[Résolu] PC infecté par Trojan Bagle

[Nausicaa99]

Bonjour bonjour !

Je viens solliciter votre aide car j'essaye seule mais j'ai peur de pas arriver a le virer ce satané trojan.

Je m'explique, avant hier j'ai téléchargé un album de musique coréene d'un groupe assez connu là bas donc commun on dira. Via Emule.

Quand j'ai ouvert il y avait un dossier KEYGEN, dossier que j'ai direct supprimé sans l'ouvrir et vidé la corbeille. J'ai dézippé l'album en question dans mon dossier D:/MUSIQUE

 

Mon antivirus Microsoft security m'allerte d'un problème, j'enchaine avaec l'analyse et il trouve le trojan Bagle qu'il supprime ensuite. Dans la journée mon pc a ramé un peu mais rien d'alarmant étant donné que j'utilise photoshop, internet et beaucoup de pages et fillezilla pour mon boulop et que des fois photoshop ramone un peu comme d'hab. Ce matin en démarrant il dit qu'il ya une erreur, il essaye de corriger mais dis que les fichiers a probleme sont illisible, j'annule et redemarre (mode sans echec impossible j'ai pas insisté), et en regardant a nouveau l'historique de l'antivirus il dit a nouveau (une autre ligne) trojan BAGLE mais cette fois AUTORISE oO

Resultat je peux plus acceder a mon D:/

 

J'ai désinstallé l'antivirus actuel, et installé Antivir comme j'ai pu lire sur le web, il a trouvé deux trojan mais pas bagle (d'ailleurs des trojans qui n'ont jamais été là avant ...et qui datent de 2007 apparament alors que le pc est neuf de 2010..)

La je peux enfin accéder au D:/ mais pas au dossier MUSIQUE mais tout les autres dossiers je peux. Il me dit : répertoire endommagé ou illisible avec O octects dedans. (alors que les 3/4giga sont toujours là dans le total global en retirant les autres dossiers)

 

Avant de lancer ANtivir il voulais pas installer Findykill, la j'ai lancé malwarebites mais j'ai pu enfin utiliser findykill, une fois l'analyse d'antivir effectué (les trojans ou fichiers infectieux devaient venir de bagle je pense, non?, c'etait : W32/alman.BB et TR/Agent.59904.B) (a savoir que je tombe jamais sur le piège du mail des amis RE:Hello avec pieces attachées lol)

 

En tout cas je peux toujours pas accéder a mon dossier :'( et j'aimerais réussir a eviter de le virer étant donné que j'ai énormément de GIGA de musiques presque introuvables sur le web et meme en vente T___T

 

Pourriez vous m'aider s'il vous plait =*vvvv*= (pardon pour le roman au passage =B)

 

voilà le rapport de Findykill :

############################## | FindyKill V5.052 |

 

# User : Shiilia (Administrateurs) # SHIILIA-NEIGE

# Update on 23/10/2010 by El Desaparecido

# Start at: 17:51:24 | 04/03/2011

# Website : TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

# Contact : eldesaparecido@teamxscript.org

 

# Intel® Core2 Quad CPU Q8300 @ 2.50GHz

# Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #

# Internet Explorer 8.0.7600.16385

# Windows Firewall Status : Enabled

 

# C:\ # Disque fixe local # 458,95 Go (347,2 Go free) [Packard Bell] # NTFS

# D:\ # Disque fixe local # 931,51 Go (578,93 Go free) [DATA] # NTFS

# E:\ # Disque fixe local # 459,46 Go (451,56 Go free) [TAFS] # NTFS

# F:\ # Disque CD-ROM

# G:\ # Disque amovible

# H:\ # Disque amovible

# I:\ # Disque amovible

# J:\ # Disque amovible

# K:\ # Disque amovible

# L:\ # Disque CD-ROM

 

################## | Eléments infectieux |

 

 

################## | Registre |

 

[HKCU\Software\Classes\ed2k]

[HKCR\ed2k]

 

################## | Etat |

 

# Affichage des fichiers cachés : OK

 

# Mode sans echec : OK

 

# (!) Uac = 0x0

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )

# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )

# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )

# windefend -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | ! Fin du rapport # FindyKill V5.052 ! |

Modifié le 5 mars 2011 par Nausicaa99

[Apollo]

Bonsoir,

 

Il y a longtemps que tu l'avais téléchargé FindyKill?

