Analyse ComboFix

[Lydia-B]

Bonjour,

 

Le PC de mon ami semble être infesté par un virus ou quelque chose du genre : impossible de se connecter à internet via Mozilla Firefox ou Internet Explorer malgré l'existence d'une connexion (le PC est relié par câble Ethernet au modem et m'indique qu'il est connecté au réseau).

J'ai rencontré une personne qui s'occupe de la maintenance des ordinateurs sur mon lieu de travail. Je lui ai exposé mon problème et elle m'a conseillé d'utiliser ComboFix, ce que j'ai fait (avant de lire les sujets sur les risques de ce logiciel... ).

J'ai donc téléchargé ComboFix sur bleeping. Le site me conseille, après avoir lancé le programme, de faire parvenir le rapport à quelqu'un de généreux et bienveillant qui pourrait me l'analyser...

Je m'adresse donc à vous pour demander l'aide d'une personne généreuse et bienveillante...

Merci d'avance !

Lydia

 

Voici le rapport :

 

ComboFix 11-08-27.01 - Tramber 27/08/2011 16:05:41.2.2 - x86

Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.3327.2373 [GMT 2:00]

Lancé depuis: c:\users\Tramber\Desktop\ComboFix.exe

SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\Tramber\AppData\Roaming\Best Malware Protection

c:\users\Tramber\AppData\Roaming\Best Malware Protection\cookies.sqlite

c:\users\Tramber\AppData\Roaming\Best Malware Protection\Instructions.ini

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\ANTIGEN.dll

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\CLSV.exe

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\delfile.dll

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\delfile.drv

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\delfile.tmp

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\dudl.tmp

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\eb.drv

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\eb.sys

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\energy.drv

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\energy.sys

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\exec.exe

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\fan.dll

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\fix.tmp

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\FW.dll

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\gid.tmp

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\grid.tmp

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\hymt.sys

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\kernel32.dll

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\PE.dll

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\PE.tmp

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\SICKBOY.drv

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\SM.drv

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\std.dll

c:\users\Tramber\AppData\Roaming\Microsoft\Windows\Recent\tjd.sys

c:\windows\XSxS

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-07-27 au 2011-08-27 ))))))))))))))))))))))))))))))))))))

.

.

2011-08-27 14:09 . 2011-08-27 14:09 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-08-27 14:04 . 2011-08-27 14:04 -------- d-----w- c:\program files\LogMeIn Hamachi

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-05-30 11:43 . 2011-05-30 11:43 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2011-04-16 . 7BD7F45FF37FA0669CD32CA0EF46E22C . 811520 . . [6.1.7600.16385] . . c:\windows\System32\user32.dll

[7] 2009-07-14 . 34B7E222E81FAFA885F0C5F2CFA56861 . 811520 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]

.

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

2010-11-13 20:58 3913000 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

2011-01-17 14:54 175912 ----a-w- c:\program files\DVDVideoSoftTB\prxtbDVDV.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-13 3913000]

"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]

.

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

.

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HDAudDeck"="c:\program files\VIA\VIAudioi\VDeck\VDeck.exe" [2009-06-06 1417216]

"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]

"MobileConnect"="c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-09-22 2073088]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"avast!"="c:\program files\Alwil Software\Avast4\ashDisp.exe" [2009-09-15 81000]

"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2011-08-04 1955208]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 2 (0x2)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"mixer4"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

.

R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2008-09-15 7168]

R3 WatAdminSvc;WatAdminSvc;c:\windows\system32\Wat\WatAdminSvc.exe [2011-04-16 1343400]

R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2008-09-15 110080]

R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2008-09-15 104960]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-01-02 691696]

S1 aswSP;avast! Self Protection; [x]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-09-15 53328]

S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2011-08-04 1361288]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2009-09-27 240232]

S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [2009-11-13 1021256]

S2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2008-09-22 14336]

S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-08-21 66592]

S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [2009-10-14 10064]

S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2009-06-03 1056256]

.

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050

mStart Page = hxxp://www.wiiqi.com/

uInternet Settings,ProxyServer = http=127.0.0.1:25422

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000

IE: Free YouTube to MP3 Converter - c:\users\Tramber\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

FF - ProfilePath - c:\users\Tramber\AppData\Roaming\Mozilla\Firefox\Profiles\8stnqtv4.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=

FF - prefs.js: network.proxy.type - 4

.

- - - - ORPHELINS SUPPRIMES - - - -

.

URLSearchHooks-{4daac69c-cba7-45e2-9bc8-1044483d3352} - (no file)

AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}\rbia.exe

.

.

