virus gomeo [résolu]

[guillaume40]

Bonjour,

Mon ordi a été infecté samedi par un logiciel qui me redirige vers goméo ou autres sites.

J'ai téléchargé malwarebytes (ainsiq ue d'autres logiciels) mais il m'est impossible de les éxécuter.

Comment se débarasser de ce truc? Merci à ceux qui pourront m'aider.

Modifié le 17 février 2011 par guillaume40

[bernard53]

Bonsoir

 

fait ceci s.t.p

 

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

 

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

Cijoint.fr - Service gratuit de dépôt de fichiers

 

[guillaume40]

Merci de ta réponse!

J'ai fait ce que tu m'as dit de faire.

Le rapport est ici : Cijoint.fr - Service gratuit de dépôt de fichiers

 

[bernard53]

ok hé bien il y a du monde comme intrus .

Fait ceci dans cet ordre s.t.p

 

Télécharge >> TFC.exe << impérativement sur ton bureau

 

Ferme tous les programmes en cour de fonctionnement...

 

Valide START pour lancer TFC

 

Une demande va apparaitre pour te demander de redémarrer ton pc, cliques sur "YES" et laisse faire TFC.

 

 

Puis::

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified

[MD5.CCED1300F915817C00FCFD7FA0EE1300] - (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Propriétaire\Application Data\dwm.exe [200704]

[MD5.CCED1300F915817C00FCFD7FA0EE1300] - (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Propriétaire\Application Data\Microsoft\conhost.exe [188416]

[MD5.E7F93F7F99F8C9154B1FB6FEE108D234] - (.Pinball Corporation. - ClickPotato Search assistant.) -- C:\Program Files\ClickPotatoLite\bin\10.0.636.0\ClickPotatoLiteSA.exe [741680]

[MD5.CCED1300F915817C00FCFD7FA0EE1300] - (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\csrss.exe [212992]

P2 - FPN:Firefox Plugin Navigator . (.Pinball Corporation. - ClickPotatoLite Firefox Plugin.) -- C:\Program Files\Mozilla Firefox\Plugins\npclntax_ClickPotatoLiteSA.dll

OPT:O4 - HKLM\..\Run: [nwiz] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\nwiz.exe

OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.exe

OPT:O4 - HKLM\..\Run: [Alcmtr] . (.Realtek Semiconductor Corp. - Realtek Azalia Audio - Event Monitor.) -- C:\Windows\ALCMTR.exe

OPT:O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

OPT:O4 - HKLM\..\Run: [LiveMonitor] . (.Pas de propriétaire - UpdateMonitor MFC Application.) -- C:\Program Files\MSI\Live Update 3\LMonitor.exe

OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

OPT:O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

O4 - HKLM\..\Run: [NokiaMServer] Clé orpheline

O4 - HKLM\..\Run: [ClickPotatoLiteSA] . (.Pinball Corporation. - ClickPotato Search assistant.) -- C:\Program Files\ClickPotatoLite\bin\10.0.636.0\ClickPotatoLiteSA.exe

O4 - HKLM\..\Run: [conhost] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Propriétaire\Application Data\Microsoft\conhost.exe

OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe

OPT:O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] . (.Nero AG - Nero Home.) -- C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

OPT:O4 - HKCU\..\Run: [NokiaOviSuite2] . (.Nokia - Nokia Ovi Suite 2.) -- C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe

OPT:O4 - HKCU\..\Run: [KiesTrayAgent] . (.Samsung Electronics Co., Ltd. - Kies TrayAgent Application.) -- C:\Program Files\Samsung\Kies\KiesTrayAgent.exe

OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe

OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe

OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe

OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe

OPT:O4 - HKUS\S-1-5-21-30265452-4178232588-3073361309-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe

OPT:O4 - HKUS\S-1-5-21-30265452-4178232588-3073361309-1003\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] . (.Nero AG - Nero Home.) -- C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

OPT:O4 - HKUS\S-1-5-21-30265452-4178232588-3073361309-1003\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

OPT:O4 - HKUS\S-1-5-21-30265452-4178232588-3073361309-1003\..\Run: [NokiaOviSuite2] . (.Nokia - Nokia Ovi Suite 2.) -- C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe

OPT:O4 - HKUS\S-1-5-21-30265452-4178232588-3073361309-1003\..\Run: [KiesTrayAgent] . (.Samsung Electronics Co., Ltd. - Kies TrayAgent Application.) -- C:\Program Files\Samsung\Kies\KiesTrayAgent.exe

OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk . (.Hewlett-Packard Co..) -- C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: ClickPotato - {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} . (.Pinball Corporation - ClickPotato.) -- C:\Program Files\ClickPotatoLite\bin\10.0.636.0\ClickPotatoLiteSABHO.dll

O20 - Winlogon Notify: cryptnet32 . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\cryptnet32.dll

O42 - Logiciel: ClickPotato - (.Pinball Corporation..) [HKLM] – ClickPotatoLiteSA

[HKCU\Software\clickpotatolitesa]

[HKLM\Software\ClickPotatoLite]

O43 - CFD: 09/01/2011 - 17:45:10 ----D- C:\Program Files\ClickPotatoLite

O43 - CFD: 09/01/2011 - 17:45:10 ----D- C:\Documents and Settings\Propriétaire\Application Data\ClickPotatoLite

O44 - LFC:[MD5.DA97BF33E4731A839EC8F9DF947CDCE5] - 14/02/2011 - 10:37:10 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\crt.dat [16]

O44 - LFC:[MD5.C6B24376A894298DDC7ADECFF1AAE1EF] - 12/02/2011 - 17:06:35 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\shimg.dll [298161]

O61 - LFC:Last File Created 14/02/2011 - 11:23:08 ---A- C:\Documents And Settings\All Users\Application Data\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat [10202941]

O61 - LFC:Last File Created 14/02/2011 - 22:42:50 ---A- C:\Documents And Settings\All Users\Application Data\ClickPotatoLiteSA\ClickPotatoLiteSA.dat [1872]

Emptytemp

FirewallRaz

EmptyFlash

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [H] ("coller les lignes Helper").

 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment qui apparaitront.

 

Vérifie :

- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

- que les lignes soient disposées les unes en dessous des autres.

 

* Puis clique sur le bouton [OK].

> À ce moment là, il apparaitra au début de chaque ligne une petite case vide. Ne touche plus à rien !

 

!! Déconnecte toi d'internet, désactive tes défenses (anti-virus, anti-spyware) et ferme bien toutes autres applications (navigateurs compris) !!

 

 

* Clique sur le bouton [Tous]. Vérifies que toutes les lignes soient bien cochées.

 

* Enfin clique sur le bouton [Nettoyer].

 

 

-> laisse travailler l'outil et ne touche à rien ...

 

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

 

Puis::

 

 

 

Installe Malewarebytes' Antimalware,

Téléchargement

 

 

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

 

 

[guillaume40]

Merci, c'est super sympa de ta part.

Voila le rapport de zhtfix pour l'instan t et je continue le reste

 

Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011

Fichier d'export Registre : C:\ZHPExportRegistry-15-02-2011-10-38-04.txt

Run by Propriétaire at 15/02/2011 10:38:04

Windows XP Home Edition Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

Contact : nicolascoolman@yahoo.fr

 

========== Processus mémoire ==========

C:\Program Files\ClickPotatoLite\bin\10.0.636.0\ClickPotatoLiteSA.exe [741680] => Supprimé et mis en quarantaine

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\csrss.exe [212992] => Supprimé et mis en quarantaine

 

========== Clé(s) du Registre ==========

O9 - Extra button: ClickPotato - {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} . (.Pinball Corporation - ClickPotato.) -- C:\Program Files\ClickPotatoLite\bin\10.0.636.0\ClickPotatoLiteSABHO.dll => Clé supprimée avec succès

O20 - Winlogon Notify: cryptnet32 . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\cryptnet32.dll => Clé absente

HKCU\Software\clickpotatolitesa => Clé supprimée avec succès

HKLM\Software\ClickPotatoLite => Clé supprimée avec succès

 

========== Valeur(s) du Registre ==========

O4 - HKLM\..\Run: [nwiz] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\nwiz.exe => Valeur supprimée avec succès

O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.exe => Valeur supprimée avec succès

O4 - HKLM\..\Run: [Alcmtr] . (.Realtek Semiconductor Corp. - Realtek Azalia Audio - Event Monitor.) -- C:\Windows\ALCMTR.exe => Valeur supprimée avec succès

O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe => Valeur supprimée avec succès

O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe => Valeur supprimée avec succès

O4 - HKLM\..\Run: [LiveMonitor] . (.Pas de propriétaire - UpdateMonitor MFC Application.) -- C:\Program Files\MSI\Live Update 3\LMonitor.exe => Valeur supprimée avec succès

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès

O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe => Valeur supprimée avec succès

