internet explorer piégé[résolu par Apollo]

[yttria]

Bonjour à tous.

Un ami m'a ramené son micro (packard bell, AMD sempron) car sa machine est infectée.

Symptomes : internet explorer ouvre des fenêtres de façon aléatoire, Avast à jour ne détecte rien (mais refuse de scanner bioslock. pif et .exe), et la machine refuse tout antivirus en ligne.

J'ai installé spyboot qui a enlevé des spyware, mais il me signale des modifications de registre toutes les 3 minutes.

 

Je vous demande donc comment je peux vous fournir des infos pour un coup de main.

 

Gloups... EDIT :

c'est sous XP à priori à jour.

Modifié le 1 avril 2011 par yttria

[Apollo]

Bonjour,

 

Spybot est maintenant complètement dépassé et il risque de nous gêner dans la désinfection.

 

Désinstaller Spybot S&D:

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

 

Tu dois retirer les vaccinations faites dans Spybot avant de le désinstaller.

 

 

Tu peux alors désinstaller Spybot S&D par ajouter/supprimer des programmes, ou par Programmes et Fonctionnalités dans Vista/Seven.

 

-------------------------------

ZHPDiag :

 

• Télécharge Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse

 

@++

[yttria]

Je viens de voir, je bosse, et je reviens.

Merci à toi pour cette réponse rapide.

(N.B : je suis celui de la bande qui s'y connait le mieux, te dire les autres... )

[Apollo]

je suis celui de la bande qui s'y connait le mieux

 

On jugera sur pièce...

 

Je plaisante

 

@++

[yttria]

Voilà. J'espère que je n'ai rien oublié...

Ce PC rame tout ce qu'il peut..

 

Le lien :

Cijoint.fr - Service gratuit de dépôt de fichiers

[Apollo]

Y'a du boulot, on attaque:

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur H

 

[*]Copie-colle les lignes ci-dessous dans la fenêtre

 

[MD5.0AAAA19EDFB21F2932D097D0BC4FB98D] - (.Pas de propriétaire - launch_networker.) -- C:\Program Files\InstallPedia\lnetworker.exe   [7168]    
P2 - FPN: [HKLM] [@viewpoint.com/VMP] - (.Pas de propriétaire - MetaStream 3 Plugin r4.) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll     
O4 - HKLM\..\Run: [iP Network] . (.Pas de propriétaire - launch_networker.) -- C:\Program Files\InstallPedia\lnetworker.exe   
O23 - Service:  (IP netservices) . (.Pas de propriétaire - service.) - C:\Program Files\InstallPedia\service.exe     
[HKCU\Software\AppDataLow\AskBarDis] 
[HKLM\Software\InstallPedia]    
[HKLM\Software\MetaStream]    
[HKLM\Software\Viewpoint]   
O43 - CFD: 15/09/2010 - 20:43:02 - [244224] ----D- C:\Program Files\InstallPedia    
O43 - CFD: 13/03/2006 - 19:59:24 - [7558675] ----D- C:\Program Files\Viewpoint    
O64 - Services: CurCS - C:\Program Files\InstallPedia\service.exe - service de mise a jour pour IP networker (IP netservices)  .(.Pas de propriétaire - service.) - LEGACY_IP_NETSERVICES    
[HKLM\Software\Classes\axmetastream.metastreamctl]    
[HKLM\Software\Classes\axmetastream.metastreamctl.1]    
[HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary]   
[HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1]  
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer]      
C:\Program Files\InstallPedia    
SS - | Auto 14/09/2010 8192 |  (IP netservices) . (...) - C:\Program Files\InstallPedia\service.exe   

 

• Tu cliques sur Tout sélectionner, puis clic-droit -> Copier
  Tu positionnes le curseur dans la zone blanche vide de ZHPFix, puis clic-droit -> Coller

 

[*]Vérifie que toutes les lignes que je t'ai demandé de copier-coller, et seulement ces lignes sont listées dans la fenêtre

 

[*]Clique sur OK puis:

 

[*]Clique sur Tous puis sur Nettoyer

 

[*]Valide par Oui la désinstallation des programmes si demandé

 

[*]Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC

 

[*]Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

@++

[yttria]

Bon. Je ne sais pas s'il y eu un problème...

 

J'ouvre le programme et le texte sur lequel j'avais fait copier est déjà collé.

