[Résolu] Suspicion de Rootkit

[rolandro]

Voici un autre envoi du rapport ZHPDiag.

 

Rien de plus du côté d'OTM. Voici ce que j'ai obtenu

 

All processes killed

========== FILES ==========

File/Folder C:\Program Files\Fichiers communs\Microsoft Shared\Triedit\{9F37A269-5C7E-496e-8514-E11CD791864}.sys not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Default User

->Temp folder emptied: 984208 bytes

->Temporary Internet Files folder emptied: 32902 bytes

->Flash cache emptied: 116 bytes

 

User: All Users

 

User: NetworkService

->Temp folder emptied: 0 bytes

 

N'est-ce pas AVAST qui bloque le processus?

Modifié le 17 mars 2012 par Dylav
Hébergement d'un rapport trop volumineux ;o)

[pear]

Spybot, totalement obsolète va être désinstallé.

Vous pourriez utiliser Mbam (Malewares Bytes)pour le remplacer.

Téléchargez MBAM

ICI

ou LA

Vous devez faire ceci, avant de lancer Zhpfix:

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

Si vous ne trouvez pas Snapshots, poursuivez la procédure sans vous en préoccuper

 

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H-

 

[MD5.3E0724E99C129D0946279D7118482185] - (.Discordia, LTD - Data Manager.) -- C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.EXE [985488] [PID.3264] => Infection BT (Adware.Bandoo)

M3 - MFPP: Plugins - [roland bussone] -- C:\Program Files\Mozilla FireFox\searchplugins\SearchquWebSearch.xml => Infection BT (Adware.Bandoo)

O2 - BHO: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} . (.Pas de propriétaire - Searchqu Toolbar Link Library.) -- C:\Program Files\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll => Infection BT (Adware.Bandoo)

O3 - Toolbar: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} . (.Pas de propriétaire - Searchqu Toolbar Link Library.) -- C:\Program Files\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll => Infection BT (Adware.Bandoo)

O4 - HKLM\..\Run: [DATAMNGR] . (.Discordia, LTD - Data Manager.) -- C:\Program Files\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe => Infection BT (Adware.Bandoo)

O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu MediaBar => Infection BT (Adware.Bandoo)

[HKCU\Software\Babylon] => Infection BT (Toolbar.Babylon)

[HKCU\Software\DataMngr] => Infection PUP (PUP.BearShare)

[HKCU\Software\PriceGong] => Infection BT (Adware.PriceGong)

[HKCU\Software\searchqutb] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Bandoo] => Infection PUP (Adware.Bandoo)

[HKLM\Software\DataMngr] => Infection PUP (PUP.BearShare)

[HKLM\Software\SearchquMediabarTb] => Infection PUP (Adware.Bandoo)

O43 - CFD: 09/02/2011 - 21:41:54 - [4.207] ----D- C:\Program Files\Windows Searchqu Toolbar => Infection BT (Adware.Bandoo)

O43 - CFD: 12/04/2011 - 21:29:14 - [0.091] ----D- C:\Program Files\OfferBox => Infection PUP (PUP.OfferBox)

O43 - CFD: 06/04/2007 - 19:11:04 - [1.115] ----D- C:\Documents and Settings\roland bussone\Application Data\BitDownload => Infection LOP (Trojan.Swizzor)

O43 - CFD: 11/02/2009 - 19:10:36 - [0.001] ----D- C:\Documents and Settings\roland bussone\Application Data\Babylon => Infection BT (Toolbar.Babylon)

O43 - CFD: 09/02/2011 - 21:42:08 - [0.035] ----D- C:\Documents and Settings\roland bussone\Application Data\searchqutb => Infection PUP (Adware.Bandoo)

O43 - CFD: 12/04/2011 - 21:29:20 - [0.250] ----D- C:\Documents and Settings\roland bussone\Application Data\OfferBox => Infection PUP (PUP.OfferBox)

O43 - CFD: 12/12/2011 - 17:17:26 - [0.237] ----D- C:\Documents and Settings\roland bussone\Application Data\PriceGong => Infection BT (Adware.PriceGong)

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]:Shell => Infection FakeAlert (Trojan.FakeAlert)

[HKLM\Software\Classes\AppID\bandoocore.exe] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Searchqu MediaBar] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\bandoocore.bandoocore] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\bandoocore.bandoocore.1] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\bandoocore.resourcesmngr] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\bandoocore.resourcesmngr.1] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\bandoocore.settingsmngr] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\bandoocore.settingsmngr.1] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\bandoocore.statisticmngr] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\bandoocore.statisticmngr.1] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\AppID\{1301a8a5-3dfb-4731-a162-b357d00c9644}] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}] => Infection PUP (BearShare)