O4 - HKLM\..\Run: [NokiaMServer] Clé orpheline => Valeur supprimée avec succès

O4 - HKLM\..\Run: [ClickPotatoLiteSA] . (.Pinball Corporation. - ClickPotato Search assistant.) -- C:\Program Files\ClickPotatoLite\bin\10.0.636.0\ClickPotatoLiteSA.exe => Valeur supprimée avec succès

O4 - HKLM\..\Run: [conhost] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Propriétaire\Application Data\Microsoft\conhost.exe => Valeur supprimée avec succès

O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] . (.Nero AG - Nero Home.) -- C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe => Valeur supprimée avec succès

O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur supprimée avec succès

O4 - HKCU\..\Run: [NokiaOviSuite2] . (.Nokia - Nokia Ovi Suite 2.) -- C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe => Valeur supprimée avec succès

O4 - HKCU\..\Run: [KiesTrayAgent] . (.Samsung Electronics Co., Ltd. - Kies TrayAgent Application.) -- C:\Program Files\Samsung\Kies\KiesTrayAgent.exe => Valeur supprimée avec succès

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès

O4 - HKUS\S-1-5-21-30265452-4178232588-3073361309-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente

O4 - HKUS\S-1-5-21-30265452-4178232588-3073361309-1003\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] . (.Nero AG - Nero Home.) -- C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe => Valeur absente

O4 - HKUS\S-1-5-21-30265452-4178232588-3073361309-1003\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur absente

O4 - HKUS\S-1-5-21-30265452-4178232588-3073361309-1003\..\Run: [NokiaOviSuite2] . (.Nokia - Nokia Ovi Suite 2.) -- C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe => Valeur absente

O4 - HKUS\S-1-5-21-30265452-4178232588-3073361309-1003\..\Run: [KiesTrayAgent] . (.Samsung Electronics Co., Ltd. - Kies TrayAgent Application.) -- C:\Program Files\Samsung\Kies\KiesTrayAgent.exe => Valeur absente

FirewallRaz (SP) : E:\setup\hpznui01.exe => Valeur supprimée avec succès

FirewallRaz (SP) : C:\Program Files\Skype\Plugin Manager\skypePM.exe => Valeur supprimée avec succès

FirewallRaz (DP) : E:\setup\hpznui01.exe => Valeur supprimée avec succès

FirewallRaz : Aucune valeur présente dans la clé d'exception du registre .

 

========== Elément(s) de donnée du Registre ==========

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès

 

========== Dossier(s) ==========

Dossiers Flash Cookies supprimés : 32

 

========== Fichier(s) ==========

Fichiers Flash Cookies supprimés : 9

 

========== Logiciel(s) ==========

O42 - Logiciel: ClickPotato - (.Pinball Corporation..) [HKLM] – ClickPotatoLiteSA => Logiciel déjà supprimé

 

 

========== Récapitulatif ==========

2 : Processus mémoire

4 : Clé(s) du Registre

28 : Valeur(s) du Registre

3 : Elément(s) de donnée du Registre

1 : Dossier(s)

1 : Fichier(s)

1 : Logiciel(s)

 

 

End of the scan

[guillaume40]

Voilà le rapport! Je l'ai toujours

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 5767

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

15/02/2011 11:20:46

mbam-log-2011-02-15 (11-20-46).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 213025

Temps écoulé: 31 minute(s), 0 seconde(s)

 

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 24

Valeur(s) du Registre infectée(s): 4

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 6

Fichier(s) infecté(s): 34

 

Processus mémoire infecté(s):

C:\Documents and Settings\Propriétaire\Application Data\Microsoft\conhost.exe (Trojan.Agent) -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\clickpotatoliteax.info (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\clickpotatoliteax.info.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\clickpotatoliteax.userprofiles (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\clickpotatoliteax.userprofiles.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\menubuttonie.buttonie (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\menubuttonie.buttonie.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{30b15818-e110-4527-9c05-46ace5a3460d} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{419eda30-6dff-432c-b534-e15d899abee4} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{618aad04-921f-44c2-be38-c0818af69861} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{b5d2ed96-62f9-4c2c-956d-e425b1f67337} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{d3a412e8-1e4b-47d2-9b12-f88291f5afbb} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{1602f07d-8bf3-4c08-bdd6-dddb1c48aedc} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{7a3d6d17-9dd5-4c60-8076-d1784dabaf8c} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{ac6d819e-aa8f-4418-a3bb-d165c1b18bb5} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{814baa91-dc22-4350-87d6-0c86e93f7f08} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{c55ca95c-324b-451c-b2d2-6e895aa75fec} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{a078f691-9c07-4af2-bf43-35e79eecf8b7} (Adware.Softomate) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602f07d-8bf3-4c08-bdd6-dddb1c48aedc} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{ac6d819e-aa8f-4418-a3bb-d165c1b18bb5} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae} (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-cd68-4f36-8d02-8c43722ee5da} (Adware.Hotbar) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\AppID\MenuButtonIE.DLL (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\clickpotatolite@clickpotatolite.com (Adware.ClickPotato) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Hijack.Shell) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\proxyserver (PUM.Bad.Proxy) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Documents and Settings\All Users\Application Data\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Application Data\ClickPotatoLiteSA (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Program Files\ClickPotatoLite (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Program Files\ClickPotatoLite\bin (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Program Files\ClickPotatoLite\bin\10.0.636.0 (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ClickPotato (Adware.ClickPotato) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Documents and Settings\Propriétaire\Bureau\VLCSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.

