Virus « gendarmerie nationale »

[titou1234]

bonjour à toutes et tous

je viens vers vous car depuis hier soir mon pc à été bloqué par une page soit disant de la gendarmerie nationale et me demandant de payer 200€ pour débloquer mon pc

apres quelques recherche (avec un autre pc) j'ai pu voir qu'il s'agissait d'un virus qui se répandait rapidement

j'ai pu voir qu'il y avait deja de nombreux post sur ce forum pour ce meme probleme ,j'ai donc essayer de suivre les indications données en esperant que ca résoudrait également mon probleme ...mais non!

donc la seule chose que je puisse faire avec mon pc est de démarrer en invite de commande en mode sans echec (meme en mode sans echec je n'ai pas acces au bureau)

j'ai reussi a faire un scan avec mbam (sans pouvoir le mettre à jour ,derniere maj environ 40 jours) il a trouvé des fichiers infecté mais pas celui qui me bloque

voila le rapport que j'ai pu recuperer

 

Malwarebytes Anti-Malware (Trial) 1.60.0.1800

www.malwarebytes.org

 

Database version: v2011.12.24.05

 

Windows XP Service Pack 3 x86 NTFS (Safe Mode)

Internet Explorer 8.0.6001.18702

Administrateur :: ARNAUD [administrator]

 

Protection: Disabled

 

05/02/2012 23:50:00

mbam-log-2012-02-05 (23-50-00).txt

 

Scan type: Quick scan

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM

Scan options disabled: P2P

Objects scanned: 179684

Time elapsed: 8 minute(s), 59 second(s)

 

Memory Processes Detected: 0

(No malicious items detected)

 

Memory Modules Detected: 0

(No malicious items detected)

 

Registry Keys Detected: 12

HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.

HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> No action taken.

HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> No action taken.

HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> No action taken.

HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> No action taken.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.

HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.

HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> No action taken.

HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> No action taken.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.

HKCR\AppID\{D2083641-E57F-4eab-BB85-0582424F4A29} (Adware.HotBar.CP) -> Quarantined and deleted successfully.

 

Registry Values Detected: 2

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: VShareTB -> No action taken.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: -> No action taken.

 

Registry Data Items Detected: 1

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1) Good: (http://www.google.com) -> Quarantined and repaired successfully.

 

Folders Detected: 0

(No malicious items detected)

 

Files Detected: 2

C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> No action taken.

C:\Documents and Settings\A\Local Settings\Temp\wpbt0.dll (Exploit.Drop) -> Quarantined and deleted successfully.

 

(end)

 

j'ai aussi fais un scan avec roguekiller (scan puis supprime mais j'ai pas garder le rapport et je ne le trouve plus)

puis aussi tdsskiller (mais j'ai que des objet inconnu classé médium ,donc j'ai tout mis en quarantaine au premier scan puis j'ai laissé skip apres avoir fais un deuxieme scan

 

y a t-il une solution a ce probleme? est ce que je pourrais recuperer certaine donné perso?

merci pour votre aide

[pear]

Bonsoir,

 

Avant tout, tenter une restauration système à une date antérieure.

Lancer la restauration en ligne de commande

vous ne pouvez démarrer Windows en boot normal, ni en mode sans échec,

On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

1) Si vous n'avez pas accès à internet

Démarrer en Mode sans échec avec prise en charge du réseau

 

Relancez RogueKiller

Relancez Mbam Supprimez tout ce qu'il trouve.

 

2) Si l'infection persiste:

Démarrer en Mode sans échec avec Invite de commande.

 

Première option,si vous avez le cd Windows:

Lancer Démarrer->Exécuter

SFC /scannow

Le scan devrait pouvoir restaurer le fichier explorer.exe

 

Sinon, seconde option:

Rechercer c:\Windows \twexx32.dll

et si vous le trouvez

Démarrer->Exécuter->Regedit

Aller à

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Aller à shell dans la colonne de droite

Vous y voyez, comme donnée quelque chose comme C:\Documents and settings\xxxx\Desktop\machin.exe

ou "%Appdata%\mahmud.exe

Ce machin est variable .Notez le

clic droit shell -> Modifier

dans Données remplacer C:\Documents and settings\xxxx\Desktop\machin.exe par c:\Windows \twexx32.dll

 

Remontez à la barre de Regedit->Edition->Rechercher tapez le machin trouvé précédemment

 

Vous devriez le trouver là:

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603

et là

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

 

Clic droit sur la ligne où il apparait->Supprimer

Nettoyer:

C:\Documents and settings\xxxx\Desktop\machin.exe

C:\Users\xxxx\AppData\Roaming\mahmud.exe

%Temp%\JhrIdKrdhd8LhgDi8yt.tmp

 

Redémarrer en mode normal

 

Rechercer c:\Windows \twexx32.dll

et si vous le trouvez

Renommez le explorer.exe

Démarrer->Exécuter->Regedit

Aller à

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Aller à shell dans la colonne de droite

clic droit shell -> Modifier

dans Données remplacer twexx32.dll par explorer.exe

 

Sinon,si vous ne trouvez pas twexx32.dll

Téléchargez le explorer.exe correspondant à votre système :

 

http://www.malekal.c...orer_XP_SP2.exe

http://www.malekal.c...r_Vista_SP2.exe

http://www.malekal.c...r_Seven_SP1.exe

 

Aller dans le dossier C:Windows

Renommer explorer.exe explorer.old

Copier le explorer.exe que vous avez téléchargé

Démarrer->Exécuter->Regedit

Aller à

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Aller à shell.

clic droit shell -> Modifier

dans Données remplacer C:\Documents and settings\xxxx\Desktop\machin.exe par Explorer.exe

 

Redémarrez, vous devriez avoir accès à votre système.