 

Update on 23/10/2010 by El Desaparecido

 

Si c'est très récent, utilise la fonction de ########### [ Option 2 ( Suppression ) VISTA/7 ]

 

 

 

/!\ Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

 

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

 

Fais un clic droit sur le raccourci FindyKill présent sur ton bureau et choisis "exécuter en tant qu'administrateur" .

 

Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

 

Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

 

Le pc va redémarrer automatiquement ...

 

Le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

 

--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

 

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide.

 

*********************

 

Sinon, désinstalle celui que tu as et télécharge une nouvelle version sur ton bureau. (désinstall = option 4) et refais l'option de recherche:

 

Télécharge FindyKill de El Desaparecido sur ton bureau :

 

Findykill : telechargement

 

! Déconnecte toi et ferme toutes applications en cours !

 

Désactive toutes les protections résidentes. (antivirus, firewall, antimalware...)

 

Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

 

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

 

Fais un clic droit sur le raccourci FindyKill présent sur ton bureau et choisis "exécuter en tant qu'administrateur" .

 

Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

 

Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

 

Laisse travailler l'outil et ne touche à rien ...

 

--> Poste le rapport qui apparait à la fin , sur le forum ...

 

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

 

Aides en images : Orange

 

@++

[Nausicaa99]

Merci pour ta réponse rapide!!

j'ai fini l'analyse du D avec malwarebytes il a rien trouvé.

La j'ai retelechargé Findykill(apparemment c'était la meme que j'avais pris plus tôt :/)

et j'ai eu le meme résultat on dirait :

 

############################## | FindyKill V5.052 |

 

# User : Shiilia (Administrateurs) # SHIILIA-NEIGE

# Update on 23/10/2010 by El Desaparecido

# Start at: 21:32:56 | 04/03/2011

# Website : TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

# Contact : eldesaparecido@teamxscript.org

 

# Intel® Core2 Quad CPU Q8300 @ 2.50GHz

# Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #

# Internet Explorer 8.0.7600.16385

# Windows Firewall Status : Enabled

 

# C:\ # Disque fixe local # 458,95 Go (347,2 Go free) [Packard Bell] # NTFS

# D:\ # Disque fixe local # 931,51 Go (578,93 Go free) [DATA] # NTFS

# E:\ # Disque fixe local # 459,46 Go (451,56 Go free) [TAFS] # NTFS

# F:\ # Disque CD-ROM

# G:\ # Disque amovible

# H:\ # Disque amovible

# I:\ # Disque amovible

# J:\ # Disque amovible

# K:\ # Disque amovible

# L:\ # Disque CD-ROM

 

################## | Eléments infectieux |

 

 

################## | Registre |

 

[HKCU\Software\Classes\ed2k]

[HKCR\ed2k]

 

################## | Etat |

 

# Affichage des fichiers cachés : OK

 

# Mode sans echec : OK

 

# (!) Uac = 0x0

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )

# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )

# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )

# windefend -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | ! Fin du rapport # FindyKill V5.052 ! |

 

 

Est ce que faire l'option 2 pourrait arranger les choses?

J'ai entendu que cela pourrait supprimer des choses mais rien que les fichiers a problemes normalement non?

Modifié le 4 mars 2011 par Nausicaa99

[Apollo]

Re,

 

Oui il faut passer l'option de nettoyage car des éléments registre sont infectés et une valeur est à corriger:

 

(!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )

 

FYK devrait remettre tout cela en bonne position

 

Je ne te remets pas la procédure puisque tu l'ass un peu plus haut.