Dans la fenêtre, j'ai cliqué sur GO...

 

J'ai écrit que j'étais le moins pire, mais là, je flippe d'être encore plus grave...

 

Le rapport :

Rapport de ZHPFix 1.12.3268 par Nicolas Coolman, Update du 29/03/2011

Fichier d'export Registre : C:\ZHPExportRegistry-30-03-2011-15-33-23.txt

Run by maurice at 30/03/2011 15:33:23

Windows XP Home Edition Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

P2 - FPN: [HKLM] [@viewpoint.com/VMP] - (.Pas de propriétaire - MetaStream 3 Plugin r4.) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll => Clé supprimée avec succès

O23 - Service: (IP netservices) . (.Pas de propriétaire - service.) - C:\Program Files\InstallPedia\service.exe => Clé supprimée avec succès

HKCU\Software\AppDataLow\AskBarDis => Clé supprimée avec succès

HKLM\Software\InstallPedia => Clé supprimée avec succès

HKLM\Software\MetaStream => Clé supprimée avec succès

HKLM\Software\Viewpoint => Clé supprimée avec succès

O64 - Services: CurCS - C:\Program Files\InstallPedia\service.exe - service de mise a jour pour IP networker (IP netservices) .(.Pas de propriétaire - service.) - LEGACY_IP_NETSERVICES => Clé supprimée avec succès

HKLM\Software\Classes\axmetastream.metastreamctl => Clé supprimée avec succès

HKLM\Software\Classes\axmetastream.metastreamctl.1 => Clé supprimée avec succès

HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary => Clé supprimée avec succès

HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1 => Clé supprimée avec succès

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe => Clé supprimée avec succès

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer => Clé supprimée avec succès

SS - | Auto 14/09/2010 8192 | (IP netservices) . (...) - C:\Program Files\InstallPedia\service.exe => Clé supprimée avec succès

 

========== Valeur(s) du Registre ==========

O4 - HKLM\..\Run: [iP Network] . (.Pas de propriétaire - launch_networker.) -- C:\Program Files\InstallPedia\lnetworker.exe => Valeur supprimée avec succès

 

========== Dossier(s) ==========

C:\Program Files\InstallPedia => Supprimé et mis en quarantaine

C:\Program Files\Viewpoint => Supprimé et mis en quarantaine

 

========== Fichier(s) ==========

c:\program files\installpedia\lnetworker.exe [7168] => Fichier absent

c:\program files\viewpoint\viewpoint experience technology\npviewpoint.dll => Supprimé et mis en quarantaine

c:\program files\installpedia\service.exe => Supprimé et mis en quarantaine

c:\program files\installpedia => Fichier absent

 

 

========== Récapitulatif ==========

14 : Clé(s) du Registre

1 : Valeur(s) du Registre

2 : Dossier(s)

4 : Fichier(s)

 

 

End of the scan

 

(EDIT : Fôte d'orthographe ) )

Modifié le 30 mars 2011 par yttria

[Apollo]

Re,

 

Non c'est bon comme ça, l'interface et l'un ou l'autre bouton ont sans dote été ajoutés mais le principal est de se comprendre. Il faudra adapter le texte d'explications pour cet outil; je le ferai quand j'y penserai

 

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

Ad-Remover : Telechargement

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Scanner.

 

 

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

 

-----------------------------------------------------------------------------------------------

 

2) Double-clique pour XP, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône Ad-R placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer.

 

Le bureau va disparaitre, c'est normal!

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

+++

[yttria]

Excuses-moi d'avoir été long avant la réponse précédente, je mangeais et je me suis fait "capturer"..

 

Alors : les icones du bureau ont été ré-organisées mais la page d'acceuil est restée sur orange.

 

Voici les rapports :

======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 08/02/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

 

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 11:16:35 le 23/03/2011, Mode normal

 

Microsoft Windows XP Édition familiale Service Pack 3 (X86)

maurice@CHRISTINE ( )

 

============== RECHERCHE ==============

 

Service: "IP netservices" Présent

 

Dossier trouvé: C:\Program Files\InstallPedia

Fichier trouvé: C:\WINDOWS\system32\Utils.dll

Dossier trouvé: D:\Documents and Settings\maurice\Local Settings\Application Data\Conduit

Dossier trouvé: D:\Documents and Settings\All Users\Application Data\Viewpoint

Dossier trouvé: C:\Program Files\Viewpoint

Dossier trouvé: D:\Documents and Settings\maurice\Local Settings\Application Data\networker

