Win32:Pythia

[Titmarmote]

Bonjour !

 

Voilà je me bats depuis quelques jours avec un trojan Win32:Pythia que j'ai choppé, téléchargement surement.

Impossible de m'en débarrasser ! et je commence à saturer !!

 

Le pc est ralentit, les téléchargements via le navigateur sont impossibles environ 1 fois sur 3. Reboot obligatoire pour que ça refonctionne. Régulièrement, le navigateur reste en attente d'une réponse du site pour le chargement de la page. Rien que poster ce sujet a été impossible via ce pc, obligée de le faire d'un autre.

Certaines pages internet s'affichent bizarrement comme il y a quelques minutes :

 

 

Parfois impossible de lancer des applications : par exemple l'autre jour impossible d'augmenter/diminuer le son, enlever la mute, le pc m'indiquait qu'il n'existait pas de périphérique mélangeur... Reboot obligatoire pour que ça refonctionne.

Pour d'autres logiciels, il m'indique qu'ils n'existent pas et me renvoie vers le cd d'installation windows. Donc reboot aussi !

 

 

Avast (oui j'ai cru comprendre qu'il fallait que je change ) a commencé à me mettre des pop-up concernant divers processus et à me mettre en quarantaine des fichiers(toujours le même mais plusieurs fois) depuis quelques jours.

 

J'ai fait un scan avec Malwarebytes', il a trouvé 10 fichiers infectés que j'ai supprimé. Et depuis il ne trouve plus rien.

 

Voilà, il doit surement manquer des informations utiles pour vous donc n'hésitez pas.

 

Merci pour votre aide (avant que je balance le pc par la fenêtre ! )

 

 

*********************************

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 04:26:18, on 25/07/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer.exe

C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Application Updater\ApplicationUpdater.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Fichiers communs\Nokia\Tss\Instrument API\bin\tray.exe

C:\Program Files\HPQ\shared\hpqwmi.exe

C:\Program Files\Fichiers communs\Nokia\Tss\Instrument API\bin\root.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Documents and Settings\Caroline\Mes documents\Téléchargements\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Yahoo! Search Marketing France

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=pavilion&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer /watchfiles startup

O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Program Files\Nokia\Ovi Player\NokiaOviPlayer.exe" /command:faststart

O4 - HKLM\..\Run: [synTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Caroline\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: TSS Instrument API Tray Utility.lnk = C:\Program Files\Fichiers communs\Nokia\Tss\Instrument API\bin\tray.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\shared\hpqwmi.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

 

--

End of file - 9358 bytes

Modifié le 25 juillet 2010 par Titmarmote

[Apollo]

Bonjour,

 

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous Vista: Désactiver provisoirement l'UAC comme expliqué ICI

 

Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Scanner.

 

 

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

 

-----------------------------------------------------------------------------------------------

 

2) Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer.

 

 

Le bureau va disparaitre, c'est normal!

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

Réactiver l'UAC de Vista. (Si Vista bien sûr!).

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

-------------------

Poste les deux rapports d'Ad-Remover stp.

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

[Titmarmote]

Le scan avec Ad remover a fonctionné.

 

Par contre j'ai un message d'erreur avec le nettoyage :

Line 5982 (File "C:\Program Files\Ad-remover\main.exe")

Error : variable used without being declared

 

 

Voilà le rapport du scan.

 

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par C_XX le 21/07/10 à 14:00

Contact: AdRemover.contact[AT]gmail.com

Site web: Ad_Remover

 

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 12:31:03 le 25/07/2010, Mode normal

 

Microsoft Windows XP Édition familiale Service Pack 3 (X86)

Caroline@PCPORTABLEA ( )

 

============== RECHERCHE ==============

 

Service: "Application Updater" Présent

 

0,Fichier trouvé: C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com

0,Fichier trouvé: C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com

0,Dossier trouvé: C:\Program Files\Application Updater

0,Dossier trouvé: C:\Documents and Settings\Caroline\Local Settings\Application Data\Conduit

0,Dossier trouvé: C:\Program Files\Conduit

0,Dossier trouvé: C:\Documents and Settings\Caroline\Application Data\pdfforge

0,Dossier trouvé: C:\Program Files\pdfforge Toolbar

0,Dossier trouvé: C:\Documents and Settings\Caroline\Application Data\Search Settings

 

-- Fichier ouvert: C:\Documents and Settings\Caroline\Application Data\Mozilla\FireFox\Profiles\4xzo3o0m.default\Prefs.js --

Ligne trouvée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...