S'il le fallait, on lancerait ComboFix si ça n'allait pas mieux mais ne le lance pas sans que je te le demande siouplé.

 

@++

[Nausicaa99]

Merci pour ta reponse encore

 

J'ai retesté le dossier, j'accède enfin au D:/Musique mais que a un seul dossier parmis 7/8 qu'il y avait lol. Apparament, il manque toujours 112giga de musique qui reste invisible (en calculant la taille des dossiers dedans)

 

ca avance o//

voilà suite a l'étape 2 :

 

 

############################## | FindyKill V5.052 |

 

# User : Shiilia (Administrateurs) # SHIILIA-NEIGE

# Update on 23/10/2010 by El Desaparecido

# Start at: 22:34:52 | 04/03/2011

# Website : TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

# Contact : eldesaparecido@teamxscript.org

 

# Intel® Core2 Quad CPU Q8300 @ 2.50GHz

# Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #

# Internet Explorer 8.0.7600.16385

# Windows Firewall Status : Enabled

 

# C:\ # Disque fixe local # 458,95 Go (347,22 Go free) [Packard Bell] # NTFS

# D:\ # Disque fixe local # 931,51 Go (578,93 Go free) [DATA] # NTFS

# E:\ # Disque fixe local # 459,46 Go (451,56 Go free) [TAFS] # NTFS

# F:\ # Disque CD-ROM

# G:\ # Disque amovible

# H:\ # Disque amovible

# I:\ # Disque amovible

# J:\ # Disque amovible

# K:\ # Disque amovible

# L:\ # Disque CD-ROM

 

################## | Eléments infectieux |

 

 

################## | CRC32 ... |

 

 

################## | Registre |

 

Supprimé ! [HKCU\Software\Classes\ed2k]

Supprimé ! [HKCR\ed2k]

 

################## | Etat |

 

# Mode sans echec : OK

 

 

# Affichage des fichiers cachés : OK

 

# Uac : OK

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )

# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# windefend -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | Fichiers corrompus |

 

... OK !

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_Shiilia-NEIGE.zip : Upload TeamXscript

Merci pour votre contribution .

 

################## | ! Fin du rapport # FindyKill V5.052 ! |

 

Modifié le 4 mars 2011 par Nausicaa99

[Apollo]

Bene!

 

As-tu pensé à envoyer le fichier demandé dans le rapport? (ça sert à l'auteur à améliorer son zoutil)

 

Après, relance FindyKill et désinstalle-le avec l'option 4 si mes souvenirs sont bons.

 

A tout hasard, pour sauvegarder des dossiers/fichiers en cas de crash, je te conseille cet article de mon excellente amie Marie: Comment récupérer ses fichiers quand windows ne démarre plus : Astuces pour Dépanner Windows XP/ Windows Vista / Windows Seven

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
   
  
   
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

@++

[Nausicaa99]

merci encore <3

 

il n'y a toujours qu'un dossier par contre snif :'( (par contre en recherchant le nom d'une chanteuse dont le dossier est invisible il me les affiche...mais ne les lit pas) XD

Est ce que la méthode d'utiliser la console de recuperation (demarrer l'ordi avec une version antérieure pourrait arranger ça?)

(pour l'envoie je le ferais comme j'etais pas online j'ai laissé de coté mais je l'enverrais des que tout est ok je prefere pas me connecter a mes boites mail on sait jamais lol<<<la flipé)

voila le compte rendu de combofix :

 

ComboFix 11-03-04.04 - Shiilia 05/03/2011 1:10.1.4 - x64

Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.4095.2728 [GMT 1:00]

Lancé depuis: c:\users\Shiilia\Desktop\plop.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\FullRemove.exe

c:\users\Shiilia\AppData\Roaming\Local

c:\windows\system32\twunk_32.exe

c:\windows\SysWow64\twunk_32.exe

D:\install.exe

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-02-05 au 2011-03-05 ))))))))))))))))))))))))))))))))))))

.

