[Résolu] Infection Secutity Sphere 2012

jay31 · le 23 décembre 2011

Bonsoir

Je m'occupe d'un PC infesté par Security Sphere 2012.

J'ai suivi les recommandation de http://forum.zebulon.fr/infection-security-sphere-2012-t188910.html&p=1579678&hl=+security++sphere&fromsearch=1#entry1579678

Voici les rapports demandés dans ce post

Malwarebytes log

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 911122308

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

23/12/2011 21:31:58

mbam-log-2011-12-23 (21-31-58).txt

Type d'examen: Examen rapide

Elément(s) analysé(s): 228699

Temps écoulé: 26 minute(s), 40 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\oO19701PoOfK19701 (Trojan.FakeAlert) -> Value: oO19701PoOfK19701 -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

c:\documents and settings\all users\application data\oo19701poofk19701\oo19701poofk19701.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\documents and settings\xxxxxxxxxxx\application data\Icones\icones_pa.ico (Adware.GibMedia) -> Quarantined and deleted successfully.

Combofix log

ComboFix 11-12-23.01 - xxxxxxxxxxx 23/12/2011 21:47:56.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.767.331 [GMT 1:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\nettoyage\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Application Data\TEMP

c:\documents and settings\sandrine\WINDOWS

c:\documents and settings\xxxxxxxxxxx\Application Data\HbTools

c:\documents and settings\xxxxxxxxxxx\Application Data\HbTools\v3.0\HbTools\static\1\btntrans.idx

c:\documents and settings\xxxxxxxxxxx\WINDOWS

C:\WA6P

c:\windows\system\PHONETIC.FON

c:\windows\system32\oobe\isperror

c:\windows\system32\oobe\isperror\ispcnerr.htm

c:\windows\system32\oobe\isperror\ispdtone.htm

c:\windows\system32\oobe\isperror\isphdshk.htm

c:\windows\system32\oobe\isperror\ispins.htm

c:\windows\system32\oobe\isperror\ispnoanw.htm

c:\windows\system32\oobe\isperror\isppberr.htm

c:\windows\system32\oobe\isperror\ispphbsy.htm

c:\windows\system32\oobe\isperror\ispsbusy.htm

c:\windows\system32\scrrun.dll.tmp

c:\windows\system32\TZLog.log

.

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_FOPN

-------\Legacy_HWCLOCK

-------\Legacy_NLC

-------\Legacy_VSPF

-------\Legacy_VSPF_HK

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-11-23 au 2011-12-23 ))))))))))))))))))))))))))))))))))))

.

.

2011-12-23 20:00 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-12-23 17:25 . 2011-12-23 17:25 -------- d-----w- c:\documents and settings\Administrateur

2011-12-22 16:45 . 2011-12-22 17:23 -------- d-----w- C:\sh4ldr

2011-12-22 16:45 . 2011-12-22 16:45 -------- d-----w- c:\program files\Enigma Software Group

2011-12-22 16:44 . 2011-12-22 17:23 -------- d-----w- c:\windows\1C7CC8E2CFCF41E6A8637C7A45CE8A78.TMP

2011-12-22 16:44 . 2011-12-22 16:44 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2011-12-20 17:41 . 2011-12-20 17:41 -------- d--h--w- c:\windows\PIF

2011-12-20 17:25 . 2011-12-23 20:31 -------- d-----w- c:\documents and settings\All Users\Application Data\oO19701PoOfK19701

2011-12-18 17:16 . 2011-12-20 16:53 60416 ----a-w- c:\windows\ALCFDRTM.VER

2011-12-18 17:16 . 2011-12-18 17:16 60416 ----a-w- c:\windows\ALCFDRTM.EXE

2011-12-18 17:16 . 2011-12-18 17:16 -------- d-----w- c:\windows\system32\Lang

2011-12-16 17:55 . 2011-12-16 17:55 -------- d-----w- c:\documents and settings\xxxxxxxxxxx\Application Data\Avira

2011-12-16 17:27 . 2011-12-22 17:25 -------- d-----w- c:\documents and settings\xxxxxxxxxxx\Local Settings\Application Data\AskToolbar

2011-12-16 17:26 . 2011-12-16 17:26 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer

2011-12-16 17:26 . 2011-12-16 17:26 -------- d-----w- C:\Firefox

2011-12-16 17:26 . 2011-12-16 17:26 -------- d-----w- c:\program files\Ask.com

2011-12-16 17:25 . 2011-12-16 17:26 -------- d-----w- c:\documents and settings\Default User\Local Settings\Application Data\AskToolbar