 

Clé trouvée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Clé trouvée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl

Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1

Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary

Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1

Clé trouvée: HKLM\Software\InstallPedia

Clé trouvée: HKLM\Software\MetaStream

Clé trouvée: HKLM\Software\Viewpoint

Clé trouvée: HKCU\Software\Conduit

Clé trouvée: HKCU\Software\AppDataLow\AskBarDis

Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer

Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

 

Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|IP Network

Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}

 

 

============== SCAN ADDITIONNEL ==============

 

**** Internet Explorer Version [8.0.6001.18702] ****

 

HKCU_Main|Search bar - hxxp://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Start Page - hxxp://r.orange.fr/r/Ohome_portail?ref=O_OI_defaultPage

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

HKCU_URLSearchHooks|{AEEC3B59-CA98-4EBA-A140-57B94E283583} (x)

HKCU_SearchScopes\{814C76CB-2623-43F4-AAD0-58A0E5190A20} - "Orange" (hxxp://www.orange.fr/bin/frame1px.cgi?u=hxxp%3A//r.voila.fr/se%3Frdata%3D{search...)

HKCU_Toolbar\ShellBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll)

HKCU_Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98} (x)

HKCU_Toolbar\WebBrowser|{FE37BE35-B028-49F9-BB0C-6A38C4E55B97} (C:\Program Files\P2P_Max_France\tbP2P1.dll) (x)

HKCU_Toolbar\WebBrowser|{D3028143-6145-4318-99D3-3EDCE54A95A9} (C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll)

HKLM_Toolbar|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll)

HKLM_Toolbar|{fe37be35-b028-49f9-bb0c-6a38c4e55b97} (C:\Program Files\P2P_Max_France\tbP2P1.dll) (x)

HKLM_Toolbar|{D3028143-6145-4318-99D3-3EDCE54A95A9} (C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll)

HKLM_ElevationPolicy\{4054A69C-B607-4AA5-B65A-0BDE4CBF1C84} - C:\Program Files\Orange\ToolbarFR\ToolbarHelper.exe (Orange)

HKLM_ElevationPolicy\{6DB68CFB-F7D9-4D3D-B23F-54D7FC71FCA2} - C:\Program Files\Orange\ToolbarFR\ToolbarHelper.exe (Orange)

HKLM_Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - "Real.com" (C:\Program Files\Real\RealPlayer\eb_inact.ico)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

 

D:\Ad-Report-SCAN[1].txt - 23/03/2011 (3942 Octet(s))

 

Fin à: 11:17:44, 23/03/2011

 

============== E.O.F ==============

 

Et il y a même un [2] (???)

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 01/03/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

 

C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 16:20:13 le 30/03/2011, Mode normal

 

Microsoft Windows XP Édition familiale Service Pack 3 (X86)

maurice@CHRISTINE ( )

 

============== RECHERCHE ==============

 

Service: "IP netservices" Présent

 

Fichier trouvé: C:\WINDOWS\system32\Utils.dll

Dossier trouvé: D:\Documents and Settings\maurice\Local Settings\Application Data\Conduit

Dossier trouvé: D:\Documents and Settings\All Users\Application Data\Viewpoint

Dossier trouvé: D:\Documents and Settings\maurice\Local Settings\Application Data\networker

 

Clé trouvée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Clé trouvée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

Clé trouvée: HKCU\Software\Conduit

Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

 

Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}

 

 

============== SCAN ADDITIONNEL ==============

 

**** Internet Explorer Version [8.0.6001.18702] ****

 

HKCU_Main|Search bar - hxxp://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Start Page - hxxp://r.orange.fr/r/Ohome_portail?ref=O_OI_defaultPage

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

HKCU_Toolbar\ShellBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll)

HKCU_Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98} (x)

HKCU_Toolbar\WebBrowser|{FE37BE35-B028-49F9-BB0C-6A38C4E55B97} (C:\Program Files\P2P_Max_France\tbP2P1.dll) (x)

HKCU_Toolbar\WebBrowser|{D3028143-6145-4318-99D3-3EDCE54A95A9} (C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll)

HKLM_Toolbar|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll)

HKLM_Toolbar|{fe37be35-b028-49f9-bb0c-6a38c4e55b97} (C:\Program Files\P2P_Max_France\tbP2P1.dll) (x)

