Demande d'aide : Lésions dû à une infection

[Saunia]

Bonjour,

 

je vous contacte suite à une infection que j'ai subis dimanche dernier. Je l'ai à priori éradiquée dans l'instant, mais j'ai découvert très vite qu'elle avait fait de nombreux dégâts, j'aurais besoin de votre aide pour les réparer, voir pour éliminer définitivement le virus qui a provoqué tout ça. Je ne suis pas sûre d'être exactement dans la bonne section, en espérant ne pas m'être trompée malgré tout je vais vous décrire ce qui c'est passé.

 

Merci d'avance pour votre compréhension et votre patience.

 

> J'étais en train de faire des recherches sur internet pour un article, je naviguais tout simplement. J'utilise Firefox combiné avec NoScript pour plus de sécurité et je suis tombée sur une vidéo qui m'intéressait, je l'ai débloquée avec NoScript et à l'instant même mon antivirus (Avira AntiVir)à ouvert un message m'indiquant qu'il avait détecté un processus malveillant. Je lui ai demandé de le supprimer et je ne m'en suis plus occupée.

 

Quelques instants plus tard un second message d'Avira m'indiquant un nouveau processus malveillant attire un peu plus mon attention. J'en ai déjà rarement un, alors deux d'affilés ça a tendance à éveiller mes soupçons. Un simple coup d’œil à ma barre des tâches suffit à confirmer mes craintes puisque tous les icônes de ma barre de lancement rapide ont disparus. J'ouvre également le menu démarré et je constate que les icônes de lancement rapide ont aussi disparus ici.

 

Je ferme à ce moment firefox et je lance RogueKiller, un petit logiciel qui m'a déjà aidé lors d'une précédente infection, l'année dernière. (C'est le seul icône que j'ai sur le bureau avec la corbeille, je ne m'en suis plus séparée)

 

Malheureusement RogueKiller ne semble pas réussir à éradiquer la tumeur de mon vieux PC. Dans un vieux réflexe datant des premiers windows je coupe l'alimentation et je relance le PC, ce qui me laisse le temps de réfléchir un peu à la situation. Je choisis finalement de redémarrer en mode normal (et pas sans échec) et de tenter une nouvelle fois RogueKiller dé le démarrage. Mais surprise au redémarrage je constate que les icônes du bureau ont disparus aussi. Plus qu'une seule solution trouver un moyen d'accéder à Firefox, je tente ma chance d'abord dans la liste de tous les programmes du menu démarrer, mais eux aussi ont disparus. Je finis par atteindre l'explorateur windows depuis le post de travail, je lance firefox dans Programs Files et je cherche une réponse à l'infection.

 

C'est comme-ça que dans les minutes qui vont suivre je vais télécharger ComboFix et mettre fin au processus d'infection en le lançant. (Je ne sais pas ou sont passés les rapports par contre).

 

Après le redémarrage les icônes de mon bureau ont réapparus ainsi que ceux de la barre de lancement rapide. Cependant...

 

Le menu démarrer est toujours endommagé, la liste des icônes de raccourcis des logiciels les plus récurrents n'apparaît plus, et 90% de la liste "Tous les Programmes" a disparue. Je ne pense pas que certains programmes aient été éliminés par contre, mais je n'en suis pas certaines. Je ne connais pas assez bien le contenu de mes dossiers.

 

En tout cas jusque là rien de bien monstrueux... Mais voilà, pendant l'infection l'un de mes disques durs externe était ouvert. Son contenu existe toujours mais plus aucun icône n'apparaît. Les données sont là, répertoriées par le disque et mon PC, elles prennent leur place en octets mais impossible de les toucher. Je sais cependant qu'elles sont toujours utilisables, et donc pas trop endommagées, car le lundi matin mon réveil c'est déclenché, hors mon dossier musique est dans ce disque dur aux icônes invisibles.

 

Et voilà, ce serait dramatique pour moi de perdre les données de ce disque et je ne sais absolument pas quoi faire. Autant vous dire que ça m'a pourri le moral depuis dimanche soir jusqu'à aujourd'hui. Mais je n'avais pas encore eu le temps de demander de l'aide.

 

Je vais poster un rapport HiJackThis à la suite de ce message. Je peux aussi mettre des screenshots ou tout ce que vous voudrez, si ça peut faire réapparaître mes données.

 

Merci de votre sollicitude.

Bien aimablement, Saunia.

[Saunia]

Et voici le rapport HiJackThis ;

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 15:37:28, on 15/06/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.17096)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ICQ6Toolbar\ICQ Service.exe

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\NTR global\NTRadmin\ntradmin.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\MXOALDR.EXE

C:\Program Files\DivX\DivX Update\DivXUpdate.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\explorer.exe

C:\Program Files\PhotoFiltre\PhotoFiltre.exe

C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Facemoods Search

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = tropal.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Facemoods Search

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.7\bh\facemoods.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [Ginipic] "C:\Program Files\Ginipic\Ginipic.Bootstrapper.exe" -startup

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe

O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [facemoods] "C:\Program Files\facemoods.com\facemoods\1.4.17.7\facemoodssrv.exe" /md I

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Printer Status Monitor.lnk = C:\Program Files\SHARP\Printer Status Monitor\Smon.exe

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.mcafee.com'>http://*.mcafee.com (HKLM)

O15 - Trusted Zone: McAfee Security-as-a-Service Beta (HKLM)

O15 - Trusted Zone: http://vs.mcafeeasap.com (HKLM)

O15 - Trusted Zone: http://www.mcafeeasap.com (HKLM)