.

2011-03-05 00:13 . 2011-03-05 00:13 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-03-04 16:49 . 2011-03-05 00:05 -------- d-----w- C:\FyK

2011-03-04 16:41 . 2011-03-04 16:41 -------- d-----w- c:\users\Shiilia\AppData\Roaming\Malwarebytes

2011-03-04 16:40 . 2010-12-20 17:09 38224 ----a-w- c:\windows\SysWow64\drivers\mbamswissarmy.sys

2011-03-04 16:40 . 2011-03-04 16:40 -------- d-----w- c:\programdata\Malwarebytes

2011-03-04 16:40 . 2011-03-04 16:40 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware

2011-03-04 16:40 . 2010-12-20 17:08 24152 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-03-04 11:30 . 2011-03-04 11:30 -------- d-----w- c:\users\Shiilia\AppData\Roaming\Avira

2011-03-04 11:27 . 2010-08-17 12:39 81584 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-03-04 11:27 . 2010-08-17 12:39 116568 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-03-04 11:27 . 2011-03-04 11:27 -------- d-----w- c:\programdata\Avira

2011-03-04 11:27 . 2011-03-04 11:27 -------- d-----w- c:\program files (x86)\Avira

2011-02-22 11:09 . 2011-02-22 11:09 -------- d-----w- c:\program files (x86)\PS3 Media Server

2011-02-09 21:00 . 2010-12-18 04:20 386048 ----a-w- c:\windows\SysWow64\html.iec

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-04 23:23 . 2011-03-04 23:23 818 ----a-w- C:\FindyKill_Upload_Me_Shiilia-NEIGE.zip

2011-01-31 11:01 . 2011-01-31 11:01 9216 ----a-r- c:\users\Shiilia\AppData\Roaming\Microsoft\Installer\{7426428E-71D4-452C-BA13-B14E5EB52859}\Icon7426428E16.exe

2010-12-29 00:19 . 2010-12-29 00:19 45056 ----a-w- c:\windows\SysWow64\ff_acm.acm

2010-12-10 14:10 . 2010-12-10 14:10 411368 ----a-w- c:\windows\SysWow64\deployJava1.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Software Suite SE"="c:\program files (x86)\Packard Bell\Software Suite SE\SoftSuiteSE.exe" [2009-07-28 2353184]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"Packard Bell Photo Frame"="c:\program files (x86)\Packard Bell Photo Frame\ButtonMonitor.exe" [2009-07-20 124416]

"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2010-12-09 1226608]

"DivX Download Manager"="c:\program files (x86)\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

"UacDisableNotify"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"mixer5"=wdmaud.drv

.

R3 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files (x86)\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-12-08 169312]

R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]

R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\DRIVERS\wacmoumonitor.sys [2010-01-24 18216]

R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-05-24 1255736]

S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2010-07-12 55856]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-05-27 834544]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]

S2 Greg_Service;GRegService;c:\program files (x86)\Packard Bell\Registration\GregHSRW.exe [2009-08-28 1150496]

S2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [2010-02-01 6159656]

S2 Updater Service;Updater Service;c:\program files\Packard Bell\Packard Bell Updater\UpdaterService.exe [2009-07-04 240160]

S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2009-06-26 83488]

S3 RTL8167;Pilote Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-06-10 187392]

.

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-20 7981088]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 16333856]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=ixtreme_m3720&r=173605100506p0355v175y48619219

uLocal Page = c:\windows\system32\blank.htm

mStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=ixtreme_m3720&r=173605100506p0355v175y48619219

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = *.local

FF - ProfilePath - c:\users\Shiilia\AppData\Roaming\Mozilla\Firefox\Profiles\rjcnm1d8.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2391419&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.search.selectedEngine - TranslatorBar 1.2 Customized Web Search

FF - prefs.js: browser.startup.homepage - hxxp://www.actuanimaux.com/

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2391419&q=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Ext: Personas: personas@christopher.beard - %profile%\extensions\personas@christopher.beard

FF - Ext: Silvermel and Charamel XT: silvermelxt@pardal.de - %profile%\extensions\silvermelxt@pardal.de

FF - Ext: Charamel: {961408A3-C970-4577-970A-D97C29839A67} - %profile%\extensions\{961408A3-C970-4577-970A-D97C29839A67}

FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\html5video

FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\wpa

.