HKLM_Toolbar|{D3028143-6145-4318-99D3-3EDCE54A95A9} (C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll)

HKLM_Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - "Real.com" (C:\Program Files\Real\RealPlayer\eb_inact.ico)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 3 Fichier(s)

 

D:\Ad-Report-SCAN[1].txt - 23/03/2011 12:16:39 (4735 Octet(s))

D:\Ad-Report-SCAN[2].txt - 30/03/2011 16:20:26 (2772 Octet(s))

 

Fin à: 16:21:29, 30/03/2011

 

============== E.O.F ==============

 

 

Et le nettoyage :

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 01/03/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:38:25 le 30/03/2011, Mode normal

 

Microsoft Windows XP Édition familiale Service Pack 3 (X86)

maurice@CHRISTINE ( )

 

============== ACTION(S) ==============

 

Service: "IP netservices" Stoppé et supprimé

 

Fichier supprimé: C:\WINDOWS\system32\Utils.dll

Dossier supprimé: D:\Documents and Settings\maurice\Local Settings\Application Data\Conduit

Dossier supprimé: D:\Documents and Settings\All Users\Application Data\Viewpoint

Dossier supprimé: D:\Documents and Settings\maurice\Local Settings\Application Data\networker

 

(!) -- Fichiers temporaires supprimés.

 

 

Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

Clé supprimée: HKCU\Software\Conduit

Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

 

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}

 

 

============== SCAN ADDITIONNEL ==============

 

**** Internet Explorer Version [8.0.6001.18702] ****

 

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKCU_Toolbar\ShellBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll)

HKCU_Toolbar\WebBrowser|{FE37BE35-B028-49F9-BB0C-6A38C4E55B97} (C:\Program Files\P2P_Max_France\tbP2P1.dll) (x)

HKCU_Toolbar\WebBrowser|{D3028143-6145-4318-99D3-3EDCE54A95A9} (C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll)

HKLM_Toolbar|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll)

HKLM_Toolbar|{fe37be35-b028-49f9-bb0c-6a38c4e55b97} (C:\Program Files\P2P_Max_France\tbP2P1.dll) (x)

HKLM_Toolbar|{D3028143-6145-4318-99D3-3EDCE54A95A9} (C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll)

HKLM_Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - "Real.com" (C:\Program Files\Real\RealPlayer\eb_inact.ico)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 28 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

 

D:\Ad-Report-CLEAN[1].txt - 30/03/2011 16:38:32 (3417 Octet(s))

D:\Ad-Report-SCAN[1].txt - 23/03/2011 12:16:39 (4735 Octet(s))

D:\Ad-Report-SCAN[2].txt - 30/03/2011 16:20:26 (3639 Octet(s))

 

Fin à: 16:39:51, 30/03/2011

 

============== E.O.F ==============

 

 

N.B. : le micro rame moins...

 

Si tu pouvais me dire en résumé ce qui s'est passé.

 

De mon coté, je vais indiquer le sujet de protection du forum au copain car son micro ne semble pas seulement vulnérable aux trucs habituels.

[Apollo]

Les toolbars sont en général faciles à éviter: il suffit de décocher l'une ou l'autre case lors de l'installation de certains programmes gratuits.

Il faut donc bien regarder et ne pas installer dans la précipitation.

 

Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

 

Par contre, installpedia est un adware installé par l'utilisateur (qui ne se doute pas qu'il s'agit d'un générateur de spam) qui installe un module complémentaire pour contourner les limites de téléchargements sur MegaUpload, soit un piège pour ceux qui vont télécharger des films (par exemple) de façon illégale...

 

Conduit vient d'un truc comme Emule ou autres P2P.

 

Le risque peut être bien plus grand avec les P2P ou les cracks: choper Bagle ou Virut... le plus salaud des virus.

 

On poursuit:

 

Relance Ad-Remover et clique sur désinstaller.

 

1) Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
   
  Double-clique ATF-Cleaner.exe afin de lancer le programme.
  --> Sous Vista/Seven: Clic droit/exécuter en temps qu'administrateur.
   
  Sous l'onglet Main, choisis : Select All
  Cliquer sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

--------------------------

2) Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Télécharger Malwarebytes' Anti-Malware sur 01net Telecharger.com

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes' Anti-Malware Support - Malwarebytes Forum

 

@++