 

4)Si le mode sans échec n'est pas accessible

Lancer Otlpe

 

Dans le nettoyage:

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"shell"="c:\Windows \twexx32.dll"

 

ou

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"shell"="explorer.exe"

Modifié le 8 février 2012 par pear

[titou1234]

bonjour

ca y est le virus a disparu (du moins je pense ,apparement le pc fonctionne comme il faut)

 

en ayant restaurer le systeme par la fenetre cmd j'ai pu acceder a mon bureau

par contre firefox ne marchait plus ,j'ai du remettre ie comme navigateur par defaut pour faire les mise a jour de roguekiller et mbam

en le reinstallant par dessus ca c'est remis a marcher donc c'est bon ca aussi

 

veux tu voir les rapport de roguekiller et mbam au cas ou?

 

au fait le lien sur le site de malekal pour explorer.exe pour xp ne marche pas (juste pour info)

 

merci beaucoup

[pear]

veux tu voir les rapport de roguekiller et mbam au cas ou?

 

Oui, svp.

[titou1234]

voila les rapports

ceux de roguekiller (apres le scan et apres suppression)

 

RogueKiller V7.0.3 [06/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: A [Droits d'admin]

Mode: Recherche -- Date : 07/02/2012 21:24:39

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 5 ¤¤¤

[] HKLM\[...]\Windows : () -> ACCESS DENIED

[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND

[] HKLM\[...]\Windows : () -> ACCESS DENIED

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 www.1001namen.com

127.0.0.1 1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 100sexlinks.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3160021A +++++

--- User ---

[MBR] 4e7d4000d0dcb277102038f0b1a957ec

[bSP] 0a3edfa42f17a98374e1fb58359e9383 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 77618 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 158963175 | Size: 75006 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

 

le deuxieme

 

RogueKiller V7.0.3 [06/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: A [Droits d'admin]

Mode: Suppression -- Date : 07/02/2012 21:24:50

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 5 ¤¤¤

[] HKLM\[...]\Windows : () -> ACCESS DENIED

[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)

[] HKLM\[...]\Windows : () -> ACCESS DENIED

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 www.1001namen.com

127.0.0.1 1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 100sexlinks.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3160021A +++++

--- User ---

[MBR] 4e7d4000d0dcb277102038f0b1a957ec

[bSP] 0a3edfa42f17a98374e1fb58359e9383 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 77618 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 158963175 | Size: 75006 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

 

et le rapport de mbam

 

Malwarebytes Anti-Malware (Essai) 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.02.07.05

 

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)

Internet Explorer 8.0.6001.18702

A :: ARNAUD [administrateur]

 

Protection: Désactivé

 

2012-02-07 21:30

mbam-log-2012-02-07 (21-30-04).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 291627

Temps écoulé: 34 minute(s), 13 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 16

HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Aucune action effectuée.

HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Aucune action effectuée.

HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Aucune action effectuée.

HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Aucune action effectuée.

HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Aucune action effectuée.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Aucune action effectuée.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Aucune action effectuée.

HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Aucune action effectuée.

HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Aucune action effectuée.

HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Aucune action effectuée.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Aucune action effectuée.

HKCR\AppID\{D2083641-E57F-4eab-BB85-0582424F4A29} (Adware.HotBar.CP) -> Mis en quarantaine et supprimé avec succès.

 

Valeur(s) du Registre détectée(s): 4

HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: ;áÃzÊ;XA³0öm»Áµ -> Aucune action effectuée.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: VShareTB -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: -> Aucune action effectuée.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: -> Aucune action effectuée.

 

Elément(s) de données du Registre détecté(s): 2

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Mauvais: (http://startsear.ch/?aff=1'>http://startsear.ch/?aff=1) Bon: (http://www.google.com'>http://www.google.com) -> Mis en quarantaine et réparé avec succès

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Mauvais: (http://startsear.ch/?aff=1) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 5

C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Aucune action effectuée.

C:\Documents and Settings\A\Mes documents\Téléchargements\u992.exe (PUP.UltraReach) -> Aucune action effectuée.