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\S-1-5-21-2020632336-4258024093-1493776928-1000\Software\SecuROM\License information*]

@Allowed: (Read) (RestrictedCode)

"datasecu"=hex:d6,67,58,4d,ee,9e,16,57,f3,6b,3e,92,4b,17,ac,42,23,7d,17,30,84,

8c,1c,b2,3a,7d,5e,e6,2a,5a,db,56,f6,12,26,da,07,ba,cb,01,6b,38,a2,24,1d,45,\

"rkeysecu"=hex:f4,39,81,11,15,21,27,48,39,9e,36,ca,ec,1a,42,67

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Heure de fin: 2011-08-27 16:11:35

ComboFix-quarantined-files.txt 2011-08-27 14:11

.

Avant-CF: 354 064 846 848 octets libres

Après-CF: 353 886 621 696 octets libres

.

- - End Of File - - CC6F9C9A4B4A75EDD0703F9018555AD4

 

PS : je ne suis pas là pendant 3jours et ne pourrais donner suite à ce sujet. Je consulterai toutes vos réponses en rentrant. Encore merci par avance !!

[bernard53]

Bonjour

 

Combofix a fait son travail

 

Juste ceci en plus.

 

 

Installe Malewarebytes' Antimalware,

 

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

 

Puis ceci à vérifier pour ta connexion.

 

- Sur Firefox, Outils /Options puis onglet Avancés.

- Cliquez sur Réseau et Paramètres.

- Choisissez "Pas de Proxy".

 

- Sur Internet Explorer , c'est le menu Outils / Options Internet.

- Onglet Connexions puis Paramètres réseau--> désactiver le proxy.

 

Vérifier que la case "Détecter automatiquement les paramètres de connections" soit cochée.

Redémarrez l'ordinateur.

 

puis pour contrôle :

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

 

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Cijoint.fr - Service gratuit de dépôt de fichiers

[Lydia-B]

Bonsoir,

 

Tout d'abord merci de m'apporter ton aide !! Je suis désolée de ne répondre que maintenant...

 

J'ai installé Malwarebytes :la personne qui m'avait conseillé d'installer Combofix m'avait dit de le faire. Je l'ai donc lancé et voici le rapport :

 

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org

 

Version de la base de données: 7587

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

27/08/2011 16:45:46

mbam-log-2011-08-27 (16-45-46).txt

 

Type d'examen: Examen complet (C:\|D:\|F:\|)

Elément(s) analysé(s): 250545

Temps écoulé: 18 minute(s), 42 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\program files\gridinsoft trojan killer\trojan.killer.2.0.7.xxx-patch.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.

c:\sauvegardes de scurité\logiciel\corel painter xi\painter 11_keygen.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.

c:\sauvegardes de scurité\logiciel\remove wat\removewat.exe (HackTool.Wpakill) -> Quarantined and deleted successfully.

 

____________________________________________________________________________________

 

J'ai supprimé les fichiers mis en quarantaine aujourd'hui et ai relancé Malwarebytes après l'avoir mis à jour. Voici le nouveau rapport :

 

 

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org

 

Version de la base de données: 7638

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

02/09/2011 20:21:31

mbam-log-2011-09-02 (20-21-31).txt

 

Type d'examen: Examen complet (C:\|D:\|F:\|)

Elément(s) analysé(s): 250870

Temps écoulé: 19 minute(s), 14 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

________________________________________________________________________________________

 

C'est peut être inutile mais comme je suis vraiment en terrain inconnu, je préfère être sûre...

 

Je passe à l'étape suivante (vérification de connexion) et poste la suite des événements sous peu !!

 

Encore merci !!

[bernard53]

ok en attente juste pour le rapport ZHPdiag

[Lydia-B]

Re !

J'ai donc fait toutes les manip. J'ai commencé par Internet Explorer, Firefox ne fonctionnant pas. Une fois Explorer mis au propre, j'ai réinstallé Firefox (qui ne voulait toujours pas se lancer = page blanche quand je lançais l'application... ) puis ai procédé aux mêmes manip que pour Explorer.

 

J'ai ensuite installé ZHPDiag et ai lancé le diagnostic. Je ne sais pas si l'envoi a fonctionné...? (Je l'ai fait via les deux liens.)

 

Est-ce que côté antivirus il faut que je fasse une mise à jour ?

(Avast est installé sur ce PC (anciennement ?) infesté.)

 

Merci !!

[Lydia-B]

Bonjour,

 

Il semblerait que je n'ai pas fait correctement parvenir le rapport de ZHPDiag.

En enregistrant sous (icone disquette bleue), aucun fichier n'était enregistré. J'ai donc copié puis collé sous le bloc note les informations affichées à l'écran dont voici le lien :

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Je ne sais pas si c'est cela qu'il faut...?

 

Encore merci de ton aide et désolée de ce contretemps...

Bonne journée !!

[bernard53]

il y a bien tes traces d'infection dans le rapport seulement celui-ci ne comporte qu'un 10ème de son contenu.