O15 - ESC Trusted Zone: http://*.mcafee.com (HKLM)

O15 - ESC Trusted Zone: McAfee Security-as-a-Service Beta (HKLM)

O15 - ESC Trusted Zone: http://vs.mcafeeasap.com (HKLM)

O15 - ESC Trusted Zone: http://www.mcafeeasap.com (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\..\{695A73E4-3F1E-4981-9CE5-74F1F1D36554}: NameServer = 10.7.36.100

O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (file missing)

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (file missing)

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EngineServer - Unknown owner - C:\Program Files\McAfee\Managed VirusScan\VScan\EngineServer.exe (file missing)

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: McShield - Unknown owner - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe (file missing)

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Service de protection contre les virus et les logiciels espions McAfee (myAgtSvc) - Unknown owner - C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe (file missing)

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NTRadmin - Unknown owner - C:\Program Files\NTR global\NTRadmin\ntradmin.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

 

--

End of file - 15194 bytes

 

 

[Apollo]

Bonjour,

 

Rogue Killer ne t'a pas dit qu'il était périmé?

 

Si oui, il faut télécharger une nouvelle version.

 

1) Télécharger Unhide de Grinler et l'enregistrer sur le bureau.

 

Double-clique, (Sous Vista/7, clic droit/exécuter en temps qu'administrateur) sur l'icône.

 

Laisse travailler l'outil puis le pc devra être redémarré.

 

Vérifie si les dossiers sont réapparus.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~

2) Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.

Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.

(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

Envoie une copie du rapport RKreport[1].txt.

Si les raccourcis ont disparu, relance l'outil en mode 6.

Envoie une copie du rapport RKreport[2].txt.

 

Passe ensuite l'option 4 et poste son rapport en plus des deux autres stp.

 

@++

[Saunia]

Non il ne m'avait pas signalé qu'il était périmé. Mais j'ai téléchargé la nouvelle version pour être sûre.

 

J'ai fait usage d'Unhide et tous les fichiers de mon disque dur externe sont réapparus, un grand moment de soulagement. Je sais que ça n'a pas dû être grand chose pour vous, mais je vous remercie sincèrement de votre aide.

 

Ensuite avec RogueKiller, j'ai effectué les opérations que vous m'aviez précisées (je crois), et voici les rapports que vous vouliez ;

 

Rapport 1

 

RogueKiller V5.2.2 [05/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/24)

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: station3 [Droits d'admin]

Mode: Suppression -- Date : 16/06/2011 01:12:51

 

Processus malicieux: 1

[sUSP PATH] MXOALDR.EXE -- c:\windows\mxoaldr.exe -> KILLED

 

Entrees de registre: 8

[sUSP PATH] HKLM\[...]\Run : MXO Auto Loader (C:\WINDOWS\MXOALDR.EXE) -> DELETED

[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:5555) -> NOT REMOVED, USE PROXYFIX

[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{695A73E4-3F1E-4981-9CE5-74F1F1D36554} : NameServer (10.7.36.100) -> NOT REMOVED, USE DNSFIX

[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{695A73E4-3F1E-4981-9CE5-74F1F1D36554} : NameServer (10.7.36.100) -> NOT REMOVED, USE DNSFIX

[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{695A73E4-3F1E-4981-9CE5-74F1F1D36554} : NameServer (10.7.36.100) -> NOT REMOVED, USE DNSFIX

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

Fichier HOSTS:

127.0.0.1 localhost

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

 

Rapport 2

 

RogueKiller V5.2.2 [05/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/24)

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: station3 [Droits d'admin]

Mode: Raccourcis RAZ -- Date : 16/06/2011 01:16:51

 

Processus malicieux: 0

 

Attributs de fichiers restaures:

Bureau: Success 4 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 16 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 401 / Fail 0

Mes documents: Success 6 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 569 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored

[D:] \Device\CdRom0 -- 0x5 --> Skipped

[E:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[F:] \Device\CdRom1 -- 0x5 --> Skipped

[G:] \Device\LanmanRedirector\;G:000000000001660c\18736SRV\Naxos -- 0x4 --> Skipped

[H:] \Device\LanmanRedirector\;H:000000000001660c\10.7.36.1\Documents -- 0x4 --> Skipped

[i:] \Device\LanmanRedirector\;I:000000000001660c\10.7.36.1\Photos -- 0x4 --> Skipped

[J:] \Device\LanmanRedirector\;J:000000000001660c\10.7.36.1\FormImmo -- 0x4 --> Skipped

[K:] \Device\CdRom2 -- 0x5 --> Skipped

[M:] \Device\HarddiskVolume4 -- 0x3 --> Restored

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

 

Rapport 3

 

RogueKiller V5.2.2 [05/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/24)

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: station3 [Droits d'admin]

Mode: Proxy RAZ -- Date : 16/06/2011 01:20:24

 

Processus malicieux: 0

 

Entrees de registre: 1

[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:5555) -> DELETED

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

 

Mes programmes ont tous réapparus (il me semble) ainsi que les icônes de raccourcis du menu démarrer. Cependant je ne sais pas si c'est dû à Unhide ou RogueKiller, je pencherais plutôt pour RogueKiller à priori, comme je m'en suis rendue compte juste après l'avoir utilisé, mais je n'ai pas de certitude.

 

Avec tous mes remerciements, Saunia.

[Apollo]

Bonjour,

 

Les deux outils ont fait chacun leur part de boulot.

 

On va continuer à faire des vérifications et désinfections si nécessaire.

