Analyse HiJackThis

[yroyer]

Bonjour,

 

Des problèmes divers et variés sur ma vieille machine... : impossible d'installer correctement JDownloader, coupure intempestive de VLC, impossible de lire une vidéo en mode écran complet...

 

Est ce que quelqu'un pourrait analyser ce rapport HiJackThis ? Peut-être qu'il y a d'autres facons de s'en sortir. Je suis ouvert à vos commentaires. Merci d'avance.

 

-----------------------------------------------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:41:26, on 20/06/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Avast5\AvastSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\LckFldService.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Avast5\avastUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Administrador\Escritorio\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Facemoods Search

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Facemoods Search

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [synTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avast5] "C:\Archivos de programa\Avast5\avastUI.exe" /nogui

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Documents and Settings\Administrador\Datos de programa\SysWin\lsass.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224887675875

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\mssha32.dll

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\Avast5\AvastSvc.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

 

--

End of file - 6294 bytes

 

-----------------------------------------------------------------

[Apollo]

Bonjour.

 

Bienvenue sur les forums de Zébulon.

 

Voici quelques renseignements utiles avant de commencer:

 

• *

Comment participer à un forum
*Retrouver ses messages et activer la notification par email

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

 

Pour répondre, tu devras utiliser le bouton Ajouter une réponse et non "répondre" afin de ne pas citer le post précédent; ce sera plus clair, merci.

 

Relance Hijackthis avec Do a system scan only et coche les cases devant les lignes suivantes: SOUS VISTA/7: Clic droit sur Hijackthis/exécuter en temps qu'administrateur!

 

O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Documents and Settings\Administrador\Datos de programa\SysWin\lsass.exe

 

Ferme toutes les applications ouvertes et les navigateurs et clique sur Fix Checked

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Télécharge ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse.
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

@++

[yroyer]

Bonjour,

 

Merci pour ta réponse très rapide.

 

Mon système me demande si je dois ouvrir ZHP Diag dans la Sanbox de Avast. Que dois-je faire ? Ouvrir en mode normal ou en mode sanbox ?

 

Merci d'avance de te réponse.

[Apollo]

Il faut exécuter les outils en mode normal et non en sandbox; il n'y a aucun danger tant que les manip sont demandées par un conseiller sécurité.

 

Si l'antivirus gêne, désactiver la protection résidente provisoirement afin qu'il ne s'interpose pas.

 

Mais sa réaction est normale à part ça.

 

@++

[yroyer]

D'accord, merci.

 

J'ai donc fixed la ligne demandée sur HiJackThis.

 

Voici le rapport ZHPDiag :

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Merci et bravo pour ta réactivité.

 

J'espère que cela va t'aider.

 

A ta disposition pour d'autres éléments ou manips.

[Apollo]

Re,

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified    
O20 - AppInit_DLLs: . (.Borland Software Corporation - Xerces XML DOM Interfaces.) - C:\WINDOWS\system32\mssha32.dll      
[HKCU\Software\iWinArcade]      
[HKLM\Software\iWinArcade]      
[HKLM\Software\Classes\askibar.popswatterbarbutton]      
[HKLM\Software\Classes\askibar.popswatterbarbutton.1]      
[HKLM\Software\Classes\askibar.popswattersettingscontrol]      
[HKLM\Software\Classes\askibar.popswattersettingscontrol.1]      
[HKLM\Software\Classes\asktoolbar.settingsplugin]      
[HKLM\Software\Classes\asktoolbar.settingsplugin.1]      
[HKLM\Software\Classes\Interface\{4c07ea4f-5f52-4222-b170-4cd9ed33baea}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8ca5ed52-f3fb-4414-a105-2e3491156990}]   
[HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}]    
[HKLM\Software\Classes\Interface\{f131923c-381d-4e4c-a472-4a17118fd742}]    
emptytemp
emptyflash   

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

http://www.teamxscript.org/adremoverTelechargement.html

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur scanner

 

 

Le rapport se trouve aussi sous C:\Ad-Report Scan.

