pc infecté

[gounou51]

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: http://www.teamxscript.org

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 13:49:13 le 26/06/2011, Mode normal

 

Microsoft Windows XP Professionnel Service Pack 3 (X86)

Gounou@CHRISTOP-76SWA3 ( )

 

============== ACTION(S) ==============

 

 

 

(!) -- Fichiers temporaires supprimés.

 

 

 

 

============== SCAN ADDITIONNEL ==============

 

-- C:\Documents and Settings\Gounou\Application Data\Mozilla\FireFox\Profiles\5pqf3s5s.default --

Extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} (Vuze Remote Toolbar)

 

========================================

 

**** Internet Explorer Version [8.0.6001.18702] ****

 

Plugins\NPWMin32.dll (SYNERSOFT)

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\PROGRA~1\Wanadoo\SEARCH~1.DLL)

HKCU_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\prxtbVuze.dll)

HKCU_SearchScopes\{0F2A88D7-7F62-4410-8675-CA10A1817015} - "?" (?)

HKCU_SearchScopes\{16E518F6-7CB3-4E38-9315-8781E045C8A7} - "?" (?)

HKCU_SearchScopes\{425AF472-3DD4-4162-B2A9-ECB687CA48F9} - "?" (?)

HKCU_SearchScopes\{570F333D-1AF7-4B82-8355-5BA36E5595E3} - "Search-torrent" (hxxp://www.search-torrent.com/search.php?t={searchTerms})

HKCU_SearchScopes\{7EEF768E-165F-4B7E-811C-AAC594175C13} - "mininova" (hxxp://www.mininova.org/search/?search={searchTerms})

HKCU_SearchScopes\{8F1C6691-D500-4846-83FA-4B2B5A97DE73} - "?" (?)

HKCU_Toolbar|{1E796980-9CC5-11D1-A83F-00C04FC99D61} (x)

HKCU_Toolbar\WebBrowser|{4982D40A-C53B-4615-B15B-B5B5E98D167C} (x)

HKCU_Toolbar\WebBrowser|{724D43A0-0D85-11D4-9908-00400523E39A} (C:\Program Files\Siber Systems\AI RoboForm\roboform.dll)

HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)

HKCU_Toolbar\WebBrowser|{BA14329E-9550-4989-B3F2-9732E92D17CC} (C:\Program Files\Vuze_Remote\prxtbVuze.dll)

HKLM_Toolbar|{724d43a0-0d85-11d4-9908-00400523e39a} (C:\Program Files\Siber Systems\AI RoboForm\roboform.dll)

HKLM_Toolbar|{ba14329e-9550-4989-b3f2-9732e92d17cc} (C:\Program Files\Vuze_Remote\prxtbVuze.dll)

HKLM_ElevationPolicy\{307C8551-FB4F-4CB1-B06E-0E76D2C05948} - C:\Program Files\Fichiers communs\fluxDVD\APIX\APIXCore.exe (ACE GmbH)

HKLM_ElevationPolicy\{35821CD8-CE49-4AB9-87A0-1A85634FB449} - C:\Documents and Settings\Gounou\Local Settings\Application Data\Conduit\CT2504091\Vuze_RemoteAutoUpdateHelper.exe (x)

HKLM_ElevationPolicy\{44270ABA-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (?)

HKLM_ElevationPolicy\{44295CB8-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar2user.exe (?)

HKLM_ElevationPolicy\{5B78ED0B-553B-4300-AC3A-C376A6D2F784} - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (?)

HKLM_ElevationPolicy\{8BC2979A-D47A-41B6-ACA8-1815D6B61F17} - C:\Program Files\Fichiers communs\fluxDVD\Download Manager\XEBDLMgr.exe (ACE GmbH)

HKLM_ElevationPolicy\{C69C0E28-C73B-40F3-8B0D-AC43598C49D1} - C:\Program Files\Fichiers communs\mpDRM\mpDRMBroker.exe (Protect Software GmbH)

HKCU_Extensions\{1462651F-F4BA-4C76-A001-C4284D0FE16E} - "Orange" (C:\PROGRA~1\Wanadoo\Audience\Icones\Orange.ico)