 

Héberge les rapport uniquement lorsque je le demande stp, les autres peuvent être postés en clair et sans le spoiler

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse.
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

@++

[Saunia]

Bonjour,

 

Comme demandé voici le rapport ZHPDiag, Lien Cijoint pour ZHPDiag.txt.

 

Autre symptôme à signaler depuis cette fameuse infection, j'ai des "ralentissements". Dé que je lance un logiciel un peu gourmand sur l'ordinateur ça lag à intervalle régulier, et quant je parle de lag c'est l'image à l'écran qui cesse de bouger pendant une demi-minute. Il en va de même dé que je lance une vidéo en ligne, aucun problème avec youtube ou dailymotion, mais si je vais sur un site spécialisé qui loge lui-même ses vidéos avec un lecteur haute définition, c'est pire que tout.

 

Par contre si je met un film sur l'ordinateur là il n'y a aucun lag, pareil je n'ai pas de problème avec les radio en ligne ou winamp, word et les logiciels de retouche photo. Donc je me demandais si ça venait d'un indésirable ou si c'est juste mon unité centrale qui rend l'âme. Dans quel cas j'en changerais tout simplement.

 

Bien à vous, Saunia.

[Apollo]

Bonjour,

 

Les problèmes avec la haute définition et le lag que cela peut engendrer dépend de plusieurs facteurs:

 

Un manque de mémoire physique disponible.

Une carte graphique peu performante.

 

Sur mon xp, j'ai beaucoup de peine à lire certaines vidéos sur Youtube etc car le pc est ancien et ses performances sont médiocres.

 

Sur mon seven, qui dispose de beaucoup de ram, cela pose moins de problème.

Ceci dit, l'ordi est toujours infecté.

 

Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

http://www.teamxscript.org/adremoverTelechargement.html

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur scanner

 

 

Le rapport se trouve aussi sous C:\Ad-Report Scan.

Copie/colle-le dans ta réponse stp.

 

 

----------------------------------------------------

 

Relance Ad-Remover et cette fois, clique sur Nettoyer

 

Le bureau va disparaître, c'est normal.

 

Le rapport à poster sera sur C:\Ad-Report Clean.

 

*** Poste les deux rapports stp.

 

-------------------------------------------

Seulement après avoir posté les rapports:

Relance Ad-Remover et clique sur Désinstaller.

 

@++

[Saunia]

Bonjour,

 

Hier ça m'a même bloqué l'écran plusieurs fois pendant que je travaillais sous word. Tout ce qui pouvait gêner c'était des recherches sous Firefox, principalement sur wikipedia, et winamp que j'avais lancé pour mettre un peu d'ambiance.

 

Voici les rapports suite aux opérations demandées ;

 

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: http://www.teamxscript.org

 

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 20:45:06 le 26/06/2011, Mode normal

 

Microsoft Windows XP Professionnel Service Pack 3 (X86)

station3@18736ST3 ( )

 

============== RECHERCHE ==============

 

 

Dossier trouvé: C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default\conduit

Dossier trouvé: C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default\ConduitEngine

Dossier trouvé: C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default\extensions\engine@conduit.com

Fichier trouvé: C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default\searchplugins\conduit.xml

Dossier trouvé: C:\Documents and Settings\station3\Local Settings\Application Data\AskToolbar

 

-- Fichier ouvert: C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default\Prefs.js --

Ligne trouvée: user_pref("CT2653012.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...

Ligne trouvée: user_pref("CT2653012.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT265...

Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/FR", "\"0\"")...

Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\...

Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3...

Ligne trouvée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=1/11/20...

Ligne trouvée: user_pref("CommunityToolbar.EngineHiddenByUser", true);

Ligne trouvée: user_pref("CommunityToolbar.EngineOwner", "ConduitEngine");

Ligne trouvée: user_pref("CommunityToolbar.EngineOwnerGuid", "engine@conduit.com");

Ligne trouvée: user_pref("CommunityToolbar.EngineOwnerToolbarId", "conduitengine");

Ligne trouvée: user_pref("CommunityToolbar.IsEngineShown", false);

Ligne trouvée: user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true);

Ligne trouvée: user_pref("CommunityToolbar.OriginalEngineOwner", "ConduitEngine");

Ligne trouvée: user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "engine@conduit.com");

Ligne trouvée: user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "conduitengine");

Ligne trouvée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "hxxp://search.icq.com/search/afe_results...

Ligne trouvée: user_pref("CommunityToolbar.ToolbarsList", "CT2653012,ConduitEngine");

Ligne trouvée: user_pref("CommunityToolbar.ToolbarsList2", "CT2653012");

Ligne trouvée: user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Sun Jun 05 2011 06:19:59 GMT+02...

Ligne trouvée: user_pref("CommunityToolbar.alert.alertInfoInterval", 1440);

Ligne trouvée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Fri Jun 24 2011 14:29:35 GMT+0200");

Ligne trouvée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");

Ligne trouvée: user_pref("CommunityToolbar.alert.locale", "en");

Ligne trouvée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);

Ligne trouvée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Fri Jun 24 2011 18:18:42 GMT+0200");

Ligne trouvée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559");

Ligne trouvée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);

Ligne trouvée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");

Ligne trouvée: user_pref("CommunityToolbar.alert.showTrayIcon", false);

Ligne trouvée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);

Ligne trouvée: user_pref("CommunityToolbar.alert.userId", "{0f00ac24-81b6-41a4-b80c-766cc472e54f}");

Ligne trouvée: user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);

Ligne trouvée: user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);

Ligne trouvée: user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2653012");