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624f4-c5dd-4e1d-bdd0-1e9c9b7799cc}] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}] => Infection PUP (BearShare)

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}] => Infection PUP (Adware.Bandoo)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7FF99715-3016-4381-84CE-E4E4C9673020}] => Infection PUP (Adware.Bandoo)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7FF99715-3016-4381-84CE-E4E4C9673020}] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7FF99715-3016-4381-84CE-E4E4C9673020}] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}] => Infection PUP (BearShare)

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9c8a3ca5-889e-4554-beec-ec0876e4e96a}] => Infection PUP (Adware.Bandoo)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D5792AA9-D373-4039-8670-2CDAB6A71F15}] => Infection BT (BitRoll BitTorrent Client)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D5792AA9-D373-4039-8670-2CDAB6A71F15}] => Infection BT (BitRoll BitTorrent Client)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}] => Infection PUP (Adware.Bandoo)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f9189560-573a-4fde-b055-ae7b0f4cf080}] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Classes\Interface\{ff871e51-2655-4d06-aed5-745962a96b32}] => Infection PUP (Adware.Bandoo)

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchqu mediabar] => Infection PUP (Adware.Bandoo)

C:\Program Files\OfferBox => Infection PUP (PUP.OfferBox)

C:\Program Files\Windows Searchqu Toolbar => Infection BT (Adware.Bandoo)

C:\Documents and Settings\roland bussone\Application Data\Babylon => Infection BT (Toolbar.Babylon)

C:\Documents and Settings\roland bussone\Application Data\BitDownload => Infection LOP (Trojan.Swizzor)

C:\Documents and Settings\roland bussone\Application Data\OfferBox => Infection PUP (PUP.OfferBox)

C:\Documents and Settings\roland bussone\Application Data\PriceGong => Infection BT (Adware.PriceGong)

C:\Documents and Settings\roland bussone\Application Data\searchqutb => Infection PUP (Adware.Bandoo)

O43 - CFD: 08/06/2007 - 16:10:28 - [29.904] ----D- C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy

O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\BIN\ImpCnt.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Content Importer.) -- C:\Program Files\IncrediMail\BIN\ImpCnt.exe

O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\BIN\IMApp.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Tray Application.) -- C:\Program Files\IncrediMail\BIN\IMApp.exe

O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\BIN\ImNotfy.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Notifier.) -- C:\Program Files\IncrediMail\BIN\ImNotfy.exe

O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\BIN\ImLpp.exe" [Enabled] .(...) -- C:\Program Files\IncrediMail\BIN\ImLpp.exe

O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\BIN\IMSetup.exe" [Enabled] .(.Pas de propriétaire - IncrediMail Setup.) -- C:\Program Files\IncrediMail\BIN\IMSetup.exe

O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\BIN\IncrediMail_Install.exe" [Enabled] .(.Pas de propriétaire - IncrediMail installer.) -- C:\Program Files\IncrediMail\BIN\IncrediMail_Install.exe

O47 - AAKE:Key Export SP - "C:\WINDOWS\isass\update.ex`" [Enabled] .(...) -- C:\WINDOWS\isass\update.exl (.not file.) => Fichier absent

O47 - AAKE:Key Export SP - "C:\WINDOWS\outs\mediaplayer.exe" [Enabled] .(...) -- CC:\WINDOWS\outs\mediaplayer.exe (.not file.) => Fichier absent

O51 - MPSK:{0b9a8c22-72f7-11e0-a21b-001302388979}\AutoRun\command. (...) -- C:\WINDOWS\system32\demarrer.html (.not file.) => Fichier absent

O51 - MPSK:{41378cb8-f909-11de-9f5f-001302388979}\AutoRun\command. (...) -- C:\WINDOWS\system32\demarrer.html (.not file.) => Fichier absent

O51 - MPSK:{82e5401a-41bb-11df-9fe1-001302388979}\AutoRun\command. (...) -- C:\WINDOWS\system32\demarrer.html (.not file.) => Fichier absent

O53 - SMSR:HKLM\...\startupreg\AdBlocker [Key] . (...) -- C:\Program Files\3B Software\3B Ad Blocker Pro\AdBlocker.exe (.not file.) => Fichier absent