HKLM_Extensions\-{FB5F1910-F110-11d2-BB9E-00C04F795683} - "Messenger" (C:\Program Files\Messenger\msmsgs.exe,301)

HKLM_Extensions\{320AF880-6646-11D3-ABEE-C5DBF3571F46} - "Remplir" (C:\Program Files\Siber Systems\AI RoboForm\roboform.dll,880)

HKLM_Extensions\{320AF880-6646-11D3-ABEE-C5DBF3571F49} - "Enregistrer" (C:\Program Files\Siber Systems\AI RoboForm\roboform.dll,873)

HKLM_Extensions\{724d43aa-0d85-11d4-9908-00400523e39a} - "Barre RoboForm" (C:\Program Files\Siber Systems\AI RoboForm\roboform.dll,900)

HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)

HKLM_Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - "Real.com" (C:\Program Files\Real\RealPlayer\eb_inact.ico)

HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)

BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)

BHO\{724d43a9-0d85-11d4-9908-00400523e39a} - "?" (C:\Program Files\Siber Systems\AI RoboForm\roboform.dll)

BHO\{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\prxtbVuze.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 3 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 28 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 25/06/2011 13:23:15 (5847 Octet(s))

C:\Ad-Report-CLEAN[2].txt - 26/06/2011 13:49:18 (481 Octet(s))

C:\Ad-Report-SCAN[1].txt - 25/06/2011 13:22:06 (5780 Octet(s))

C:\Ad-Report-SCAN[2].txt - 26/06/2011 13:47:33 (5650 Octet(s))

 

Fin à: 13:49:59, 26/06/2011

 

============== E.O.F ==============

[gounou51]

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

 

Version de la base de données: 6953

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

26/06/2011 14:56:55

mbam-log-2011-06-26 (14-56-55).txt

 

Type d'examen: Examen complet (C:\|)

Elément(s) analysé(s): 225516

Temps écoulé: 26 minute(s), 9 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[pear]

Le fonctionnement serait certainement meilleur avec un windows officiel.

Bref, comment va la machine ?

[gounou51]

il me semblait pourtant que j'avais réinstallé une version officiel, fait ub scan avec zhp diag et toujours des lignes rouges dont un certain "eorezo" plus une page internet qui s'ouvre toute seule au démarrage du pc

 

Zeb Help Process 2 by Nicolas Coolman - Rapport de synthèse du 26/06/2011 15:25:20

 

INFECTION IDENTIFIEE

Liste disponible seulement en version Helper

 

 

PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)

O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\drivers\svchost.exe" [Disabled] .(...) -- C:\WINDOWS\system32\drivers\svchost.exe (.not file.)

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1]

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer]

[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5}]

 

PROCESSUS SUPERFLU DU SYSTEME

[MD5.A065F048E9E23E6C026A7BB548D126A7] - (.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe [345376]

O4 - HKCU\..\Run: [spybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-21-583907252-1078081533-725345543-1003\..\Run: [spybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} () - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1

[HKCU\Software\MGS]

O43 - CFD: 14/04/2010 - 16:37:34 - [74658901] ----D- C:\Program Files\Spybot - Search & Destroy

O47 - AAKE:Key Export SP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe" [Enabled] .(...) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe (.not file.)

 

TOOLBAR INUTILE (Navigateur internet)

M2 - MFEP: prefs.js [Gounou - 5pqf3s5s.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Toolbar v2.7.2.0 (.Conduit Ltd..)

R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O2 - BHO: Vuze Remote - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O43 - CFD: 28/04/2011 - 16:41:48 - [0] ----D- C:\Program Files\DAEMON Tools Toolbar

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}

C:\Program Files\DAEMON Tools Toolbar

 

PROCESSUS INUTILE (Au démarrage du système)

O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

 

A VERIFIER (Adresse IP, domaine ou site)

O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab

 

MISE A JOUR DE PRODUIT

Avast®Antivirus

Adobe Reader 7.0

Sun Microsystems

 

PROCESSUS P2P (Vecteurs d'infections)