Ligne trouvée: user_pref("ConduitEngine.AppTrackingLastCheckTime", "Thu Jun 16 2011 01:21:29 GMT+0200");

Ligne trouvée: user_pref("ConduitEngine.CTID", "ConduitEngine");

Ligne trouvée: user_pref("ConduitEngine.DialogsGetterLastCheckTime", "Wed Mar 30 2011 07:26:49 GMT+0200");

Ligne trouvée: user_pref("ConduitEngine.FirstServerDate", "02/07/2011 23");

Ligne trouvée: user_pref("ConduitEngine.FirstTime", true);

Ligne trouvée: user_pref("ConduitEngine.FirstTimeFF3", true);

Ligne trouvée: user_pref("ConduitEngine.HasUserGlobalKeys", true);

Ligne trouvée: user_pref("ConduitEngine.Initialize", true);

Ligne trouvée: user_pref("ConduitEngine.InitializeCommonPrefs", true);

Ligne trouvée: user_pref("ConduitEngine.InstalledDate", "Mon Feb 07 2011 21:42:43 GMT+0100");

Ligne trouvée: user_pref("ConduitEngine.IsMulticommunity", false);

Ligne trouvée: user_pref("ConduitEngine.IsOpenThankYouPage", false);

Ligne trouvée: user_pref("ConduitEngine.IsOpenUninstallPage", true);

Ligne trouvée: user_pref("ConduitEngine.LanguagePackLastCheckTime", "Wed Mar 30 2011 07:26:50 GMT+0200");

Ligne trouvée: user_pref("ConduitEngine.LastLogin_3.2.5.2", "Mon Feb 07 2011 21:42:29 GMT+0100");

Ligne trouvée: user_pref("ConduitEngine.LastLogin_3.3.3.2", "Wed Mar 30 2011 07:26:49 GMT+0200");

Ligne trouvée: user_pref("ConduitEngine.SearchFromAddressBarIsInit", true);

Ligne trouvée: user_pref("ConduitEngine.SettingsLastCheckTime", "Wed Mar 30 2011 07:26:49 GMT+0200");

Ligne trouvée: user_pref("ConduitEngine.UserID", "UN61809545934294330");

Ligne trouvée: user_pref("ConduitEngine.componentAlertEnabled", true);

Ligne trouvée: user_pref("ConduitEngine.engineLocale", "fr");

Ligne trouvée: user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Wed Mar 30 2011 07:26:49 GMT+0200");

Ligne trouvée: user_pref("ConduitEngine.globalFirstTimeInfoLastCheckTime", "Wed Mar 30 2011 15:26:50 GMT+0200");

Ligne trouvée: user_pref("ConduitEngine.initDone", true);

Ligne trouvée: user_pref("ConduitEngine.isAppTrackingManagerOn", true);

Ligne trouvée: user_pref("ConduitEngine.usagesFlag", 2);

Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&Sea...

Ligne trouvée: user_pref("desktopsmiley.startonce", "false");

Ligne trouvée: user_pref("extensions.asktb.cbid", "J7");

Ligne trouvée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&...

Ligne trouvée: user_pref("extensions.asktb.fresh-install", false);

Ligne trouvée: user_pref("extensions.asktb.l", "dis");

Ligne trouvée: user_pref("extensions.asktb.last-config-req", "1252403270171");

Ligne trouvée: user_pref("extensions.asktb.locale", "fr_FR");

Ligne trouvée: user_pref("extensions.asktb.o", "14979");

Ligne trouvée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);

Ligne trouvée: user_pref("extensions.asktb.qsrc", "2871");

Ligne trouvée: user_pref("extensions.asktb.r", "4");

Ligne trouvée: user_pref("general.useragent.extra.desktopsmiley", "desktopsmiley_1_2_280671861344278_196_23 DS_gami...

Ligne trouvée: user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&q=");

-- Fichier Fermé --

 

 

Clé trouvée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Clé trouvée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Clé trouvée: HKLM\Software\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}

Clé trouvée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Clé trouvée: HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}

Clé trouvée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}

Clé trouvée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Clé trouvée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd

Clé trouvée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1

Clé trouvée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL

Clé trouvée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Clé trouvée: HKLM\Software\PopCap

Clé trouvée: HKCU\Software\Ask.com

Clé trouvée: HKCU\Software\AskToolbar

Clé trouvée: HKCU\Software\Conduit

Clé trouvée: HKCU\Software\PopCap

Clé trouvée: HKCU\Software\AppDataLow\AskToolbarInfo

Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PopCap Games

Clé trouvée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

 

============== SCAN ADDITIONNEL ==============

 

**** Mozilla Firefox Version [5.0 (fr)] ****

 

Plugins\npDivxPlayerPlugin.dll (DivX, Inc)

HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)

HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)

HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x)

Searchplugins\bing.xml ( hxxp://www.bing.com/search)

Searchplugins\fcmdSrch.xml ( hxxp://start.facemoods.com/?a=ddrnw&f=4&q={searchTerms}/)

Searchplugins\sukoku117.xml ( hxxp://www.sukoku.com/?prt=SukokuAeq&keywords={searchTerms})

Components\browsercomps.dll (Mozilla Foundation)

HKLM_Extensions|FFToolbar@bitdefender.com - C:\Program Files\BitDefender\BitDefender 2010\bdaphffext\

HKLM_Extensions|{23fcfd51-4958-4f00-80a3-ae97e717ed8b} - C:\Program Files\DivX\DivX Plus Web Player\firefox\html5video

HKLM_Extensions|{6904342A-8307-11DF-A508-4AE2DFD72085} - C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa

 

