Aller au contenu
ninette49

[Résolu] Virus TR/Crypt.ZPACK.Gen2 - aide Combofix

Messages recommandés

Bonjour :bigglasses:

Je viens d'avoir le virus suivant dans mon ordi : TR/Crypt.ZPACK.Gen2

J'avais perdu l'accès à tous mes documents et mon ordi s'est éteint tout seul.

Sur un forum j'ai trouvé une propoistion d'analyse avec Combofix que j'ai suivie. Ca a permis de restaurer l'ensemble de mes documents :chpas: . mais je ne sais pas quoi faire du rapport. Quelqu'un peut il m'aider ? :-?

Merci beaucoup

 

Voici le rapport

 

ComboFix 12-01-29.02 - Nina 29/01/2012 23:04:03.1.2 - x86

Microsoft® Windows Vista Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3068.1457 [GMT 1:00]

Lancé depuis: c:\users\Nina\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

* Un nouveau point de restauration a été créé

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\~Je3voc0nFfwCcJ

c:\programdata\~Je3voc0nFfwCcJr

c:\programdata\gOPYcVGVjRBj.exe

c:\programdata\Je3voc0nFfwCcJ

c:\programdata\Je3voc0nFfwCcJ.exe

c:\programdata\Roaming

c:\users\Nina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Check

c:\users\Nina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Check\System Check.lnk

c:\users\Nina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Check\Uninstall System Check.lnk

c:\users\Nina\Desktop\System Check.lnk

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-12-28 au 2012-01-29 ))))))))))))))))))))))))))))))))))))

.

.

2012-01-29 22:09 . 2012-01-29 22:10 -------- d-----w- c:\users\Nina\AppData\Local\temp

2012-01-29 22:09 . 2012-01-29 22:09 -------- d-----w- c:\users\Default\AppData\Local\temp

2012-01-29 21:55 . 2012-01-29 21:58 -------- d-----w- c:\program files\trend micro

2012-01-29 21:54 . 2012-01-29 21:55 -------- d-----w- C:\rsit

2012-01-29 18:07 . 2012-01-06 04:19 6557240 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{60FEF665-3B27-44BC-A058-C712827EC179}\mpengine.dll

2012-01-09 21:40 . 2012-01-09 21:40 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll

2012-01-09 21:40 . 2012-01-09 21:40 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll

2012-01-09 21:40 . 2012-01-09 21:40 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll

2012-01-09 21:40 . 2012-01-09 21:40 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll

2012-01-07 15:29 . 2012-01-29 21:47 -------- d--h--w- c:\users\Nina\AppData\Roaming\Skype

2012-01-07 15:29 . 2012-01-07 15:30 -------- d-----r- c:\program files\Skype

2012-01-07 15:29 . 2012-01-07 15:29 -------- d--h--w- c:\programdata\Skype

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-12-15 21:50 . 2011-12-15 21:50 653584 ---ha-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

2011-12-07 09:08 . 2011-01-14 00:11 236576 ------w- c:\windows\system32\MpSigStub.exe

2011-11-28 21:16 . 2011-07-20 09:11 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2012-01-09 21:40 . 2011-05-01 11:37 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{38542454-dfb6-44f5-b052-d4e071a3d073}"= "c:\program files\Elf_1.12\prxtbElf0.dll" [2011-05-09 176936]

.

[HKEY_CLASSES_ROOT\clsid\{38542454-dfb6-44f5-b052-d4e071a3d073}]

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{38542454-dfb6-44f5-b052-d4e071a3d073}]

2011-05-09 09:49 176936 ----a-w- c:\program files\Elf_1.12\prxtbElf0.dll

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

2012-01-04 19:20 1514152 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{38542454-dfb6-44f5-b052-d4e071a3d073}"= "c:\program files\Elf_1.12\prxtbElf0.dll" [2011-05-09 176936]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-01-04 1514152]

.

[HKEY_CLASSES_ROOT\clsid\{38542454-dfb6-44f5-b052-d4e071a3d073}]

.

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{38542454-DFB6-44F5-B052-D4E071A3D073}"= "c:\program files\Elf_1.12\prxtbElf0.dll" [2011-05-09 176936]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-01-04 1514152]

.

[HKEY_CLASSES_ROOT\clsid\{38542454-dfb6-44f5-b052-d4e071a3d073}]

.