- - - - ORPHELINS SUPPRIMES - - - -

.

Toolbar-Locked - (no file)

Toolbar-Locked - (no file)

.

.

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Autres processus actifs ------------------------

.

c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

c:\program files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe

.

**************************************************************************

.

Heure de fin: 2011-03-05 01:18:30 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-03-05 00:18

.

Avant-CF: 372 149 530 624 octets libres

Après-CF: 447 510 188 032 octets libres

.

- - End Of File - - 387C8130C7973D303E21D460F8B57FB2

Modifié le 5 mars 2011 par Nausicaa99

[Apollo]

Bonjour,

 

Faire une restauration système assez loin dans le temps peut peut-être arranger certaines choses, mais il y a aussi les inconvénients d'une probable ré-infection et le fait de devoir refaire une flopée de mises à jour de tout poil. (Windows + applications diverses).

 

Je te propose d'abord de faire une analyse antivirale.

 

La présentation peut avoir changé mais le principe est resté le même mais auparavant, je voudrais que tu fasses ceci:

 

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

Ad-Remover : Telechargement

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Scanner.

 

 

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

 

-----------------------------------------------------------------------------------------------

 

2) Double-clique pour XP, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône Ad-R placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer.

 

Le bureau va disparaitre, c'est normal!

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

*********************

 

Poste les rapports puis désinstalle Ad-Remover.

 

***************

Tu as le choix pour l'analyse: DrWeb CureIt ou Kaspersky; si CureIt posait problème, utilise alors le VRT de Kasper. Apollo Et Compagnie Kaspersky Virus Removal Tool en français

 

****************

Avant de lancer une analyse antivirus, nettoie tes temporaires avec TFC:

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

 

****************************

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

• Double clique drweb-cureit.exe et ensuite clique sur Analyse;
  
• Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
  **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X"
  
• Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
  
• Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
  
• De retour à la fenêtre principale : clique pour activer "Analyse complète";
  
• Clique le bouton avec flèche verte sur la droite, et le scan débutera.
  
• Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
  
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
  
• Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
  
• Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
  
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
  
• Ferme Dr.Web Cureit
  
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
  
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
  

 

Bon courage et bonne journée.

 

+++

[Nausicaa99]

Coucou ! merci!!

 

Alors ce matin en redemarrant le pc, il a voulu faire sa réparation de fichiers je l'ai laissé faire mais c'était long, a l'allumage dans mon dossier musiques, elles sont toutes la <3<3 et je peux enfin les écouter!!!

 

j'ai lancé le Ad-Remover à l'instant et voilà le rapport qui suit(je continue pour le antivirus maintenant):

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 01/03/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

 

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 10:08:15 le 05/03/2011, Mode normal

 

Microsoft Windows 7 Édition Familiale Premium (X64)

Shiilia@SHIILIA-NEIGE (Packard Bell ixtreme M3720)

 

============== RECHERCHE ==============

 

 

Dossier trouvé: C:\Users\Shiilia\AppData\Roaming\Mozilla\FireFox\Profiles\rjcnm1d8.default\conduit

 

-- Fichier ouvert: C:\Users\Shiilia\AppData\Roaming\Mozilla\FireFox\Profiles\rjcnm1d8.default\Prefs.js --

Ligne trouvée: user_pref("CT2391419.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...

Ligne trouvée: user_pref("CT2391419.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT239...

Ligne trouvée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...