-- C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default --

Extensions\engine@conduit.com (Conduit Engine )

Extensions\{9D6218B8-03C7-4b91-AA43-680B305DD35C} (ProCon Latte)

Extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e} (Veoh Web Player Community Toolbar)

Searchplugins\conduit.xml (hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&SearchSource=3&q={searchTerms} /)

Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\station3\\Bureau

Prefs.js - browser.search.defaultenginename, Facemoods Search

Prefs.js - browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&SearchSource=3&q={searchTerms}

Prefs.js - browser.search.selectedEngine, Wikipédia (fr)

Prefs.js - browser.startup.homepage, hxxp://www.google.fr/

Prefs.js - browser.startup.homepage_override.buildID, 20110615151330

Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

Prefs.js - keyword.URL, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&q=

 

========================================

 

**** Internet Explorer Version [7.0.5730.13] ****

 

HKCU_Main|SearchMigratedDefaultURL - hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Start Page - hxxp://start.facemoods.com/?a=ddrnw

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157

HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Start Page - hxxp://www.tropal.net/

AboutUrls|Tabs - hxxp://start.facemoods.com/?a=ddrnw&f=2

HKCU_URLSearchHooks|{855F3B16-6D32-4fe6-8A56-BBB695989046} - "ICQToolBar" (C:\Program Files\ICQ6Toolbar\ICQToolBar.dll)

HKLM_URLSearchHooks|{855F3B16-6D32-4fe6-8A56-BBB695989046} - "ICQToolBar" (C:\Program Files\ICQ6Toolbar\ICQToolBar.dll)

HKCU_SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A} - "Facemoods Search" (hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4)

HKCU_SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19} - "ICQ Search" (hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd)

HKCU_Toolbar\WebBrowser|{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} (C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll)

HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll)

HKLM_Toolbar|{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} (C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll)

HKLM_Toolbar|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll)

HKLM_Toolbar|{855F3B16-6D32-4FE6-8A56-BBB695989046} (C:\Program Files\ICQ6Toolbar\ICQToolBar.dll)

HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll)

HKLM_Toolbar|{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} (C:\Program Files\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll)

HKCU_ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A} - C:\Program Files\Ask.com\SaUpdate.exe (x)

HKLM_ElevationPolicy\{44295CB8-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (?)

HKLM_ElevationPolicy\{5F17E524-3447-4c7d-8E5F-4EFF31CDE3B7} - C:\Program Files\DivX\DivX Plus Web Player\DDMService.exe (DivX, LLC)

HKLM_ElevationPolicy\{64903E32-AE0B-408D-909C-09A08791F28D} - C:\Program Files\DivX\DivX Plus Web Player\dwpBroker.exe (?)

HKLM_ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A} - C:\Program Files\Ask.com\SaUpdate.exe (x)

HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)

HKLM_ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567} - C:\Program Files\facemoods.com\facemoods\1.4.17.7\facemoodssrv.exe (facemoods.com)

HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)

BHO\{326E768D-4182-46FD-9C16-1449A49795F4} - "DivX Plus Web Player HTML5 <video>" (C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll)

BHO\{593DDEC6-7468-4cdd-90E1-42DADAA222E9} - "DivX HiQ" (C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

BHO\{64182481-4F71-486b-A045-B233BD0DA8FC} - "CescrtHlpr Object" (C:\Program Files\facemoods.com\facemoods\1.4.17.7\bh\facemoods.dll)

BHO\{AE7CD045-E861-484f-8273-0445EE161910} - "AcroIEToolbarHelper Class" (C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll)

BHO\{C451C08A-EC37-45DF-AAAD-18B51AB5E837} - "PDFCreator Toolbar Helper" (C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 26/06/2011 20:45:11 (14211 Octet(s))

 

Fin à: 20:46:12, 26/06/2011

 

============== E.O.F ==============

 

 

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: http://www.teamxscript.org

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:55:00 le 27/06/2011, Mode normal

 

Microsoft Windows XP Professionnel Service Pack 3 (X86)

station3@18736ST3 ( )

 

============== ACTION(S) ==============

 

 

Dossier supprimé: C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default\conduit

Dossier supprimé: C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default\ConduitEngine

Dossier supprimé: C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default\extensions\engine@conduit.com

Fichier supprimé: C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default\searchplugins\conduit.xml

Dossier supprimé: C:\Documents and Settings\station3\Local Settings\Application Data\AskToolbar

 

(!) -- Fichiers temporaires supprimés.

 

 

-- Fichier ouvert: C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default\Prefs.js --

Ligne supprimée: user_pref("CT2653012.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...

Ligne supprimée: user_pref("CT2653012.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT265...

Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/FR", "\"0\"")...

Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\...

Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3...

Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=1/11/20...

Ligne supprimée: user_pref("CommunityToolbar.EngineHiddenByUser", true);

Ligne supprimée: user_pref("CommunityToolbar.EngineOwner", "ConduitEngine");

Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerGuid", "engine@conduit.com");

Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerToolbarId", "conduitengine");

Ligne supprimée: user_pref("CommunityToolbar.IsEngineShown", false);

Ligne supprimée: user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true);

Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwner", "ConduitEngine");

Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "engine@conduit.com");

Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "conduitengine");

Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "hxxp://search.icq.com/search/afe_results...

Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "CT2653012,ConduitEngine");

Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList2", "CT2653012");

Ligne supprimée: user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Sun Jun 05 2011 06:19:59 GMT+02...

Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoInterval", 1440);

Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Fri Jun 24 2011 14:29:35 GMT+0200");

Ligne supprimée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");

Ligne supprimée: user_pref("CommunityToolbar.alert.locale", "en");

Ligne supprimée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);

Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Fri Jun 24 2011 18:18:42 GMT+0200");

Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559");

Ligne supprimée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);

Ligne supprimée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");

Ligne supprimée: user_pref("CommunityToolbar.alert.showTrayIcon", false);

Ligne supprimée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);

Ligne supprimée: user_pref("CommunityToolbar.alert.userId", "{0f00ac24-81b6-41a4-b80c-766cc472e54f}");

Ligne supprimée: user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);

Ligne supprimée: user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);

Ligne supprimée: user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2653012");

Ligne supprimée: user_pref("ConduitEngine.AppTrackingLastCheckTime", "Thu Jun 16 2011 01:21:29 GMT+0200");

Ligne supprimée: user_pref("ConduitEngine.CTID", "ConduitEngine");

Ligne supprimée: user_pref("ConduitEngine.DialogsGetterLastCheckTime", "Wed Mar 30 2011 07:26:49 GMT+0200");

Ligne supprimée: user_pref("ConduitEngine.FirstServerDate", "02/07/2011 23");

Ligne supprimée: user_pref("ConduitEngine.FirstTime", true);

Ligne supprimée: user_pref("ConduitEngine.FirstTimeFF3", true);

Ligne supprimée: user_pref("ConduitEngine.HasUserGlobalKeys", true);

Ligne supprimée: user_pref("ConduitEngine.Initialize", true);

Ligne supprimée: user_pref("ConduitEngine.InitializeCommonPrefs", true);

Ligne supprimée: user_pref("ConduitEngine.InstalledDate", "Mon Feb 07 2011 21:42:43 GMT+0100");

Ligne supprimée: user_pref("ConduitEngine.IsMulticommunity", false);

Ligne supprimée: user_pref("ConduitEngine.IsOpenThankYouPage", false);

Ligne supprimée: user_pref("ConduitEngine.IsOpenUninstallPage", true);

Ligne supprimée: user_pref("ConduitEngine.LanguagePackLastCheckTime", "Wed Mar 30 2011 07:26:50 GMT+0200");

Ligne supprimée: user_pref("ConduitEngine.LastLogin_3.2.5.2", "Mon Feb 07 2011 21:42:29 GMT+0100");

Ligne supprimée: user_pref("ConduitEngine.LastLogin_3.3.3.2", "Wed Mar 30 2011 07:26:49 GMT+0200");

Ligne supprimée: user_pref("ConduitEngine.SearchFromAddressBarIsInit", true);

Ligne supprimée: user_pref("ConduitEngine.SettingsLastCheckTime", "Wed Mar 30 2011 07:26:49 GMT+0200");

Ligne supprimée: user_pref("ConduitEngine.UserID", "UN61809545934294330");

Ligne supprimée: user_pref("ConduitEngine.componentAlertEnabled", true);

Ligne supprimée: user_pref("ConduitEngine.engineLocale", "fr");

Ligne supprimée: user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Wed Mar 30 2011 07:26:49 GMT+0200");

Ligne supprimée: user_pref("ConduitEngine.globalFirstTimeInfoLastCheckTime", "Wed Mar 30 2011 15:26:50 GMT+0200");

Ligne supprimée: user_pref("ConduitEngine.initDone", true);

Ligne supprimée: user_pref("ConduitEngine.isAppTrackingManagerOn", true);

Ligne supprimée: user_pref("ConduitEngine.usagesFlag", 2);

Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&Sea...

Ligne supprimée: user_pref("desktopsmiley.startonce", "false");

Ligne supprimée: user_pref("extensions.asktb.cbid", "J7");

Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&...

Ligne supprimée: user_pref("extensions.asktb.fresh-install", false);

Ligne supprimée: user_pref("extensions.asktb.l", "dis");

Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1252403270171");

Ligne supprimée: user_pref("extensions.asktb.locale", "fr_FR");

Ligne supprimée: user_pref("extensions.asktb.o", "14979");

Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);

Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871");

Ligne supprimée: user_pref("extensions.asktb.r", "4");

Ligne supprimée: user_pref("general.useragent.extra.desktopsmiley", "desktopsmiley_1_2_280671861344278_196_23 DS_gami...

Ligne supprimée: user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&q=");

-- Fichier Fermé --

 

 

Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Clé supprimée: HKLM\Software\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}

Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Clé supprimée: HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}

Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}

Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd

Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1

Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL

Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Clé supprimée: HKLM\Software\PopCap

Clé supprimée: HKCU\Software\Ask.com

Clé supprimée: HKCU\Software\AskToolbar

Clé supprimée: HKCU\Software\Conduit

Clé supprimée: HKCU\Software\PopCap

Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo

Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PopCap Games

Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

 

============== SCAN ADDITIONNEL ==============

 

**** Mozilla Firefox Version [5.0 (fr)] ****

 

Plugins\npDivxPlayerPlugin.dll (DivX, Inc)

HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)

HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)

HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x)

Searchplugins\bing.xml ( hxxp://www.bing.com/search)

Searchplugins\fcmdSrch.xml ( hxxp://start.facemoods.com/?a=ddrnw&f=4&q={searchTerms}/)

Searchplugins\sukoku117.xml ( hxxp://www.sukoku.com/?prt=SukokuAeq&keywords={searchTerms})

Components\browsercomps.dll (Mozilla Foundation)

HKLM_Extensions|FFToolbar@bitdefender.com - C:\Program Files\BitDefender\BitDefender 2010\bdaphffext\