Copie/colle-le dans ta réponse stp.

 

 

----------------------------------------------------

 

Relance Ad-Remover et cette fois, clique sur Nettoyer

 

Le bureau va disparaître, c'est normal.

 

Le rapport à poster sera sur C:\Ad-Report Clean.

 

*** Poste les deux rapports stp.

 

-------------------------------------------

Seulement après avoir posté les rapports:

Relance Ad-Remover et clique sur Désinstaller.

 

*** J'attends donc trois rapports stp.

 

@++

[yroyer]

Re, voici les 3 rapports :

-------------------------------------------------------------------------

Rapport de ZHPFix 1.12.3320 par Nicolas Coolman, Update du 20/06/2011

Fichier d'export Registre :

Run by Administrador at 20/06/2011 12:23:12

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Registry Key ==========

DELETED Key: HKCU\Software\iWinArcade

DELETED Key: HKLM\Software\iWinArcade

DELETED Key: HKLM\Software\Classes\askibar.popswatterbarbutton

DELETED Key: HKLM\Software\Classes\askibar.popswatterbarbutton.1

DELETED Key: HKLM\Software\Classes\askibar.popswattersettingscontrol

DELETED Key: HKLM\Software\Classes\askibar.popswattersettingscontrol.1

DELETED Key: HKLM\Software\Classes\asktoolbar.settingsplugin

DELETED Key: HKLM\Software\Classes\asktoolbar.settingsplugin.1

DELETED Key: HKLM\Software\Classes\Interface\{4c07ea4f-5f52-4222-b170-4cd9ed33baea}

DELETED Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8ca5ed52-f3fb-4414-a105-2e3491156990}

DELETED Key: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}

DELETED Key: HKLM\Software\Classes\Interface\{f131923c-381d-4e4c-a472-4a17118fd742}

 

========== Registry Data Items ==========

REMOVED [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified

REMOVED AppInit: rces XML DOM Interfaces.) - C:\WINDOWS\system32\mssha32.dll

 

========== Repertory ==========

DELETED Window Temporary: : 11

DELETED Flash Cookies: 0

 

========== File ==========

DELETED c:\windows\system32\mssha32.dll

DELETED Window Temporary: : 21

DELETED Flash Cookies: 0

 

 

========== Summary ==========

12 : Registry Key

2 : Registry Data Items

2 : Repertory

3 : File

 

 

========== Report File ==========

C:\Archivos de programa\ZHPDiag\ZHPFixReport.txt

 

 

End of the scan

---------------------------------------------------------------------------

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

 

Updated by TeamXscript on 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

website: http://www.teamxscript.org

 

C:\Archivos de programa\Ad-Remover\main.exe (SCAN [1]) -> Launched at 12:27:18 on 20/06/2011, Normal boot

 

Microsoft Windows XP Professional Service Pack 3 (X86)

Administrador@USUARIO-BA9C9ED ( )

 

============== SEARCH ==============

 

 

 

Key found: HKLM\Software\Conduit

Key found: HKCU\Software\Conduit

 

 

============== ADDITIONNAL SCAN ==============

 

**** Mozilla Firefox Version [4.0.1 (es-ES)] ****

 

HKLM_MozillaPlugins\Adobe Reader (x)

Searchplugins\drae.xml ( hxxp://buscon.rae.es/draeI/SrvltGUIBusUsual)

Searchplugins\eBay-es.xml (hxxp://rover.ebay.com/rover/1/1185-104530-33622-0/4)

Searchplugins\wikipedia-es.xml (hxxp://es.wikipedia.org/wiki/Special:Search)

Searchplugins\yahoo-es.xml (hxxp://es.search.yahoo.com/search)

Components\browsercomps.dll (Mozilla Foundation)

Extensions\{CAFEEFAC-0015-0000-0022-ABCDEFFEDCBA} (Java Console)

 

-- C:\Documents and Settings\Administrador\Datos de programa\Mozilla\FireFox\Profiles\nu722b4h.default --

Searchplugins\noirooglefr.xml (?)