2011-12-16 17:24 . 2011-12-01 16:55 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys

2011-12-16 17:24 . 2011-12-01 16:55 134856 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-12-16 17:24 . 2011-12-01 16:55 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-12-16 17:24 . 2011-12-16 17:24 -------- d-----w- c:\program files\Avira

2011-12-16 17:24 . 2011-12-16 17:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2011-12-16 17:15 . 2009-03-25 13:29 130432 ----a-w- c:\windows\system32\drivers\Rtnicxp.sys

2011-12-16 17:15 . 2009-03-03 19:18 73728 ----a-w- c:\windows\system32\RtNicProp32.dll

2011-12-16 17:15 . 2011-12-16 17:15 -------- d-----w- c:\program files\Realtek

2011-12-16 17:15 . 2006-03-17 14:37 520192 ------w- c:\windows\system32\ati2sgag.exe

2011-12-16 17:15 . 2011-12-16 17:15 -------- d-----w- c:\program files\ATI Technologies

2011-12-16 17:14 . 2011-08-31 14:20 53248 ----a-w- c:\windows\system32\CSVer.dll

2011-12-16 17:13 . 2011-12-16 17:13 -------- d-----w- C:\ATI

2011-12-16 17:13 . 2011-12-16 17:13 -------- d-----w- C:\Intel

2011-12-16 17:13 . 2011-12-16 17:13 -------- d-----w- C:\temp

2011-12-16 17:10 . 2006-08-01 14:02 49152 ----a-w- c:\windows\system32\ChCfg.exe

2011-12-16 17:04 . 2011-12-16 17:04 -------- d-----w- c:\program files\ma-config.com

2011-12-16 17:04 . 2011-12-16 17:04 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-11-23 14:40 . 2003-04-24 12:00 1859712 ----a-w- c:\windows\system32\win32k.sys

2011-11-01 16:07 . 2003-04-24 12:00 1288192 ----a-w- c:\windows\system32\ole32.dll

2011-10-31 23:37 . 2003-04-24 12:00 832512 ----a-w- c:\windows\system32\wininet.dll

2011-10-31 23:37 . 2004-08-19 23:09 78336 ------w- c:\windows\system32\ieencode.dll

2011-10-31 23:37 . 2003-04-24 12:00 1830912 ------w- c:\windows\system32\inetcpl.cpl

2011-10-31 23:37 . 2003-04-24 12:00 17408 ----a-w- c:\windows\system32\corpol.dll

2011-10-28 05:31 . 2003-04-24 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll

2011-10-26 10:50 . 2003-04-24 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe

2011-10-26 10:50 . 2002-08-29 11:42 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe

2011-10-18 11:13 . 2003-04-24 12:00 186880 ----a-w- c:\windows\system32\encdec.dll

2011-10-10 14:23 . 2004-06-10 19:51 692736 ----a-w- c:\windows\system32\inetcomm.dll

2011-09-28 07:06 . 2003-04-24 12:00 606208 ----a-w- c:\windows\system32\crypt32.dll

2011-09-26 09:41 . 2011-09-26 09:41 614400 ------w- c:\windows\system32\uiautomationcore.dll

2011-09-26 09:41 . 2003-04-24 12:00 22528 ----a-w- c:\windows\system32\oleaccrc.dll

2011-09-26 09:41 . 2003-04-24 12:00 220160 ----a-w- c:\windows\system32\oleacc.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2011-11-21 1515688]

.

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2011-11-21 1515688]

.

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-29 68856]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]

"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-10-19 1983816]

"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-09-04 767312]

"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]

"ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe" [2011-11-21 901800]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-12-01 258512]

.

c:\documents and settings\sandrine\Menu Démarrer\Programmes\Démarrage\

OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]

.

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

McAfee Security Scan.lnk - c:\program files\McAfee Security Scan\1.0.150\SSScheduler.exe [2009-7-28 199184]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Taskman"=""

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0stera

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]

@="Service"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=

.

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15/04/2008 22:09 682232]

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [16/12/2011 18:24 36000]

R2 AntiVirSchedulerService;Avira Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/12/2011 18:24 86224]

R2 AntiVirWebService;Avira Protection Web;c:\program files\Avira\AntiVir Desktop\avwebgrd.exe [16/12/2011 18:24 463824]

S1 e373dabc;e373dabc;c:\windows\system32\drivers\e373dabc.sys --> c:\windows\system32\drivers\e373dabc.sys [?]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [10/03/2010 10:14 135664]

S3 esgiguard;esgiguard;\??\c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [?]