Vuze®Azureus PeerToPeer

Azureus PeerToPeer

Azureus Team Vuze PeerToPeer

eMule PeerToPeer

Bittorent PeerToPeer

BitTorrent DNA PeerToPeer

eMule®PeerToPeer

O47 - AAKE:Key Export SP - "C:\Program Files\Azureus\Azureus.exe" [Enabled] .(.Vuze Inc. - Pas de description.) -- C:\Program Files\Azureus\Azureus.exe

 

PROTECTION DU SYSTEME (Antivirus, FireWall, Anti-Malwares)

[MD5.7DE3EE7DBEE14C1F8375CB82466C9321] - (.AVAST Software - avast! Service.) -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [42184]

[MD5.4C6898F15701AE7C41775C14E423FE25] - (.AVAST Software - avast! Antivirus.) -- C:\Program Files\Alwil Software\Avast5\avastUI.exe [3459712]

[MD5.390679F7A217A5E73D756276C40AE887] - (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2260480]

Avast®Antivirus

Alwil Avast! Antivirus

Panda Software

Panda Antivirus

 

RAPPORT SIMPLIFIE

~ Mes images (My Pictures) : 32/407

~ Mes musiques (My Musics) : 15/38

~ Mes Videos (My Videos) : 8/64

~ Mes Favoris (My Favorites) : 2/116

~ Mes Documents (My Documents) : 110/7737

~ Mon Bureau (My Desktop) : 0/15

~ Menu demarrer (Programs) : 5/32

~ Dossier utilisateur (AppData) : 37/1736

M2 - MFEP: prefs.js [Gounou - 5pqf3s5s.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Toolbar v2.7.2.0 (.Conduit Ltd..)

R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyHttp1.1 = 0

O2 - BHO: Vuze Remote - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (...) -- (.not file.)

O4 - HKLM\..\Run: [avast5] . (.AVAST Software - avast! Antivirus.) -- C:\Program Files\Alwil Software\Avast5\avastUI.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-21-583907252-1078081533-725345543-1003\..\Run: [spybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Adobe Reader 7.0.lnk . (...) -- C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A71000000002}\SC_Reader_PM.ico

O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Vuze.lnk . (.Vuze Inc..) -- C:\Program Files\Azureus\Azureus.exe

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} () - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab

O42 - Logiciel: Adobe Reader 7.1.0 - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1033-7B44-A71000000002}

O42 - Logiciel: Java 6 Update 3 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160030}

O42 - Logiciel: Java 6 Update 5 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160050}

O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070}

O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1

O42 - Logiciel: Vuze - (.Vuze Inc..) [HKLM] -- 8461-7759-5462-8226

O42 - Logiciel: Vuze Remote Toolbar - (.Vuze Remote.) [HKLM] -- Vuze_Remote Toolbar

[HKCU\Software\Azureus]

[HKCU\Software\MGS]

[HKCU\Software\Vuze_Remote]

[HKCU\Software\eMule]

[HKLM\Software\3vc]

[HKLM\Software\Azureus]

[HKLM\Software\Canal+ Distribution]

[HKLM\Software\IDSimple inc.]

[HKLM\Software\Sauleo3vc]

[HKLM\Software\Vuze_Remote]

O43 - CFD: 24/06/2007 - 16:47:20 - [3154380804] ----D- C:\Program Files\3nity Video Convert

O43 - CFD: 22/04/2011 - 13:37:18 - [152239485] ----D- C:\Program Files\Azureus

O43 - CFD: 23/04/2007 - 21:54:14 - [11945339] ----D- C:\Program Files\BitTorrent

O43 - CFD: 28/04/2011 - 16:41:48 - [0] ----D- C:\Program Files\DAEMON Tools Toolbar

O43 - CFD: 08/10/2007 - 18:36:08 - [612210] ----D- C:\Program Files\eMule

O43 - CFD: 22/02/2011 - 17:28:34 - [31255116] ----D- C:\Program Files\OpenOffice.org 3

O43 - CFD: 14/04/2010 - 16:37:34 - [74658901] ----D- C:\Program Files\Spybot - Search & Destroy

O43 - CFD: 22/04/2011 - 13:35:46 - [4549434] ----D- C:\Program Files\Vuze_Remote

O43 - CFD: 28/04/2011 - 17:44:56 - [114912223] ----D- C:\Documents and Settings\Gounou\Application Data\Azureus