Prefs.js - browser.download.dir, C:\\Documents and Settings\\Administrador\\Escritorio

Prefs.js - browser.search.defaultenginename, Facemoods Search

Prefs.js - browser.search.selectedEngine, Noiroogle.fr

Prefs.js - browser.startup.homepage, hxxp://cl.yahoo.com/

Prefs.js - browser.startup.homepage_override.buildID, 20110413222027

Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1

 

========================================

 

**** Internet Explorer Version [6.0.2900.5512] ****

 

HKCU_Main|Search bar - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Start Page - hxxp://start.facemoods.com/?a=ddrnw

HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

HKCU_SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A} - "Facemoods Search" (hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4)

HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - "SSVHelper Class" (C:\Archivos de programa\Java\jre6\bin\ssv.dll)

 

========================================

 

C:\Archivos de programa\Ad-Remover\Quarantine: 0 File(s)

C:\Archivos de programa\Ad-Remover\Backup: 1 File(s)

 

C:\Ad-Report-SCAN[1].txt - 20/06/2011 12:27:23 (2527 Byte(s))

 

End at: 12:27:55, 20/06/2011

 

----------------------------------------------------------------------------------

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

 

Updated by TeamXscript on 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

website: http://www.teamxscript.org

 

C:\Archivos de programa\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 12:28:19 on 20/06/2011, Normal boot

 

Microsoft Windows XP Professional Service Pack 3 (X86)

Administrador@USUARIO-BA9C9ED ( )

 

============== ACTION(S) ==============

 

 

 

(!) -- Temporary files deleted.

 

 

Key deleted: HKLM\Software\Conduit

Key deleted: HKCU\Software\Conduit

 

 

============== ADDITIONNAL SCAN ==============

 

**** Mozilla Firefox Version [4.0.1 (es-ES)] ****

 

HKLM_MozillaPlugins\Adobe Reader (x)

Searchplugins\drae.xml ( hxxp://buscon.rae.es/draeI/SrvltGUIBusUsual)

Searchplugins\eBay-es.xml (hxxp://rover.ebay.com/rover/1/1185-104530-33622-0/4)

Searchplugins\wikipedia-es.xml (hxxp://es.wikipedia.org/wiki/Special:Search)

Searchplugins\yahoo-es.xml (hxxp://es.search.yahoo.com/search)

Components\browsercomps.dll (Mozilla Foundation)

Extensions\{CAFEEFAC-0015-0000-0022-ABCDEFFEDCBA} (Java Console)

 

-- C:\Documents and Settings\Administrador\Datos de programa\Mozilla\FireFox\Profiles\nu722b4h.default --

Searchplugins\noirooglefr.xml (?)

Prefs.js - browser.download.dir, C:\\Documents and Settings\\Administrador\\Escritorio

Prefs.js - browser.search.defaultenginename, Facemoods Search

Prefs.js - browser.search.selectedEngine, Noiroogle.fr

Prefs.js - browser.startup.homepage, hxxp://cl.yahoo.com/

Prefs.js - browser.startup.homepage_override.buildID, 20110413222027

Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1

 

========================================

 

**** Internet Explorer Version [6.0.2900.5512] ****

 

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKCU_SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A} - "Facemoods Search" (hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4)

HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - "SSVHelper Class" (C:\Archivos de programa\Java\jre6\bin\ssv.dll)

 

========================================

 

C:\Archivos de programa\Ad-Remover\Quarantine: 0 File(s)

C:\Archivos de programa\Ad-Remover\Backup: 14 File(s)

 

C:\Ad-Report-CLEAN[1].txt - 20/06/2011 12:28:23 (482 Byte(s))

C:\Ad-Report-SCAN[1].txt - 20/06/2011 12:27:23 (3003 Byte(s))

 

End at: 12:29:01, 20/06/2011

 

============== E.O.F ==============

 

------------------------------------------------------------------------

 

Les rapports étant postés, est ce que je peux désinstaller AD Remover ?