HKLM_Extensions|{23fcfd51-4958-4f00-80a3-ae97e717ed8b} - C:\Program Files\DivX\DivX Plus Web Player\firefox\html5video

HKLM_Extensions|{6904342A-8307-11DF-A508-4AE2DFD72085} - C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa

 

-- C:\Documents and Settings\station3\Application Data\Mozilla\FireFox\Profiles\j0m0pmrj.default --

Extensions\{9D6218B8-03C7-4b91-AA43-680B305DD35C} (ProCon Latte)

Extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e} (Veoh Web Player Community Toolbar)

Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\station3\\Bureau

Prefs.js - browser.search.defaultenginename, Facemoods Search

Prefs.js - browser.search.selectedEngine, Wikipédia (fr)

Prefs.js - browser.startup.homepage, hxxp://www.google.fr/

Prefs.js - browser.startup.homepage_override.buildID, 20110615151330

Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

 

========================================

 

**** Internet Explorer Version [7.0.5730.13] ****

 

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKCU_URLSearchHooks|{855F3B16-6D32-4fe6-8A56-BBB695989046} - "ICQToolBar" (C:\Program Files\ICQ6Toolbar\ICQToolBar.dll)

HKLM_URLSearchHooks|{855F3B16-6D32-4fe6-8A56-BBB695989046} - "ICQToolBar" (C:\Program Files\ICQ6Toolbar\ICQToolBar.dll)

HKCU_SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A} - "Facemoods Search" (hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4)

HKCU_SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19} - "ICQ Search" (hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd)

HKCU_Toolbar\WebBrowser|{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} (C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll)

HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll)

HKLM_Toolbar|{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} (C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll)

HKLM_Toolbar|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll)

HKLM_Toolbar|{855F3B16-6D32-4FE6-8A56-BBB695989046} (C:\Program Files\ICQ6Toolbar\ICQToolBar.dll)

HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll)

HKLM_Toolbar|{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} (C:\Program Files\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll)

HKLM_ElevationPolicy\{44295CB8-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (?)

HKLM_ElevationPolicy\{5F17E524-3447-4c7d-8E5F-4EFF31CDE3B7} - C:\Program Files\DivX\DivX Plus Web Player\DDMService.exe (DivX, LLC)

HKLM_ElevationPolicy\{64903E32-AE0B-408D-909C-09A08791F28D} - C:\Program Files\DivX\DivX Plus Web Player\dwpBroker.exe (?)

HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)

HKLM_ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567} - C:\Program Files\facemoods.com\facemoods\1.4.17.7\facemoodssrv.exe (facemoods.com)

HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)

BHO\{326E768D-4182-46FD-9C16-1449A49795F4} - "DivX Plus Web Player HTML5 <video>" (C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll)

BHO\{593DDEC6-7468-4cdd-90E1-42DADAA222E9} - "DivX HiQ" (C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

BHO\{64182481-4F71-486b-A045-B233BD0DA8FC} - "CescrtHlpr Object" (C:\Program Files\facemoods.com\facemoods\1.4.17.7\bh\facemoods.dll)

BHO\{AE7CD045-E861-484f-8273-0445EE161910} - "AcroIEToolbarHelper Class" (C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll)

BHO\{C451C08A-EC37-45DF-AAAD-18B51AB5E837} - "PDFCreator Toolbar Helper" (C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 100 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 27/06/2011 17:55:07 (13516 Octet(s))

C:\Ad-Report-SCAN[1].txt - 26/06/2011 20:45:11 (15632 Octet(s))

 

Fin à: 17:57:04, 27/06/2011

 

============== E.O.F ==============

 

 

 

Même sur des logiciels beaucoup plus gourmands je n'avais jamais eu de problèmes avant, et la mémoire physique n'est pas vraiment chargée ces temps-ci. Quant à la carte graphique (si y en a une) elle est certes peu performante mais je n'en ai pas un réel besoin.

 

Je ne sais pas, j'espère que ça va s'arranger avec le nettoyage. En attendant je vous remercie de votre considération. ^^

Mes amitiés, Saunia.

Modifié le 27 juin 2011 par Saunia

[Apollo]

Bonjour,

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

M3 - MFPP: Plugins - [station3] -- C:\Program Files\Mozilla FireFox\searchplugins\sukoku117.xml    
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}   
[HKCU\Software\AppDataLow\AskToolbarInfo]      
[HKCU\Software\Ask.com]      
[HKCU\Software\AskToolbar]      
[HKCU\Software\PopCap]      
[HKCU\Software\pdfforge.org]      
[HKLM\Software\PopCap]      
[HKLM\Software\pdfforge.org]      
O43 - CFD: 16/09/2009 - 10:38:48 - [173449] ----D- C:\Documents and Settings\station3\Local Settings\Application Data\AskToolbar    
O69 - SBI: prefs.js [station3 - j0m0pmrj.default] user_pref("extensions.asktb.cbid", "J7");    
O69 - SBI: prefs.js [station3 - j0m0pmrj.default] user_pref("extensions.asktb.default-channel-url-mask", "http://fr.ask.com/web?q={query}&qsrc={qsrc}&o={o}&l={l}    
O69 - SBI: prefs.js [station3 - j0m0pmrj.default] user_pref("extensions.asktb.l", "dis");    
O69 - SBI: prefs.js [station3 - j0m0pmrj.default] user_pref("extensions.asktb.last-config-req", "1252403270171");    
O69 - SBI: prefs.js [station3 - j0m0pmrj.default] user_pref("extensions.asktb.locale", "fr_FR");    
O69 - SBI: prefs.js [station3 - j0m0pmrj.default] user_pref("extensions.asktb.o", "14979");      
O69 - SBI: prefs.js [station3 - j0m0pmrj.default] user_pref("extensions.asktb.overlay-reloaded-using-restart", true);    
O69 - SBI: prefs.js [station3 - j0m0pmrj.default] user_pref("extensions.asktb.qsrc", "2871");    
O69 - SBI: prefs.js [station3 - j0m0pmrj.default] user_pref("extensions.asktb.r", "4");    
[HKLM\Software\Classes\AppID\GenericAskToolbar.DLL]      
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd]      
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1]      
[HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]      
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]  
[HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]    
[HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]  
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]  
[HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}]      
[HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}]      
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]    
[HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Software\AskToolbar]   
C:\Documents and Settings\station3\Local Settings\Application Data\AskToolbar    
emptytemp
emptyflash   