O43 - CFD: 23/04/2007 - 21:44:04 - [98696] ----D- C:\Documents and Settings\Gounou\Application Data\BitTorrent

O43 - CFD: 23/04/2007 - 21:54:14 - [17148] ----D- C:\Documents and Settings\Gounou\Application Data\DNA

O43 - CFD: 23/04/2007 - 20:57:30 - [5836546] ----D- C:\Documents and Settings\Gounou\Local Settings\Application Data\DNA

O43 - CFD: 22/06/2011 - 13:27:02 - [5002402] ----D- C:\Documents and Settings\Gounou\Local Settings\Application Data\Vuze_Remote

O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 26/06/2011 - 12:52:56 ---A- . (...) -- C:\WINDOWS\System32\drivers\lvuvc.hs [0]

O47 - AAKE:Key Export SP - "C:\Program Files\eMule\emule.exe" [Enabled] .(...) -- C:\Program Files\eMule\emule.exe (.not file.)

O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\mshta.exe" [Enabled] .(.Microsoft Corporation - Microsoft HTML Application host.) -- C:\WINDOWS\system32\mshta.exe

O47 - AAKE:Key Export SP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe" [Enabled] .(...) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe (.not file.)

O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\drivers\svchost.exe" [Disabled] .(...) -- C:\WINDOWS\system32\drivers\svchost.exe (.not file.)

O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O47 - AAKE:Key Export SP - "C:\Program Files\Azureus\Azureus.exe" [Enabled] .(.Vuze Inc. - Pas de description.) -- C:\Program Files\Azureus\Azureus.exe

O69 - SBI: SearchScopes [HKCU] {570F333D-1AF7-4B82-8355-5BA36E5595E3} - (Search-torrent) - Search Torrent : Moteur de recherche bittorrent

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1]

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer]

[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}

C:\Program Files\DAEMON Tools Toolbar

C:\Program Files\Vuze_Remote

C:\Documents and Settings\Gounou\Local Settings\Application Data\Vuze_Remote

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover

spof.sys

[pear]

Bonjour,

 

Clic droit sur un espace vide du bureau->Nouveau->Document texte

Sélectionner toutes les lignes en vert ci dessous(et seulement elles)

pour cela;

(clic gauche maintenu enfoncé) Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

En haut, à gauche:

Dans Fichiers>Enregistrer sous....

Enregistrer le fichier dans le dossier-> C:\Program Files\ZHPDiag

Dans Nom de fichier,inscrire ZHPDiag.txt.

Acceptez la demande de confirmation qui permet d'écraser l'ancien rapport.

O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\drivers\svchost.exe" [Disabled] .(...) -- C:\WINDOWS\system32\drivers\svchost.exe (.not file.) => Infection FakeAlert (Trojan.Agent)

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1] => Infection PUP (PUP.Eorezo)

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer] => Infection PUP (Adware.MetaStream))

[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}] => Infection BT (Adware.Hotbar)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}] => Infection PUP (PUP.Eorezo)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}] => Infection PUP (PUP.Eorezo)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5}] => Infection PUP (PUP.Eorezo)

M2 - MFEP: prefs.js [Gounou - 5pqf3s5s.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Toolbar v2.7.2.0 (.Conduit Ltd..) => Toolbar.Conduit

R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O2 - BHO: Vuze Remote - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O43 - CFD: 28/04/2011 - 16:41:48 - [0] ----D- C:\Program Files\DAEMON Tools Toolbar => Toolbar.DaemonTools

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine] => Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Toolbar.Conduit

[HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Toolbar.Conduit

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar] => Toolbar.Agent

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17} => Toolbar.DAEMON Tools

C:\Program Files\DAEMON Tools Toolbar => Toolbar.DaemonTools

M2 - MFEP: prefs.js [Gounou - 5pqf3s5s.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Toolbar v2.7.2.0 (.Conduit Ltd..) => Toolbar.Conduit

R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O2 - BHO: Vuze Remote - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O43 - CFD: 28/04/2011 - 16:41:48 - [0] ----D- C:\Program Files\DAEMON Tools Toolbar => Toolbar.DaemonTools

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine] => Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Toolbar.Conduit

[HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Toolbar.Conduit

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}] => Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar] => Toolbar.Agent

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17} => Toolbar.DAEMON Tools

C:\Program Files\DAEMON Tools Toolbar => Toolbar.DaemonTools

Cliquer sur l'icône Zhpfix qui est sur votre bureau

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

 

Cliquez ensuite sur le H-

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" 2.