S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [11/09/2008 21:10 21344]

S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [10/03/2010 10:14 135664]

S3 HSFHWCD2;HSFHWCD2;c:\windows\system32\drivers\HSFHWCD2.sys [18/02/2005 08:56 201728]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [14/11/2011 09:48 311928]

S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]

.

Contenu du dossier 'Tâches planifiées'

.

2011-12-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-10 09:14]

.

2011-12-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-10 09:14]

.

2011-12-23 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job

- c:\program files\Ask.com\UpdateTask.exe [2011-11-21 01:18]

.

.

------- Examen supplémentaire -------

.

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll

Trusted Zone: mappy.com

Trusted Zone: orange.fr

Trusted Zone: voila.fr\rw.search.ke

Trusted Zone: weborama.fr\orange

TCP: DhcpNameServer = 212.27.40.241 212.27.40.240

DPF: Deployer - hxxp://www.pcthreat.com/autoinstall/shsafeinstall.cab

DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} - hxxp://minitelweb.minitel.com/imin_data/ocx/MDM.cab

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

DPF: {8B1A14AF-E603-4356-B687-1F7D46522DD3} - hxxp://www.mesvacancesenphoto.com/Components/Upload/ImageUploader5.cab

DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab

.

- - - - ORPHELINS SUPPRIMES - - - -

.

AddRemove-CompanionWizard - c:\program files\Common Files\Companion Wizard\compwiz.exe

AddRemove-HijackThis - e:\antivirus\HijackThis.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-12-23 22:01

Windows 5.1.2600 Service Pack 3 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'winlogon.exe'(712)

c:\windows\system32\Ati2evxx.dll

.

- - - - - - - > 'lsass.exe'(768)

c:\program files\Avira\AntiVir Desktop\avsda.dll

.

- - - - - - - > 'explorer.exe'(2520)

c:\windows\system32\mshtml.dll

c:\windows\System32\MSCTF.dll

c:\program files\Avira\AntiVir Desktop\avsda.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\eappprxy.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

c:\program files\Canon\IJPLM\IJPLMSVC.EXE

c:\windows\System32\tcpsvcs.exe

c:\windows\SOUNDMAN.EXE

c:\program files\OrangeHSS\Launcher\Launcher.exe

c:\program files\Avira\AntiVir Desktop\avshadow.exe

c:\program files\OrangeHSS\connectivity\connectivitymanager.exe

c:\program files\OrangeHSS\connectivity\CoreCom\CoreCom.exe

c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\3\AlertModule.exe

c:\program files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe

c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2011-12-23 22:05:04 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-12-23 21:05

.

Avant-CF: 100 141 031 424 octets libres

Après-CF: 101 182 021 632 octets libres

.

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

.

- - End Of File - - CBED0C6C90CDC22332FD587D22336473

Merci de votre aide

(et joyeux Noël)

Modifié le 31 décembre 2011 par jay31

Apollo · le 23 décembre 2011

Bonsoir,

Ne JAMAIS utiliser ComboFix sans qu'un conseiller en sécurité ne te le demande expressément; n'imite pas non plus les procédures données à d'autres utilisateurs!

Ne place pas les rapports entre des balises stp.

Quand tu fais une analyse avec MBAM, fais-la complète et non rapide

Télécharge AdwCleaner par Xplode: Les Téléchargements - Outils de Xplode - AdwCleaner

Enregistre-le sur le bureau (et pas ailleurs).

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

Clique sur Suppression et laisse travailler l'outil.

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

-------------------------

++

jay31 · le 23 décembre 2011

Salut

ok pour les rapport, désolé pour Combofix et voici le rapport demandé

# AdwCleaner v1.402 - Rapport créé le 23/12/2011 à 22:56:05

# Mis à jour le 11/12/11 à 19h par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : xxxxxxxx - xxxxxxxxxxx (Administrateur)

# Exécuté depuis : C:\Documents and Settings\xxxxxxxx\Bureau\adwcleaner.exe

# Option [suppression]

***** [services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\xxxxxxxxxxx\Local Settings\Application Data\AskToolbar

Dossier Supprimé : C:\Program Files\Ask.com

Dossier Supprimé : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Fichier Supprimé : C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

