-orange.fr/NosTools/tuto_adr_3.html

Tape L (Nettoyer) Valide par la touche Enter.

Le bureau va disparaitre, c'est normal!

Appuyer sur n'importe quelle touche lorsque cela sera demandé et le rapport apparaitra.

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

Réactiver l'UAC de Vista. (Si Vista bien sûr!).

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

NB: Désinstalle Ad-Remover en le lançant puis en tapant D , et valider par la touche Enter.

------------------------------------

2) Désinstalle ta version d'Hijackthis.

Télécharge HijackThisV2 dans un nouveau dossier créé sur C:\ nomme-le HJT.

Double-clique sur HJTInstall.exe et suis les instructions d'installation.
--> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur
Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
Poste le rapport généré sur le forum.

@++

abricot31 · le 20 janvier 2010

bonsoir apollo ;

voici le rapport de AD:

.

======= LOGFILE OF AD-REMOVER 1.1.4.6_I | ONLY XP/VISTA/7 =======

.

Updated by C_XX on 19.01.2010 at 21:16

Contact: AdRemover.contact@gmail.com

Website: http://pagesperso-orange.fr/NosTools/ad_remover.html

.

Launch at: 22:06:54, 20/01/2010 | Normal Boot | Option: CLEAN

Executed from: C:\Ad-Remover\

Operating system: Microsoft® Windows XP™ Service Pack 2 v5.1.2600

Computer Name: MOKHTAR | Current user: adminmokhtar

.

============== NEUTRALIZED ELEMENT(S) ==============

.

C:\Windows\Installer\c961ec.msi

(!) -- Temp files deleted.

.

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}

HKLM\Software\Classes\CLSID\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}

HKLM\Software\Classes\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}

HKLM\software\classes\SWEETIE.IEToolbar

HKLM\software\classes\SWEETIE.IEToolbar.1

HKLM\software\classes\SWEETIE.SWEETIE

HKLM\software\classes\SWEETIE.SWEETIE.1

HKLM\software\classes\ToolBand.SWEETIE

HKLM\software\classes\ToolBand.SWEETIE.1

HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}

HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}

HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E

HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9

.

============== Added scan ==============

.

* Mozilla FireFox Version 3.5.4 [fr] *

.

ProfilePath: 5m16r57r.default (adminmokhtar)

.

(ADMINM~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\adminmokhtar\Mes documents\Tأ©lأ©chargements

(ADMINM~1, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03,{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}:6.0.10,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,jqs@sun.com:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7

.

* Internet Explorer Version 6.0.2900.2180 *

.

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

.

Use Custom Search URL: 1 (0x1)

Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Do404Search: 01000000

Local Page: C:\WINDOWS\system32\blank.htm

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

.

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

.

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: %SystemRoot%\system32\blank.htm

Start Page: hxxp://fr.msn.com/

Search bar: hxxp://search.msn.com/spbasic.htm

.

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

.

Tabs: res://ieframe.dll/tabswelcome.htm