C:\Documents and Settings\Propriétaire\Local Settings\Application Data\hwvfmlh.exe (Rogue.SecurityShield) -> Quarantined and deleted successfully.

C:\Program Files\ClickPotatoLite\bin\10.0.636.0\ClickPotatoLiteSAHook.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\clickpotatolitesa.exe.VIR (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\clickpotatolitesabho.dll.VIR (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\npclntax_clickpotatolitesa.dll.VIR (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\ClickPotatoLite.DIR\bin\10.0.636.0\ClickPotatoLiteSAAX.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\ClickPotatoLite.DIR\bin\10.0.636.0\ClickPotatoLiteSAHook.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\ClickPotatoLite.DIR\bin\10.0.636.0\ClickPotatoLiteUninstaller.exe (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\ClickPotatoLite.DIR\bin\10.0.636.0\firefox\extensions\plugins\npclntax_ClickPotatoLiteSA.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\ClickPotatoLite.DIR\ClickPotatoLite\bin\10.0.636.0\ClickPotatoLiteSAHook.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP610\A0087011.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP612\A0087044.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP612\A0087058.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP614\A0087088.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP614\A0087072.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP615\A0087109.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP615\A0087110.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP616\A0089109.exe (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP616\A0089110.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP616\A0089113.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP616\A0089114.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP616\A0089115.exe (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{F2410B45-A05B-4B18-A431-33FFF66A6868}\RP616\A0089117.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\_avast4_\unp178667846.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\_avast4_\unp220488280.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Application Data\ClickPotatoLiteSA\ClickPotatoLiteSAAbout.mht (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Application Data\ClickPotatoLiteSA\ClickPotatoLiteSAau.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Application Data\ClickPotatoLiteSA\ClickPotatoLiteSAEULA.mht (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Application Data\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ClickPotato\About Us.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ClickPotato\ClickPotato Customer Support.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ClickPotato\ClickPotato Uninstall Instructions.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.

C:\Documents and Settings\Propriétaire\Application Data\Microsoft\conhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Modifié le 15 février 2011 par guillaume40

[guillaume40]

J'ai refait un test : il en a encore trouvé 10. Qu'en penses-tu?

 

 

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 5767

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

15/02/2011 12:37:36

mbam-log-2011-02-15 (12-37-36).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 204248

Temps écoulé: 21 minute(s), 15 seconde(s)

 

Processus mémoire infecté(s): 2

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 4

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 4

 

Processus mémoire infecté(s):

c:\documents and settings\propriétaire\application data\dwm.exe (Trojan.Downloader) -> 3288 -> Unloaded process successfully.

c:\documents and settings\propriétaire\application data\microsoft\conhost.exe (Trojan.Downloader) -> 3468 -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\documents and settings\propriétaire\application data\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\documents and settings\propriétaire\application data\microsoft\conhost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\system volume information\_restore{f2410b45-a05b-4b18-a431-33fff66a6868}\RP616\A0090112.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

c:\documents and settings\propriétaire\local settings\Temp\csrss.exe (Trojan.Agent) -> Delete on reboot.

[bernard53]

ok dis moi tu as bien lancer au début de la manip TFC.

 

Dis moi si tu as encore des alertes s.t.p

[guillaume40]

Oui oui, j'ai fait TFC. Là ça a l'air d'aller, je n'ai pas encore été redirigé ver Gomeo. Je crois les doigts. En tout cas, merci pour ton aide et le temps que tu as pris pour moi

[bernard53]

ok super

 

reviens me donner des nouvelles demain par exemple pour valider que tout est OK.