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-18 1233920]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]

"NSUFloatingUI"="c:\program files\Sony\Network Utility\LANUtil.exe" [2008-07-30 262144]

"HP Deskjet 3070 B611 series (NET)"="c:\program files\HP\HP Deskjet 3070 B611 series\Bin\ScanToPCActivationApp.exe" [2011-06-08 1804648]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-10-13 17351304]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-11-25 98304]

"IAStorIcon"="c:\program files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe" [2010-11-05 283160]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe" [2011-09-08 888488]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]

"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2011-03-24 49208]

"Microsoft Default Manager"="c:\program files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]

.

c:\users\Nina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Alertes de surveillance de l'encre - HP Deskjet 3070 B611 series (réseau).lnk - c:\windows\system32\RunDll32.exe [2006-11-2 44544]

OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]

2008-07-15 16:04 98304 ----a-w- c:\windows\System32\VESWinlogon.dll

.

S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]

.

.

Contenu du dossier 'Tâches planifiées'

.

2012-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-09 17:42]

.

2012-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-09 17:42]

.

2012-01-29 c:\windows\Tasks\HP Photo Creations Messager.job

- c:\programdata\HP Photo Creations\MessageCheck.exe [2011-02-15 10:11]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll

TCP: DhcpNameServer = 212.27.40.241 212.27.40.240

FF - ProfilePath - c:\users\Nina\AppData\Roaming\Mozilla\Firefox\Profiles\xd5eerp8.default\

FF - prefs.js: network.proxy.type - 0

.

- - - - ORPHELINS SUPPRIMES - - - -

.

HKCU-Run-gOPYcVGVjRBj.exe - c:\programdata\gOPYcVGVjRBj.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-01-29 23:10

Windows 6.0.6001 Service Pack 1 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

Heure de fin: 2012-01-29 23:12:29

ComboFix-quarantined-files.txt 2012-01-29 22:12

.

Avant-CF: 85 234 397 184 octets libres

Après-CF: 89 008 209 920 octets libres

.

- - End Of File - - C9E76BFEFEA9265E47AD6494454E6112

Modifié par ninette49

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Ninette49.

 

Sur un forum j'ai trouvé une proposition d'analyse avec Combofix que j'ai suivie

 

Tu ne dois pas imiter les procédures données à d'autres utilisateurs car chaque problème est différent et ComboFix ne doit pas être utilisé avant qu'un conseiller (ici du moins) ne le juge nécessaire. Il peut être dangereux, car l'auteur est un humain, et tout le monde sait que l'erreur est humaine.

 

Un bug du tool est ton pc est bon à formater... ;)

 

Dans ton cas, Combofix n'était pas nécessaire; RogueKiller et MBAM font très bien l'affaire et parfois TDSSKiller en sus.

 

Bref:

 

Télécharge AdwCleaner par Xplode: Les Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

 

A lire absolument: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows (quand tu auras terminé ici car la liste est loooongue).

 

----------------------------

Après avoir posté le rapport d'AdwCleaner:

 

ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
     
     
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis. tourneviszhpdiag.jpg

[*]Clique sur la loupe loupe_10.jpg pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

 

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir

Merci pour la réponse !

La prochaine fois je viendrai poser directement la question. Ca sera plus sûr !!!

 

Alors voilà 1ere étape faite et voici le rapport d'AdwCleaner.

 

# AdwCleaner v1.408 - Rapport créé le 30/01/2012 à 19:17:54

# Mis à jour le 29/01/2012 par Xplode

# Système d'exploitation : Windows Vista Home Premium Service Pack 1 (32 bits)

# Nom d'utilisateur : Nina - PC-DE-NINA (Administrateur)

# Exécuté depuis : C:\Users\Nina\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Users\Nina\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}

Dossier Supprimé : C:\Users\Nina\AppData\Local\AskToolbar

Dossier Supprimé : C:\Users\Nina\AppData\Local\Conduit

Dossier Supprimé : C:\Users\Nina\AppData\LocalLow\AskToolbar

Dossier Supprimé : C:\Users\Nina\AppData\LocalLow\Conduit

Dossier Supprimé : C:\Users\Nina\AppData\LocalLow\ConduitEngine

Dossier Supprimé : C:\Users\Nina\AppData\LocalLow\PriceGong

Dossier Supprimé : C:\Program Files\Ask.com

Dossier Supprimé : C:\Program Files\Conduit

Dossier Supprimé : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Dossier Supprimé : C:\Users\Nina\AppData\Roaming\Mozilla\Firefox\Profiles\xd5eerp8.default\extensions\toolbar@ask.com

 

***** [Registre] *****

 

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2857572

Clé Supprimée : HKCU\Software\Ask.com

Clé Supprimée : HKCU\Software\AskToolbar

Clé Supprimée : HKCU\Software\APN

Clé Supprimée : HKCU\Software\AppDataLow\Toolbar

Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit

Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong

Clé Supprimée : HKLM\SOFTWARE\AskToolbar

Clé Supprimée : HKLM\SOFTWARE\APN

Clé Supprimée : HKLM\SOFTWARE\Conduit

Clé Supprimée : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy

Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine

Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd

Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v7.0.6001.18000

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v9.0.1 (fr)

 

Profil : xd5eerp8.default

Fichier : C:\Users\Nina\AppData\Roaming\Mozilla\Firefox\Profiles\xd5eerp8.default\prefs.js

 

Supprimée : user_pref("extensions.asktb.AviraIDW-TS", "1319920075537");

Supprimée : user_pref("extensions.asktb.AviraIDW-XML", "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\r\n<button xm[...]