Refait un nouveau scan s.t.p

[Lydia-B]

Bonsoir,

 

Je réponds tardivement et m'en excuse. J'étais loin de mon PC ce week end.

J'ai essayé de réenregistrer le rapport de ZHPDiag et ai enfin obtenu un fichier digne de ce nom.

Voici le lien :

Cliquez ici.

 

Dis moi si c'est bon, autrement je relancerai un scan.

 

Merci d'avance.

[bernard53]

Rapport ok cette fois

 

fait ceci.

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

C:\Users\Tramber\AppData\Roaming\Mozilla\Firefox\Profiles\8stnqtv4.default\user.js (.not file.)

M3 - MFPP: Plugins - [Tramber] -- C:\Users\Tramber\AppData\Roaming\Mozilla\Firefox\Profiles\8stnqtv4.default\searchplugins\conduit.xml

M3 - MFPP: Plugins - [Tramber] -- C:\Program Files\Mozilla FireFox\searchplugins\pucuy.xml

M2 - MFEP: prefs.js [Tramber - 8stnqtv4.default\engine@conduit.com] [] Conduit Engine v3.3.3.2 (.Conduit Ltd..)

M2 - MFEP: prefs.js [Tramber - 8stnqtv4.default\{4daac69c-cba7-45e2-9bc8-1044483d3352}] [] Softonic_France Community Toolbar v3.6.0.10 (.Conduit Ltd..)

M2 - MFEP: prefs.js [Tramber - 8stnqtv4.default\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [] DVDVideoSoftTB Community Toolbar v3.6.0.10 (.Conduit Ltd..)

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:25422

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll

O2 - BHO: DVDVideoSoftTB - {872b5b88-9db5-4310-bdd0-ac189557e5f5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngine.dll

O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll

O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] – conduitEngine

[HKCU\Software\AppDataLow\Software\Conduit]

[HKCU\Software\AppDataLow\Software\Softonic_France]

[HKCU\Software\AppDataLow\Software\conduitEngine]

[HKCU\Software\AppDataLow\Toolbar]

[HKLM\Software\Conduit]

O43 - CFD: 27/04/2011 - 22:10:26 - [634976] ----D- C:\Program Files\Conduit

O43 - CFD: 10/02/2011 - 23:47:38 - [3989052] ----D- C:\Program Files\ConduitEngine

O43 - CFD: 02/05/2011 - 07:51:04 - [1221769] -SH-D- C:\ProgramData\152d61

O43 - CFD: 27/04/2011 - 22:10:26 - [38496] ----D- C:\Users\Tramber\AppData\Local\Conduit

O69 - SBI: C:\Users\Tramber\AppData\Roaming\Mozilla\Firefox\Profiles\8stnqtv4.default\searchplugins\conduit.xml

O69 - SBI: prefs.js [Tramber - 8stnqtv4.default] user_pref("CT2269050.SearchEngine", "Search||http://search.conduit.com/Results.aspx?

O69 - SBI: prefs.js [Tramber - 8stnqtv4.default] user_pref("CT2269050.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q="'>http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=");

O69 - SBI: prefs.js [Tramber - 8stnqtv4.default] user_pref("CT2542115.SearchEngine", "Recherche||http://search.conduit.com/Results.aspx?

O69 - SBI: prefs.js [Tramber - 8stnqtv4.default] user_pref("CT2542115.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&q=");

O69 - SBI: prefs.js [Tramber - 8stnqtv4.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q=

O69 - SBI: prefs.js [Tramber - 8stnqtv4.default] user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=");

O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (DVDVideoSoftTB Customized Web Search) - Findgala.com Search Engine

 

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

 

 

Ensuite ceci à vérifier s.t.p

 

- Sur Firefox, Outils /Options puis onglet Avancés.

- Cliquez sur Réseau et Paramètres.

- Choisissez "Pas de Proxy".

 

- Sur Internet Explorer , c'est le menu Outils / Options Internet.

- Onglet Connexions puis Paramètres réseau--> désactiver le proxy.

 

Vérifier que la case "Détecter automatiquement les paramètres de connections" soit cochée.

Redémarrez l'ordinateur.

 

Après dis moi comment va ton pc.