***** [Registre] *****

Clé Supprimée : HKCU\Software\AskToolbar

Clé Supprimée : HKCU\Software\APN

Clé Supprimée : HKCU\Software\Babylon

Clé Supprimée : HKLM\SOFTWARE\AskToolbar

Clé Supprimée : HKLM\SOFTWARE\APN

Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd

Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\Toolbar.DLL

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

***** [Navigateurs] *****

-\\ Internet Explorer v7.0.5730.13

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[s1].txt - [2938 octets] - [23/12/2011 22:56:05]

*************************

Dossier Temporaire : 1 dossier(s)et 0 fichier(s) supprimés

########## EOF - C:\AdwCleaner[s1].txt - [3157 octets] ##########

Modifié le 23 décembre 2011 par jay31

Apollo · le 23 décembre 2011

C'est pour toi que je dis ça, combofix peut avoir de sérieux bugs, et si on n'est pas au couranr, c'est la cata.

ZHPDiag :

Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
Double-clique sur ZHPDiag.exe pour lancer l'installation
- Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

[*]Double-clique sur ZHPDiag pour lancer l'exécution

Important:
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
soit sur Cjoint.fr et copie-colle le lien fourni dans ta réponse.
Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

@++

jay31 · le 24 décembre 2011

Bonjour

voici le rapport :

Lien CJoint.com ALy k aeT0WEE

Jérôme

Apollo · le 24 décembre 2011

Bonjour,

1) Télécharge Navilog1 (par IL-MAFIOSO) Enregistre-le sur ton bureau.

http://per s o.orange.fr/il.mafio s o/Navifix/Navilog1.exe

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.

NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus. Si vous ne savez pas comment faire, reportez-vous à cet article.

Laisse-toi guider. Appuie sur une touche quand on te le demande.

Au menu principal, choisis 1 et valide.

< Ne fais pas le choix 2 >

Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.

Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.

Patiente jusqu'au message "Scan terminé le......"

Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.

Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

PS : le rapport est aussi sauvegardé à la racine du disque dur C:\cleannavi.txt

-------------------

2) ZHPFix :

Ferme toutes les applications ouvertes
Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
Important:
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
Clique sur H .
Copie-colle les lignes ci-dessous dans la fenêtre

[HKCU\Software\Grand Virtual]  
[HKCU\Software\MessengerSkinner]    
[HKLM\Software\PopCap]    
O43 - CFD: 22/01/2011 - 15:33:26 - [0,143] ----D- C:\Program Files\Everest Poker   
O43 - CFD: 22/12/2011 - 17:57:28 - [0,000] ----D- C:\Program Files\Common Files\Companion Wizard    => Infection Diverse  
O61 - LFC:Last File Created 24/12/2011 - 18:38:30 ---A- C:\Documents And Settings\Administrateur\Bureau\nettoyage\explorer.exe   [407872]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\mywebsearch bar uninstall]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\everest casino]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\everest poker]    
C:\Program Files\Enigma Software Group\SpyHunter    
C:\Program Files\Everest Poker   
emptytemp
emptyflash
firewallraz

Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.

Clique sur le bouton GO pour lancer le nettoyage

Valide par Oui la désinstallation des programmes si demandé
Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

@++

jay31 · le 24 décembre 2011

Re

voici le rapport de Navilog

Fix Navipromo version 4.1.1 commencé le 24/12/2011 11:28:25,42

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 05.11.2011 à 20h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Multiprocessor Free : Intel® Pentium® 4 CPU 2.80GHz )

BIOS : BIOS Date: 01/05/04 22:29:58 Ver: 08.00.09

USER : xxxxxxxxxxx ( Administrator )

BOOT : Normal boot

Antivirus : Avira Desktop 12.1.0.18 (Activated)

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:111 Go (Free:94 Go)

D:\ (CD or DVD)

E:\ (USB) - FAT - Total:989 Mo (Free:0 Go)

Recherche executée en mode normal

Aucune Infection Navipromo/Egdaccess trouvée

*** Scan terminé 24/12/2011 11:29:31,71 ***

et le log ZHPDiag

# AdwCleaner v1.402 - Rapport créé le 23/12/2011 à 22:56:05

# Mis à jour le 11/12/11 à 19h par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : xxxxxxxxxxx - xxxxxxxxxxxxx (Administrateur)

# Exécuté depuis : C:\Documents and Settings\xxxxxxxxxxx\Bureau\adwcleaner.exe