Acceptez de Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

[gounou51]

Rapport de ZHPFix 1.12.3326 par Nicolas Coolman, Update du 25/06/2011

Fichier d'export Registre : C:\ZHPExportRegistry-27-06-2011-17-48-39.txt

Run by Gounou at 27/06/2011 17:48:39

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer

SUPPRIME Key: HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

ERREUR Key**: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}

SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}

ERREUR Key**: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5}

SUPPRIME Key: CLSID BHO: {ba14329e-9550-4989-b3f2-9732e92d17cc}

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine

ERREUR Key**: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}

SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}

SUPPRIME Key: HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}

ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}

ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar

ABSENT Key: CLSID BHO: {ba14329e-9550-4989-b3f2-9732e92d17cc}

ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine

ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}

ABSENT Key: HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}

 

========== Valeur(s) du Registre ==========

SUPPRIME AAKE KeyValue: C:\WINDOWS\system32\drivers\svchost.exe

SUPPRIME URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc}

SUPPRIME Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc}

SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}

ABSENT URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc}

ABSENT Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc}

ABSENT [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}

 

========== Préférences navigateur ==========

ABSENT C:\Documents and Settings\Gounou\Application Data\Mozilla\Firefox\Profiles\5pqf3s5s.default\prefs.js

ABSENT C:\Documents and Settings\Gounou\Application Data\Mozilla\Firefox\Profiles\5pqf3s5s.default\prefs.js

 

========== Dossier(s) ==========

SUPPRIME C:\Documents and Settings\Gounou\Application Data\Mozilla\Firefox\Profiles\5pqf3s5s.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}

SUPPRIME C:\Program Files\DAEMON Tools Toolbar

ABSENT C:\Program Files\DAEMON Tools Toolbar

 

========== Fichier(s) ==========

ABSENT File: c:\windows\system32\drivers\svchost.exe

SUPPRIME c:\program files\vuze_remote\prxtbvuze.dll

ABSENT File: c:\program files\vuze_remote\prxtbvuze.dll

ABSENT Folder/File: c:\program files\daemon tools toolbar

 

 

========== Récapitulatif ==========

17 : Clé(s) du Registre

7 : Valeur(s) du Registre

3 : Dossier(s)

4 : Fichier(s)

2 : Préférences navigateur

 

 

========== Chemin du fichier rapport ==========

C:\Program Files\ZHPDiag\ZHPFixReport.txt

 

 

End of the scan

[pear]

Comment va la machine ?

[gounou51]

Salut,

 

toujours cette maudite page internet qui'ouvre toute seule au démarrage du Pc "http://www.slizone.com/page/home.html"

[pear]

On va essayer de savoir ce qui vous lance cela:

 

Télécharger SEAF de C_XX

Double-cliquer sur le fichier SEAF.exe

Suivre les instructions à cocher sur cette fenêtre:

Occurences à rechercher, séparées par une virgules ->

Taper

slizone.com

 

Cocher"Chercher également dans le régistre"

Calculer le cheksum:Md5 .

Cocher Informations suppémentaires

la recherche dure quelques minutes et produit un rapport C:\SEAFlog.txt à poster

[gounou51]

1. ========================= SEAF 1.0.1.0 - C_XX

2.

3. Commencé à: 11:19:44 le 02/07/2011

4.

5. Valeur(s) recherchée(s):

6. slizone.com

7.

8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès

9.

10. (!) --- Calcul du Hash "MD5"

11. (!) --- Informations supplémentaires

12. (!) --- Recherche registre

13.

14. ====== Fichier(s) ======

15.

16. Aucun fichier trouvé

17.

18.

19. ====== Entrée(s) du registre ======

20.

21. Aucun élément dans le registre trouvé

22.

23. =========================

24.

25. Fin à: 11:22:54 le 02/07/2011

26. 325308 Éléments analysés

27.

28. =========================

29. E.O.F