Ligne trouvée: user_pref("CommunityToolbar.ToolbarsList", "CT2391419");

Ligne trouvée: user_pref("CommunityToolbar.ToolbarsList2", "CT2391419");

Ligne trouvée: user_pref("CommunityToolbar.alert.alertInfoInterval", 60);

Ligne trouvée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Fri Aug 27 2010 00:07:13 GMT+0200");

Ligne trouvée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");

Ligne trouvée: user_pref("CommunityToolbar.alert.locale", "en");

Ligne trouvée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);

Ligne trouvée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Fri Aug 27 2010 00:07:12 GMT+0200");

Ligne trouvée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1282029937");

Ligne trouvée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);

Ligne trouvée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");

Ligne trouvée: user_pref("CommunityToolbar.alert.showTrayIcon", false);

Ligne trouvée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);

Ligne trouvée: user_pref("CommunityToolbar.alert.userId", "{d81e0d03-27f4-46d1-b3e0-3a0abf799043}");

Ligne trouvée: user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2391419");

Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2391419&Sea...

Ligne trouvée: user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2391419&q=");

-- Fichier Fermé --

 

 

 

 

============== SCAN ADDITIONNEL ==============

 

**** Mozilla Firefox Version [3.6.14 (fr)] ****

 

HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)

HKLM_MozillaPlugins\@wacom.com/wacom-plugin,version=1.1.0.3 (x)

HKLM_Extensions|{23fcfd51-4958-4f00-80a3-ae97e717ed8b} - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\html5video

HKLM_Extensions|{6904342A-8307-11DF-A508-4AE2DFD72085} - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\wpa

 

-- C:\Users\Shiilia\AppData\Roaming\Mozilla\FireFox\Profiles\rjcnm1d8.default --

Extensions\silvermelxt@pardal.de (Silvermel and Charamel XT)

Extensions\{961408A3-C970-4577-970A-D97C29839A67} (Charamel)

Prefs.js - browser.download.dir, C:\\Users\\Shiilia\\Downloads\\concoursOMD\\CONCOURS FASHION VICTIME

Prefs.js - browser.download.lastDir, C:\\Users\\Shiilia\\Desktop

Prefs.js - browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2391419&SearchSource=3&q={searchTerms}

Prefs.js - browser.search.selectedEngine, TranslatorBar 1.2 Customized Web Search

Prefs.js - browser.startup.homepage, hxxp://www.actuanimaux.com/

Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.14

Prefs.js - keyword.URL, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2391419&q=

Prefs.js - privacy.popups.showBrowserMessage, false

 

========================================

 

**** Internet Explorer Version [8.0.7600.16385] ****

 

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Start Page - hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=ixtreme_m3720&r=173605100506p0355v175y48619219

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157

HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Start Page - hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=ixtreme_m3720&r=173605100506p0355v175y48619219

HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)

HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)

HKLM_ElevationPolicy\{5F17E524-3447-4c7d-8E5F-4EFF31CDE3B7} - C:\Program Files (x86)\DivX\DivX Plus Web Player\DDMService.exe (DivX, LLC)

HKLM_ElevationPolicy\{64903E32-AE0B-408D-909C-09A08791F28D} - C:\Program Files (x86)\DivX\DivX Plus Web Player\dwpBroker.exe (DivX, LLC)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)

HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)

HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)

HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files (x86)\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)

BHO\{326E768D-4182-46FD-9C16-1449A49795F4} - "DivX Plus Web Player HTML5 <video>" (C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll)

BHO\{593DDEC6-7468-4cdd-90E1-42DADAA222E9} - "DivX HiQ" (C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

 

========================================

 

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 05/03/2011 10:08:22 (6068 Octet(s))

 

Fin à: 10:09:02, 05/03/2011

 

=========

===== E.O.F ==============

[Apollo]

Re,

 

Tu as fait l'option nettoyer avec ad-remover?

 

Tant mieux si tu as retrouvé tes dossiers

 

@++