Supprimée : user_pref("extensions.asktb.InstallDir", "C:\\Program Files\\Ask.com\\");

Supprimée : user_pref("extensions.asktb.cbid", "JM");

Supprimée : user_pref("extensions.asktb.config-updated", false);

Supprimée : user_pref("extensions.asktb.cr-o", "");

Supprimée : user_pref("extensions.asktb.crumb", "2011.09.03+08.15.17-toolbar003iad-FR-UGFyaXMsRnJhbmNl");

Supprimée : user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&[...]

Supprimée : user_pref("extensions.asktb.dtid", "YYYYYYYYFR");

Supprimée : user_pref("extensions.asktb.dyn-weather-do-locid-lookup-weatherWidget", false);

Supprimée : user_pref("extensions.asktb.dyn-weather-locid-weatherWidget", "FRXX0076");

Supprimée : user_pref("extensions.asktb.dyn-weather-tempunit-weatherWidget", "C");

Supprimée : user_pref("extensions.asktb.first-restart-after-config-update", true);

Supprimée : user_pref("extensions.asktb.fresh-install", false);

Supprimée : user_pref("extensions.asktb.guid", "00d3356f-1307-4f84-a123-1098920ae729");

Supprimée : user_pref("extensions.asktb.hxxp-header-whitelist-uri", "hxxp://sp.ask.com/toolbar/config/main/asktb[...]

Supprimée : user_pref("extensions.asktb.if", "first");

Supprimée : user_pref("extensions.asktb.l", "dis");

Supprimée : user_pref("extensions.asktb.last-config-req", "1327947178869");

Supprimée : user_pref("extensions.asktb.last-v", "3.14.0.100010");

Supprimée : user_pref("extensions.asktb.locale", "fr_FR");

Supprimée : user_pref("extensions.asktb.location", "Paris,France");

Supprimée : user_pref("extensions.asktb.notification-shown", true);

Supprimée : user_pref("extensions.asktb.o", "100000080");

Supprimée : user_pref("extensions.asktb.overlay-reloaded-using-restart", true);

Supprimée : user_pref("extensions.asktb.qsrc", "2871");

Supprimée : user_pref("extensions.asktb.r", "3");

Supprimée : user_pref("extensions.asktb.sa", "NO");

Supprimée : user_pref("extensions.asktb.search-suggestions-enabled", true);

Supprimée : user_pref("extensions.asktb.silent-upgrade", true);

Supprimée : user_pref("extensions.asktb.silent-upgrade-from-pre-newtabs-build", false);

Supprimée : user_pref("extensions.asktb.themeid", "");

Supprimée : user_pref("extensions.asktb.to", "");

Supprimée : user_pref("extensions.asktb.v", "3.14.0.100010");

Supprimée : user_pref("extensions.enabledAddons", "toolbar@ask.com:3.14.0.100010,{972ce4c6-7e08-4474-a285-320819[...]

 

-\\ Google Chrome v [impossible d'obtenir la version]

 

Fichier : C:\Users\Nina\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s1].txt - [7396 octets] - [30/01/2012 19:17:54]

 

*************************

 

Dossier Temporaire : 6 dossier(s) et 5 fichier(s) supprimés

 

########## EOF - C:\AdwCleaner[s1].txt - [7616 octets] ##########

Partager ce message


Lien à poster
Partager sur d’autres sites

Re ;)

 

ZHPFix :

 

  • Ferme toutes les applications ouvertes
     
  • Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
    Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
     
  • Clique sur H h_zhpf10.jpg.
     
  • Copie-colle les lignes ci-dessous dans la fenêtre

 

R3 - URLSearchHook: Elf 1.12 Toolbar - {38542454-dfb6-44f5-b052-d4e071a3d073} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\Elf_1.12\prxtbElf0.dll  
R3 - URLSearchHook: Elf 1.12 Toolbar - {38542454-dfb6-44f5-b052-d4e071a3d073} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\Elf_1.12\prxtbElf0.dll  
O2 - BHO: Elf 1.12 - {38542454-dfb6-44f5-b052-d4e071a3d073} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Elf_1.12\prxtbElf0.dll  
O3 - Toolbar: Elf 1.12 Toolbar - {38542454-dfb6-44f5-b052-d4e071a3d073} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Elf_1.12\prxtbElf0.dll  
[MD5.00000000000000000000000000000000] [APT] [scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe (.not file.)   
O42 - Logiciel: Elf 1.12 Toolbar - (.Elf 1.12.) [HKLM] -- Elf_1.12 Toolbar  
[HKCU\Software\Ask.com.tmp]   
[MD5.197215658B8015182192E1EBCA3BBCC3] [sPRF][07/01/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Nina\AppData\Local\Temp\AskSLib.dll   [246440]  
[HKCU\Software\Ask.com.tmp]    
C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar   
emptytemp
emptyflash
firewallraz 