Ligne trouvée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250...

-- Fichier Fermé --

 

 

0,Clé trouvée: HKLM\Software\Classes\Toolbar.CT2504091

0,Clé trouvée: HKLM\Software\Application Updater

0,Clé trouvée: HKLM\Software\Conduit

0,Clé trouvée: HKLM\Software\pdfforge

0,Clé trouvée: HKLM\Software\Search Settings

0,Clé trouvée: HKCU\Software\Conduit

0,Clé trouvée: HKCU\Software\pdfforge

0,Clé trouvée: HKCU\Software\Search Settings

3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

0,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

 

0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}

 

 

============== SCAN ADDITIONNEL ==============

 

** Mozilla Firefox Version [3.6.8 (fr)] **

 

-- C:\Documents and Settings\Caroline\Application Data\Mozilla\FireFox\Profiles\4xzo3o0m.default\Prefs.js --

browser.download.lastDir, C:\\Documents and Settings\\Caroline\\Mes documents

browser.startup.homepage, hxxp://www.google.fr

browser.startup.homepage_override.mstone, rv:1.9.2.8

 

========================================

 

** Internet Explorer Version [8.0.6001.18702] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search bar: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=laptop

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Show_ToolBar: yes

Start Page: hxxp://www.google.fr/

Use Custom Search URL: 1

Use Search Asst: no

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157

Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Delete_Temp_Files_On_Exit: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 25/07/2010 (2151 Octet(s))

 

Fin à: 12:31:38, 25/07/2010

 

============== E.O.F ==============

 

 

Que dois-je faire ?

Modifié le 25 juillet 2010 par Titmarmote

[Apollo]

Re,

 

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

 

Ou ici: http://eric71.geekstogo.com/tools/ToolBarSD.exe

 

• Lance l'installation du programme en exécutant le fichier téléchargé.
  
• Double-clique sur le raccourci de Toolbar-S&D.
  
• --> Sous VISTA: clic droit Exécuter en temps qu'administrateur.
  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  
• Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
  Poste le rapport généré. (C:\TB.txt)

 

+++

[Titmarmote]

Le programme se lance et se referme automatiquement !

Je n'ai même pas la possibilité de choisir la langue.

Modifié le 25 juillet 2010 par Titmarmote

[Titmarmote]

J'ai rebooté et là ça fonctionne.

Je te mets le rapport juste après

[Apollo]

Bon, on va employer les grands moyens et si c'est pas assez, on installera une évaluation de Kaspersky.

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci trucmuche
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur trucmuche.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

@++

[Titmarmote]

ça a fonctionné après le reboot !

voilà le rapport

 

 

-----------\\ ToolBar S&D 1.2.9 XP/Vista

 

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : AMD Athlon 64 Processor 3200+ )

BIOS : Ver 1.00PARTTBL

USER : Caroline ( Administrator )

BOOT : Normal boot

Antivirus : avast! Antivirus 5.0.83886674 (Activated)

C:\ (Local Disk) - NTFS - Total:74 Go (Free:20 Go)

D:\ (CD or DVD)

 

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )

Option : [1] ( 25/07/2010|14:04 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com

C:\DOCUME~1\Caroline\APPLIC~1\Search Settings

C:\DOCUME~1\Caroline\APPLIC~1\Search Settings\kb130

C:\DOCUME~1\Caroline\APPLIC~1\Search Settings\kb130\temp

C:\DOCUME~1\Caroline\APPLIC~1\Search Settings\kb130\temp\ws-14812.log

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.google.fr/"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Search Bar"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=laptop"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"'>http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"

 

 

--------------------\\ Recherche d'autres infections

 

 

Aucune autre infection trouvée !