 

Merci pour ton aide.

[Apollo]

Oui tu peux désinstaller ad-remover.

 

1) Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
   
  Double-clique ATF-Cleaner.exe afin de lancer le programme.
  --> Sous Vista/Seven: Clic droit/exécuter en temps qu'administrateur.
   
  Sous l'onglet Main, choisis : Select All
  Cliquer sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[yroyer]

Re,

 

Voici le rapport demandé.

Il y avait 2 éléments qui n'étaient pas cochés lors de la suppresion par Malware (les 2 premiers), je n'ai pas osé les cocher en pensant que c'était normal. Je te laisse poursuivre l'analyse.

 

Merci de ton aide.

 

 

 

 

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

 

Version de la base de données: 6904

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

20/06/2011 14:50:08

mbam-log-2011-06-20 (14-50-08).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Elément(s) analysé(s): 203733

Temps écoulé: 49 minute(s), 53 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 2

Fichier(s) infecté(s): 32

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\.fsharproj (Trojan.BHO) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

c:\WINDOWS\system32\SysWoW32 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\documents and settings\administrador\datos de programa\SysWin (Trojan.Agent) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

c:\system volume information\_restore{519bb370-078f-4263-b2ec-65b1b79d46b7}\RP567\A0226559.exe (PUP.SmsPay) -> Not selected for removal.

c:\system volume information\_restore{519bb370-078f-4263-b2ec-65b1b79d46b7}\RP574\A0233274.exe (PUP.KeyLogger) -> Not selected for removal.

c:\documents and settings\localservice\datos de programa\02000000c54eb3441293c.manifest (Malware.Trace) -> Quarantined and deleted successfully.

c:\documents and settings\localservice\datos de programa\02000000c54eb3441293o.manifest (Malware.Trace) -> Quarantined and deleted successfully.

c:\documents and settings\localservice\datos de programa\02000000c54eb3441293p.manifest (Malware.Trace) -> Quarantined and deleted successfully.

c:\documents and settings\localservice\datos de programa\02000000c54eb3441293s.manifest (Malware.Trace) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\02000000c54eb3441293c.manifest (Malware.Trace) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\02000000c54eb3441293o.manifest (Malware.Trace) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\02000000c54eb3441293p.manifest (Malware.Trace) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\02000000c54eb3441293s.manifest (Malware.Trace) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\gnuhashes.ini (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\sl299671378 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\mu2050426826v4.kwd (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\wu2050426826v0.kwd (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\@u2050426826v0 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\@u2050426826v1 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\@u2050426826v2 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\@u2050426826v3 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\mu2050426826v5.kwd (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\mu2050426826v6.kwd (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\mu2050426826v7.kwd (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\wu2050426826v0 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\wu2050426826v1 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\wu2050426826v1.kwd (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\wu2050426826v2 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\wu2050426826v2.kwd (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\wu2050426826v3 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\wu2050426826v3.kwd (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\_u2050426826v0 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\_u2050426826v1 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\_u2050426826v2 (Trojan.Tracur) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\SysWoW32\_u2050426826v3 (Trojan.Tracur) -> Quarantined and deleted successfully.

[Apollo]

Il fallait les sélectionner et les liquider; mais de toutes façons cela se trouve dans la restauration système.

 

On va les supprimer par sécurité.

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

http://oldtimer.geekstogo.com/OTM.exe

 

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur.
   
  
• Copie l'entièreté du code ci-dessous.
  

  Go
  
  :Files
  
  c:\system volume information\_restore{519bb370-078f-4263-b2ec-65b1b79d46b7}\RP567\A0226559.exe 
  c:\system volume information\_restore{519bb370-078f-4263-b2ec-65b1b79d46b7}\RP574\A0233274.exe 
  
  :Services
  
  :Reg
  
  :Commands
  
  [purity]
  [emptytemp]
  [start explorer]
  [reboot]
  
  

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

@++