C:\Documents and Settings\A\Local Settings\Temporary Internet Files\Content.IE5\KRSQDUN8\readme[1].exe (Trojan.VUPX.ON1) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{E7564C5D-000A-489D-9F09-AF3DB5F63A48}\RP1602\A0133834.exe (Trojan.VUPX.ON1) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{E7564C5D-000A-489D-9F09-AF3DB5F63A48}\RP1602\A0133835.exe (Trojan.VUPX.ON1) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[pear]

Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le tournevis et choisissez Tous

En cas de blocage, sur O80 par exemple, cliquez sur le tournevis pour le décocher

 

Clic sur la Loupe pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[titou1234]

voici le premier rapport

 

recherche avec awdcleaner

 

# AdwCleaner v1.408 - Rapport créé le 09/02/2012 à 21:05:30

# Mis à jour le 29/01/2012 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : A - ARNAUD (Administrateur)

# Exécuté depuis : C:\Documents and Settings\A\Bureau\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Présent : C:\Documents and Settings\A\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}

Dossier Présent : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\Conduit

Dossier Présent : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\ConduitEngine

Dossier Présent : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\extensions\[email protected]

Fichier Présent : C:\Program Files\Mozilla Firefox\Plugins\npvsharetvplg.dll

Fichier Présent : C:\Program Files\Windows live\messenger\msimg32.dll

Fichier Présent : C:\WINDOWS\system32\conduitEngine.tmp

Fichier Présent : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\searchplugins\Startsear.xml

 

***** [Registre] *****

 

[*] Clé Présente : HKCU\Software\TBSB09718

[*] Clé Présente : HKLM\SOFTWARE\Classes\Toolbar.CT2504091

[*] Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.TBSB09718.1

[*] Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TBSB09718.TBSB09718Toolbar

Clé Présente : HKCU\Software\Babylon

Clé Présente : HKLM\SOFTWARE\Conduit

Clé Présente : HKLM\SOFTWARE\Classes\Conduit.Engine

Clé Présente : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher.1

Clé Présente : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher

Clé Présente : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO.1

Clé Présente : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO

Clé Présente : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}

Clé Présente : HKLM\SOFTWARE\Microsoft\RFC1156Agent

Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}

Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3}

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]

Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v10.0 (fr)

 

Profil : n9wzh3s1.default

Fichier : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\prefs.js

 

Présente : user_pref("browser.search.defaultengine", "Web Search");

Présente : user_pref("browser.search.defaultenginename", "Web Search");

Présente : user_pref("browser.search.order.1", "Web Search");

Présente : user_pref("keyword.URL", "hxxp://startsear.ch/?aff=1&src=sp&cf=7eb21b96-04c2-11e1-b8f6-00016cc66fa3&[...]

 

*************************

 

AdwCleaner[R1].txt - [4827 octets] - [09/02/2012 21:05:30]

 

########## EOF - C:\AdwCleaner[R1].txt - [4955 octets] ##########

[titou1234]

le deuxieme apres suppression

 

# AdwCleaner v1.408 - Rapport créé le 09/02/2012 à 21:15:10

# Mis à jour le 29/01/2012 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : A - ARNAUD (Administrateur)

# Exécuté depuis : C:\Documents and Settings\A\Bureau\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Documents and Settings\A\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}

Dossier Supprimé : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\Conduit

Dossier Supprimé : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\ConduitEngine

Dossier Supprimé : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\extensions\[email protected]

Fichier Supprimé : C:\Program Files\Mozilla Firefox\Plugins\npvsharetvplg.dll

Fichier Supprimé : C:\Program Files\Windows live\messenger\msimg32.dll

Fichier Supprimé : C:\WINDOWS\system32\conduitEngine.tmp

Fichier Supprimé : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\searchplugins\Startsear.xml

 

***** [Registre] *****

 

[*] Clé Supprimée : HKCU\Software\TBSB09718

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2504091

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.TBSB09718.1

[*] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TBSB09718.TBSB09718Toolbar

Clé Supprimée : HKCU\Software\Babylon

Clé Supprimée : HKLM\SOFTWARE\Conduit

Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine

Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher.1

Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher

Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO.1

Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent

Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v10.0 (fr)

 

Profil : n9wzh3s1.default

Fichier : C:\Documents and Settings\A\Application Data\Mozilla\Firefox\Profiles\n9wzh3s1.default\prefs.js

 

Supprimée : user_pref("browser.search.defaultengine", "Web Search");

Supprimée : user_pref("browser.search.defaultenginename", "Web Search");

Supprimée : user_pref("browser.search.order.1", "Web Search");

Supprimée : user_pref("keyword.URL", "hxxp://startsear.ch/?aff=1&src=sp&cf=7eb21b96-04c2-11e1-b8f6-00016cc66fa3&[...]

 

*************************

 

AdwCleaner[R1].txt - [4956 octets] - [09/02/2012 21:05:30]

AdwCleaner[s1].txt - [4934 octets] - [09/02/2012 21:15:10]

 

*************************

 

Dossier Temporaire : 150 dossier(s) et 98 fichier(s) supprimés

 

########## EOF - C:\AdwCleaner[s1].txt - [5157 octets] ##########

[titou1234]

zhp n'a pas l'air de marcher

lors du scan il bloque

tout d'abord il affiche des message d'erreur et puis bloque a 61%

 

 

j'ai essayer "annuler" ou "continuer" ca fais pareil ,aussi il faut cliquer plusieurs fois pour qu'il parte ce message