[Lydia-B]

Bonjour,

 

J'ai copié les données que tu m'as fourni sous ZHPFix. Voici le rapport :

 

Rapport de ZHPFix 1.12.3360 par Nicolas Coolman, Update du 29/08/2011

Fichier d'export Registre :

Run by Tramber at 05/09/2011 17:53:33

Windows 7 Business Edition, 32-bit (Build 7600)

Web site : ZHPFix Fix de rapport

 

========== Logiciel(s) ==========

ABSENT Software Key: O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] – conduitEngine

 

========== Clé(s) du Registre ==========

SUPPRIME Key: CLSID BHO: {30F9B915-B755-4826-820B-08FBA6BD249D}

SUPPRIME Key: CLSID BHO: {872b5b88-9db5-4310-bdd0-ac189557e5f5}

SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit

SUPPRIME Key: HKCU\Software\AppDataLow\Software\Softonic_France

SUPPRIME Key: HKCU\Software\AppDataLow\Software\conduitEngine

SUPPRIME Key: HKCU\Software\AppDataLow\Toolbar

SUPPRIME Key: HKLM\Software\Conduit

SUPPRIME Key: SearchScopes :{afdbddaa-5d3f-42ee-b79c-185a7020515b}

 

========== Valeur(s) du Registre ==========

SUPPRIME Toolbar: {30F9B915-B755-4826-820B-08FBA6BD249D}

SUPPRIME Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5}

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

 

========== Elément(s) de donnée du Registre ==========

SUPPRIME R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer

 

========== Préférences navigateur ==========

SUPPRIME Mozilla Pref: user_pref("CT2269050.SearchEngine", "Search||http://search.conduit.com/Results.aspx?

SUPPRIME Mozilla Pref: user_pref("CT2269050.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q="'>http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=");

SUPPRIME Mozilla Pref: user_pref("CT2542115.SearchEngine", "Recherche||http://search.conduit.com/Results.aspx?

SUPPRIME Mozilla Pref: user_pref("CT2542115.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&q=");

SUPPRIME Mozilla Pref: user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q=

SUPPRIME Mozilla Pref: user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=");

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\Users\Tramber\AppData\Roaming\Mozilla\Firefox\Profiles\8stnqtv4.default\extensions\engine@conduit.com

SUPPRIME Folder: C:\Users\Tramber\AppData\Roaming\Mozilla\Firefox\Profiles\8stnqtv4.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}

SUPPRIME Folder: C:\Users\Tramber\AppData\Roaming\Mozilla\Firefox\Profiles\8stnqtv4.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}

SUPPRIME Folder: C:\Program Files\Conduit

SUPPRIME Folder: C:\Program Files\ConduitEngine

SUPPRIME Folder: C:\ProgramData\152d61

SUPPRIME Folder: C:\Users\Tramber\AppData\Local\Conduit

SUPPRIME Flash Cookies: 563

SUPPRIME Temporaires Windows: : 6

 

========== Fichier(s) ==========

ABSENT Folder/File: c:\users\tramber\appdata\roaming\mozilla\firefox\profiles\8stnqtv4.default\user.js (.not file.)

SUPPRIME File: c:\users\tramber\appdata\roaming\mozilla\firefox\profiles\8stnqtv4.default\searchplugins\conduit.xml

SUPPRIME File: c:\program files\mozilla firefox\searchplugins\pucuy.xml

SUPPRIME File: c:\program files\conduitengine\conduitengine.dll

SUPPRIME File: c:\program files\dvdvideosofttb\prxtbdvdv.dll

ABSENT File: c:\program files\conduitengine\conduitengine.dll

ABSENT File: c:\program files\dvdvideosofttb\prxtbdvdv.dll

ABSENT File: c:\users\tramber\appdata\roaming\mozilla\firefox\profiles\8stnqtv4.default\searchplugins\conduit.xml

SUPPRIME Flash Cookies: 253

SUPPRIME Temporaires Windows: : 13

 

 

========== Récapitulatif ==========

8 : Clé(s) du Registre

4 : Valeur(s) du Registre

1 : Elément(s) de donnée du Registre

9 : Dossier(s)

10 : Fichier(s)

1 : Logiciel(s)

6 : Préférences navigateur

 

 

End of the scan in 00mn 04s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 05/09/2011 17:53:33 [3865]

________________________________________________________

 

J'ai fait les manip sous Firefox et sous Explorer : les paramètres étaient déjà cochés.

J'ai redémarré et, outre la demande de Avast qui veut se mettre à jour, tout semble fonctionner : pas de message de la part de Google lorsque j'ouvre Internet !!

 

J'aurais encore quelques questions, si tu veux bien encore m'accorder ton aide...?

Ayant des supports externes (disques durs, clefs usb) qui ont navigué du PC infesté au mien, ne devrais-je pas prendre des mesures préventives pour le sauver avant qu'il ne tombe malade à son tour...

Et côté vérification périodique, des conseils pour éviter ce genre d'infections ? Avast ne me semble plus très fiable (il n'a même pas détecté le dernier virus...) que me suggères-tu ??

 

Quoi qu'il en soit,et au risque de me répéter, un immense MERCI pour ton aide : il n'est pas évident pour le commun des mortels (auquel j'appartiens) de résoudre les problèmes de ce genre... A chacun sa spécialité !!