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 25/07/2010|14:08 - Option : [1]

 

-----------\\ Fin du rapport a 14:08:28,42

 

 

 

Je fais quand même les dernières manip que tu as donné ?

[Apollo]

Je voudrais que tu retentes le nettoyage avec Ad-Remover mais après ceci seulement stp:

 

Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée".

 

--> Sous VISTA: clic droit Exécuter en temps qu'administrateur.

Ne ferme pas la fenêtre lors de la suppression !

Un rapport sera généré, poste son contenu dans ta réponse.

 

NB: Si ton Bureau ne réapparaissait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."

Tape explorer puis valide.

 

----------------------------------------

Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer.

 

 

Le bureau va disparaitre, c'est normal!

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

Réactiver l'UAC de Vista. (Si Vista bien sûr!).

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

j'attends donc deux rapports.

 

@++

[Titmarmote]

Ouf ! Après de multiples reboot j'ai enfin pu relancer Toolbar-S&D.

 

Voilà les 2 rapports.

 

 

-----------\\ ToolBar S&D 1.2.9 XP/Vista

 

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : AMD Athlon 64 Processor 3200+ )

BIOS : Ver 1.00PARTTBL

USER : Caroline ( Administrator )

BOOT : Normal boot

Antivirus : avast! Antivirus 5.0.83886674 (Activated)

C:\ (Local Disk) - NTFS - Total:74 Go (Free:20 Go)

D:\ (CD or DVD)

 

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )

Option : [2] ( 25/07/2010|14:52 )

 

-----------\\ SUPPRESSION

 

Supprime! - C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com

Supprime! - C:\DOCUME~1\Caroline\APPLIC~1\Search Settings\kb130

Supprime! - C:\DOCUME~1\Caroline\APPLIC~1\Search Settings

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

 

-----------\\ Extensions

 

(Caroline) - {0545b830-f0aa-4d7e-8820-50a4629a56fe} => clrtabs

(Caroline) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.google.fr/"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Search Bar"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=laptop"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.msn.com/"

 

 

--------------------\\ Recherche d'autres infections

 

--------------------\\ Cracks & Keygens ..

 

C:\DOCUME~1\Caroline\Bureau\A r‚installer\Download\Applis\Oui\LCG Jukebox V.2.50 - Crack by MTOi

C:\DOCUME~1\Caroline\Bureau\A r‚installer\Download\Applis\Oui\LCG Jukebox V.2.50 - Crack by MTOi\LCG Jukebox V.2.50 - Crack by MTOi.sisx

C:\DOCUME~1\Caroline\Bureau\A r‚installer\Download\Applis\Oui\LCG Jukebox V.2.50 - Crack by MTOi\LCG Jukebox V.2.50.sisx

C:\DOCUME~1\Caroline\Bureau\T‚l‚phone\A installer\Applis\LCG Jukebox V.2.50 - Crack by MTOi

C:\DOCUME~1\Caroline\Bureau\T‚l‚phone\A installer\Applis\LCG Jukebox V.2.50 - Crack by MTOi\LCG Jukebox V.2.50 - Crack by MTOi.sisx

C:\DOCUME~1\Caroline\Bureau\T‚l‚phone\A installer\Applis\LCG Jukebox V.2.50 - Crack by MTOi\LCG Jukebox V.2.50.sisx

C:\DOCUME~1\Caroline\Bureau\T‚l‚phone\A installer\Applis\Smartphoneware.Best.Birthday.v2.00\keygen.exe

C:\DOCUME~1\Caroline\Bureau\T‚l‚phone\Applis\LCG Jukebox V.2.50 - Crack by MTOi.rar

C:\DOCUME~1\Caroline\Bureau\T‚l‚phone\Applis\LCG Jukebox V.2.50 - Crack by MTOi.sisx

C:\DOCUME~1\Caroline\Bureau\T‚l‚phone\Downloads\AprŠs HR 09-01-2010\Download\Applications\LCG Jukebox V.2.50 - Crack by MTOi.sisx

C:\DOCUME~1\Caroline\Bureau\T‚l‚phone\Downloads\AprŠs HR 09-01-2010\Download\Jeux\Anno\Crack-vS605.sis