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[Saunia]

Bonsoir,

 

Voici le rapport ZHPfix ;

 

 

Rapport de ZHPFix 1.12.3317 par Nicolas Coolman, Update du 18/06/2011

Fichier d'export Registre : C:\ZHPExportRegistry-28-06-2011-19-39-30.txt

Run by station3 at 28/06/2011 19:42:44

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Logiciel(s) ==========

ABSENT Software Key: {86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

========== Clé(s) du Registre ==========

ABSENT Key: HKCU\Software\AppDataLow\AskToolbarInfo

ABSENT Key: HKCU\Software\Ask.com

ABSENT Key: HKCU\Software\AskToolbar

ABSENT Key: HKCU\Software\PopCap

ABSENT Key: HKCU\Software\pdfforge.org

ABSENT Key: HKLM\Software\PopCap

ABSENT Key: HKLM\Software\pdfforge.org

ABSENT Key: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL

ABSENT Key: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd

ABSENT Key: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1

ABSENT Key: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

ABSENT Key: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

ABSENT Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

ABSENT Key: HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}

ABSENT Key: HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}

ABSENT Key: HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

ABSENT Key: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Software\AskToolbar

 

========== Préférences navigateur ==========

ABSENT Mozilla Pref: user_pref("extensions.asktb.cbid", "J7");

ABSENT Mozilla Pref: user_pref("extensions.asktb.default-channel-url-mask", "http://fr.ask.com/web?q={query}&qsrc={qsrc}&o={o}&l={l}

ABSENT Mozilla Pref: user_pref("extensions.asktb.l", "dis");

ABSENT Mozilla Pref: user_pref("extensions.asktb.last-config-req", "1252403270171");

ABSENT Mozilla Pref: user_pref("extensions.asktb.locale", "fr_FR");

ABSENT Mozilla Pref: user_pref("extensions.asktb.o", "14979");

ABSENT Mozilla Pref: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);

ABSENT Mozilla Pref: user_pref("extensions.asktb.qsrc", "2871");

ABSENT Mozilla Pref: user_pref("extensions.asktb.r", "4");

 

========== Dossier(s) ==========

ABSENT C:\Documents and Settings\station3\Local Settings\Application Data\AskToolbar

SUPPRIME Temporaires Windows: : 0

SUPPRIME Flash Cookies: 1

 

========== Fichier(s) ==========

ABSENT File: c:\program files\mozilla firefox\searchplugins\sukoku117.xml

ABSENT Folder/File: c:\documents and settings\station3\local settings\application data\asktoolbar

SUPPRIME Temporaires Windows: : 0

SUPPRIME Flash Cookies: 0

 

 

========== Récapitulatif ==========

21 : Clé(s) du Registre

3 : Dossier(s)

4 : Fichier(s)

1 : Logiciel(s)

9 : Préférences navigateur

 

 

========== Chemin du fichier rapport ==========

C:\Program Files\ZHPDiag\ZHPFixReport.txt

 

 

End of the scan

 

 

 

J'ai ensuite mis à jour MBAM et lancé un scan complet, cependant mes disques durs externes n'étaient pas connectés. Hier soir j'ai finalement remplacé mon unité centrale (j'avais des freezes réguliers et très longs). Ce qui fait que mes disques durs externes sont connectés à une autre unité centrale que je nettoie et configure à l'heure actuelle. (Son utilisatrice précédente n'était pas très soigneuse)

 

Des malwares ayant été trouvés je poste le rapport de MBAM ici ;

 

 

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

 

Version de la base de données: 6969

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

 

28/06/2011 22:22:05

mbam-log-2011-06-28 (22-22-00).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 265087

Temps écoulé: 1 heure(s), 41 minute(s), 21 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 4

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\documents and settings\all users\application data\{c1df1bda-e7be-4dc5-a5d9-c3d93f09fa65}\OFFLINE\50EF6DF6\3E688669\riched20smiley.dll (Adware.DoubleD) -> No action taken.

c:\documents and settings\all users\application data\{c1df1bda-e7be-4dc5-a5d9-c3d93f09fa65}\OFFLINE\C90EEF64\3E688669\axgifanimator.dll (Adware.DoubleD) -> No action taken.

c:\documents and settings\all users\application data\{c1df1bda-e7be-4dc5-a5d9-c3d93f09fa65}\OFFLINE\CE8732D\3E688669\productinfo.dll (Adware.DoubleD) -> No action taken.

c:\documents and settings\all users\application data\{c1df1bda-e7be-4dc5-a5d9-c3d93f09fa65}\OFFLINE\mfilebagide.dll\bag\productinfo.dll (Adware.DoubleD) -> No action taken.

 

 

 

J'ai demandé à MBAM de les supprimer évidemment.

Saunia.