 

  • Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
     
    Clique sur le bouton GO pour lancer le nettoyage

 

  • Valide par Oui la désinstallation des programmes si demandé
     
  • Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
     
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
    Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci Apollo !!!

 

Je n'ai pas eu à confirmer des désinstallation de programmes.

Le rapport était sur le bureau finalement. j'espère que c'est le bon.

 

Voilà

 

 

Rapport de ZHPFix 1.12.3379 par Nicolas Coolman, Update du 22/01/2011

Fichier d'export Registre :

Run by Nina at 30/01/2012 20:23:57

Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Logiciel(s) ==========

ABSENT Uninstall Process: c:\program files\elf_1.12\uninstall.exe

 

========== Module(s) mémoire ==========

SUPPRIME Memory Module: C:\Users\Nina\AppData\Local\Temp\AskSLib.dll

 

========== Clé(s) du Registre ==========

SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Elf_1.12 Toolbar]

SUPPRIME Key: CLSID BHO: {38542454-dfb6-44f5-b052-d4e071a3d073}

SUPPRIME Key: HKCU\Software\Ask.com.tmp

ABSENT Key: HKCU\Software\Ask.com.tmp

 

========== Valeur(s) du Registre ==========

SUPPRIME URLSearchHook: {38542454-dfb6-44f5-b052-d4e071a3d073}

SUPPRIME Toolbar: {38542454-dfb6-44f5-b052-d4e071a3d073}

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (Public) : {DA375E8B-EF38-498D-98C9-2DE1D5A776D8}

SUPPRIME FirewallRaz (Public) : {F42F3D71-F4F4-4142-859E-9A8D9224F090}

SUPPRIME FirewallRaz (None) : {2C570EC7-815A-41EA-80C6-1A09B4A31786}

 

========== Dossier(s) ==========

SUPPRIME Temporaires Windows: : 70

SUPPRIME Flash Cookies: 281

 

========== Fichier(s) ==========

SUPPRIME File: c:\program files\elf_1.12\prxtbelf0.dll

ABSENT File: c:\program files\elf_1.12\prxtbelf0.dll

SUPPRIME File: c:\users\nina\appdata\local\temp\askslib.dll

ABSENT Folder/File: c:\windows\system32\tasks\scheduled update for ask toolbar

SUPPRIME Temporaires Windows: : 27

SUPPRIME Flash Cookies: 114

 

========== Tache planifiée ==========

SUPPRIME Task: Scheduled Update for Ask Toolbar

 

 

========== Récapitulatif ==========

1 : Module(s) mémoire

4 : Clé(s) du Registre

7 : Valeur(s) du Registre

2 : Dossier(s)

6 : Fichier(s)

1 : Logiciel(s)

1 : Tache planifiée

 

 

End of clean in 00mn 06s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 30/01/2012 20:23:57 [2104]

 

 

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Ok,

 

1) Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

  • Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  • L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  • Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  • Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

 

---------

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.60.0.1800 Download

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

param-mbam-3088176.jpg

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Je ne sais pas ce qui s'est passé... :chpas:

Après une heure d'analyse par MBAM, mon ordi s'est éteint tout seul et a redémarré :chpas:

 

Je relance l'analyse et je reposte ce que ça donne.

 

@+

Partager ce message


Lien à poster
Partager sur d’autres sites

Alors fais d'abord une analyse rapide.

 

Le pc qui redémarre peut avoir plusieurs causes mais pas forcément infectieuses; il suffit d'une baisse de tension secteur et c'est goal.

 

Si ça se reproduit, dis-le moa.

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai fait une analyse rapide qui n'a rien détecté. Pourtant tout à l'heure il y avait deux éléments détects pendant l'analyse complète...

 

Voilà le rapport

Malwarebytes Anti-Malware (Essai) 1.60.0.1800

www.malwarebytes.org

 

Version de la base de données: v2012.01.30.03

 

Windows Vista Service Pack 1 x86 NTFS

Internet Explorer 7.0.6001.18000

Nina :: PC-DE-NINA [administrateur]

 

Protection: Activé

 

30/01/2012 22:04:58

mbam-log-2012-01-30 (22-04-58).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 170624

Temps écoulé: 6 minute(s), 6 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×