C:\DOCUME~1\Caroline\Bureau\T‚l‚phone\Downloads\AprŠs HR 09-01-2010\Download\Jeux\Resco bubbles\Crack-vS605.sis

C:\DOCUME~1\Caroline\Bureau\T‚l‚phone\Jeux\Anno\Crack-vS605.sis

C:\DOCUME~1\Caroline\Bureau\T‚l‚phone\Jeux\Resco bubbles\Crack-vS605.sis

C:\DOCUME~1\Caroline\Mes documents\Downloads\A trier\keygen.exe

C:\DOCUME~1\Caroline\Mes documents\Downloads\A trier\LCG Jukebox V.2.50 - Crack by MTOi.rar

C:\DOCUME~1\Caroline\Mes documents\Downloads\A trier\AprŠs HR 09-01-2010\Download\Applications\LCG Jukebox V.2.50 - Crack by MTOi.sisx

C:\DOCUME~1\Caroline\Mes documents\Downloads\A trier\AprŠs HR 09-01-2010\Download\Jeux\Anno\Crack-vS605.sis

C:\DOCUME~1\Caroline\Mes documents\Downloads\A trier\AprŠs HR 09-01-2010\Download\Jeux\Resco bubbles\Crack-vS605.sis

C:\DOCUME~1\Caroline\Mes documents\Mes fichiers re‡us\utf-8''MarbleMaze2_202010_V%26\MarbleMaze2 2010\keygen.exe

 

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 25/07/2010|14:08 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - 25/07/2010|14:54 - Option : [2]

 

-----------\\ Fin du rapport a 14:54:29,31

 

 

 

 

 

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par C_XX le 21/07/10 à 14:00

Contact: AdRemover.contact[AT]gmail.com

Site web: Ad_Remover

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 14:55:15 le 25/07/2010, Mode normal

 

Microsoft Windows XP Édition familiale Service Pack 3 (X86)

Caroline@PCPORTABLEA ( )

 

============== ACTION(S) ==============

 

 

0,Dossier supprimé: C:\Program Files\Application Updater

0,Dossier supprimé: C:\Documents and Settings\Caroline\Local Settings\Application Data\Conduit

0,Dossier supprimé: C:\Program Files\Conduit

0,Dossier supprimé: C:\Documents and Settings\Caroline\Application Data\pdfforge

0,Dossier supprimé: C:\Program Files\pdfforge Toolbar

 

(!) -- Fichiers temporaires supprimés.

 

 

-- Fichier ouvert: C:\Documents and Settings\Caroline\Application Data\Mozilla\FireFox\Profiles\4xzo3o0m.default\Prefs.js --

Ligne supprimée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...

Ligne supprimée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250...

-- Fichier Fermé --

 

 

0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091

0,Clé supprimée: HKLM\Software\Application Updater

0,Clé supprimée: HKLM\Software\Conduit

0,Clé supprimée: HKLM\Software\pdfforge

0,Clé supprimée: HKCU\Software\Conduit

0,Clé supprimée: HKCU\Software\pdfforge

3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

0,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

 

 

============== SCAN ADDITIONNEL ==============

 

** Mozilla Firefox Version [3.6.8 (fr)] **

 

-- C:\Documents and Settings\Caroline\Application Data\Mozilla\FireFox\Profiles\4xzo3o0m.default\Prefs.js --

browser.download.lastDir, C:\\Documents and Settings\\Caroline\\Mes documents

browser.startup.homepage, hxxp://www.google.fr

browser.startup.homepage_override.mstone, rv:1.9.2.8

 

========================================

 

** Internet Explorer Version [8.0.6001.18702] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

Use Custom Search URL: 1

Use Search Asst: no

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 87 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 25/07/2010 (601 Octet(s))

C:\Ad-Report-CLEAN[2].txt - 25/07/2010 (1237 Octet(s))

C:\Ad-Report-SCAN[1].txt - 25/07/2010 (3879 Octet(s))

 

Fin à: 14:56:07, 25/07/2010

 

============== E.O.F ==============