O53 - SMSR:HKLM\...\startupreg\body nurb enc bird [Key] . (...) -- C:\Documents and Settings\All Users\Application Data\Second Tray Body Nurb\baseenc.exe (.not file.) => Fichier absent

O53 - SMSR:HKLM\...\startupreg\Pure Bait [Key] . (...) -- C:\DOCUME~1\ROLAND~1\APPLIC~1\DrawStop\fragchin.exe (.not file.) => Fichier absent

O53 - SMSR:HKLM\...\startupreg\Zshutdown [Key] . (...) -- c:\sysprep\patch\sysprep.cmd (.not file.) => Fichier absent

[HKCU\Software\AppDataLow\Software\IncrediMail_MediaBar_2] => Toolbar.Conduit

[HKCU\Software\conduitEngine] => Toolbar.Conduit

[HKCU\Software\toolbar] => Toolbar.Conduit

O43 - CFD: 23/03/2011 - 20:59:56 - [0.096] ----D- C:\Documents and Settings\roland bussone\Local Settings\Application Data\Conduit => Toolbar.Conduit

[HKLM\Software\Classes\Conduit.Engine] => Toolbar.Conduit

[HKLM\Software\Classes\Toolbar.CT2724386] => Toolbar.Agent

[HKCU\Software\conduitEngine] => Toolbar.Conduit

[HKCU\Software\Toolbar] => Toolbar.Conduit

C:\Documents and Settings\roland bussone\Local Settings\Application Data\Conduit => Toolbar.Conduit

O53 - SMSR:HKLM\...\startupreg\swg [Key] . (...) -- C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (.not file.) => Google®Toolbar

O64 - Services: CurCS - 30/08/2011 - C:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE

 

EmptyFlash

EmptyTemp

FirewallRaz

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

[rolandro]

J'ai installé Mbam

 

Je ne vois plus aucune trace de Spybot dans mon ordinateur.

 

Je ne sais pas plus où est Tea timer car je n'en vois aucune trace et je ne suis pas sous vista mais mais sous XP 2003.

 

peut-être ai-je placé Spybot dans un disque externe pour libérer un peu d'espace sur mon disque C qui est très lourdement chargé?

 

Il y a une chose que je ne comprends pas :

voilà que je trouve non seulemnt Spybot, mais aussi des dosiiers que je pensais supprimés ( comme Mozilla) ; seulement je les vois en faisant "Executer" et "Parcourir" mais pas dans "Tous les programmes" ni dans "Ajpouter ou supprimer des programmes".

[pear]

Faites la procédure Zhpfix, svp.

[rolandro]

Voici le rapport ZHPFix

 

Rapport de ZHPFix 1.12.3381 par Nicolas Coolman, Update du 08/02/2011

Fichier d'export Registre :

Run by roland bussone at 17/03/2012 13:56:53

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Logiciel(s) ==========

ABSENT Uninstall Process: c:\program files\windows searchqu toolbar\uninstall.exe

 

========== Processus mémoire ==========

SUPPRIME Memory Process: C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.EXE

 

========== Clé(s) du Registre ==========

SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu MediaBar]

SUPPRIME Key: CLSID BHO: {7FF99715-3016-4381-84CE-E4E4C9673020}

SUPPRIME Key: HKCU\Software\Babylon

SUPPRIME Key: HKCU\Software\DataMngr

SUPPRIME Key: HKCU\Software\PriceGong

SUPPRIME Key: HKCU\Software\searchqutb

SUPPRIME Key: HKLM\Software\Bandoo

SUPPRIME Key: HKLM\Software\DataMngr

SUPPRIME Key: HKLM\Software\SearchquMediabarTb

SUPPRIME Key: HKLM\Software\Classes\AppID\bandoocore.exe

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Searchqu MediaBar

SUPPRIME Key: HKLM\Software\Classes\bandoocore.bandoocore

SUPPRIME Key: HKLM\Software\Classes\bandoocore.bandoocore.1

SUPPRIME Key: HKLM\Software\Classes\bandoocore.resourcesmngr

SUPPRIME Key: HKLM\Software\Classes\bandoocore.resourcesmngr.1

SUPPRIME Key: HKLM\Software\Classes\bandoocore.settingsmngr

SUPPRIME Key: HKLM\Software\Classes\bandoocore.settingsmngr.1

SUPPRIME Key: HKLM\Software\Classes\bandoocore.statisticmngr

SUPPRIME Key: HKLM\Software\Classes\bandoocore.statisticmngr.1

SUPPRIME Key: HKLM\Software\Classes\AppID\{1301a8a5-3dfb-4731-a162-b357d00c9644}

SUPPRIME Key: HKLM\Software\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}

SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624f4-c5dd-4e1d-bdd0-1e9c9b7799cc}

SUPPRIME Key: HKLM\Software\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}

SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7FF99715-3016-4381-84CE-E4E4C9673020}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7FF99715-3016-4381-84CE-E4E4C9673020}

ABSENT Key: HKLM\Software\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}

SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7FF99715-3016-4381-84CE-E4E4C9673020}

ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}

SUPPRIME Key: HKLM\Software\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}

SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9c8a3ca5-889e-4554-beec-ec0876e4e96a}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D5792AA9-D373-4039-8670-2CDAB6A71F15}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D5792AA9-D373-4039-8670-2CDAB6A71F15}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}

SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f9189560-573a-4fde-b055-ae7b0f4cf080}

SUPPRIME Key: HKLM\Software\Classes\Interface\{ff871e51-2655-4d06-aed5-745962a96b32}

ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchqu mediabar

SUPPRIME CLSID MPSK: {0b9a8c22-72f7-11e0-a21b-001302388979}

SUPPRIME CLSID MPSK: {41378cb8-f909-11de-9f5f-001302388979}

SUPPRIME CLSID MPSK: {82e5401a-41bb-11df-9fe1-001302388979}

SUPPRIME Key: StartupReg: AdBlocker

SUPPRIME Key: StartupReg: body nurb enc bird

SUPPRIME Key: StartupReg: Pure Bait

SUPPRIME Key: StartupReg: Zshutdown

SUPPRIME Key: HKCU\Software\AppDataLow\Software\IncrediMail_MediaBar_2

SUPPRIME Key: HKCU\Software\conduitEngine

SUPPRIME Key: HKCU\Software\toolbar

SUPPRIME Key: HKLM\Software\Classes\Conduit.Engine

SUPPRIME Key: HKLM\Software\Classes\Toolbar.CT2724386

ABSENT Key: HKCU\Software\Toolbar

SUPPRIME Key: StartupReg: swg

ABSENT Key: Service Legacy: LEGACY_BONJOUR_SERVICE

 

========== Valeur(s) du Registre ==========

SUPPRIME Toolbar: {7FF99715-3016-4381-84CE-E4E4C9673020}

SUPPRIME RunValue: DATAMNGR

SUPPRIME [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]:Shell

SUPPRIME AAKE KeyValue: C:\Program Files\IncrediMail\BIN\ImpCnt.exe

SUPPRIME AAKE KeyValue: C:\Program Files\IncrediMail\BIN\IMApp.exe

SUPPRIME AAKE KeyValue: C:\Program Files\IncrediMail\BIN\ImNotfy.exe

SUPPRIME AAKE KeyValue: C:\Program Files\IncrediMail\BIN\ImLpp.exe

SUPPRIME AAKE KeyValue: C:\Program Files\IncrediMail\BIN\IMSetup.exe

SUPPRIME AAKE KeyValue: C:\Program Files\IncrediMail\BIN\IncrediMail_Install.exe

SUPPRIME AAKE KeyValue: C:\WINDOWS\isass\update.ex`

SUPPRIME AAKE KeyValue: C:\WINDOWS\outs\mediaplayer.exe

Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\Program Files\Windows Searchqu Toolbar

SUPPRIME Folder: C:\Program Files\OfferBox

SUPPRIME Folder: C:\Documents and Settings\roland bussone\Application Data\BitDownload

SUPPRIME Folder: C:\Documents and Settings\roland bussone\Application Data\Babylon

SUPPRIME Folder: C:\Documents and Settings\roland bussone\Application Data\searchqutb

SUPPRIME Folder: C:\Documents and Settings\roland bussone\Application Data\OfferBox

SUPPRIME Folder: C:\Documents and Settings\roland bussone\Application Data\PriceGong

SUPPRIME Folder: C:\Program Files\Spybot - Search & Destroy

SUPPRIME Folder: C:\Documents and Settings\roland bussone\Local Settings\Application Data\Conduit

SUPPRIME Flash Cookies: 1

SUPPRIME Temporaires Windows: : 149

 

========== Fichier(s) ==========

SUPPRIME File*: c:\progra~1\wi9130~1\datamngr\datamn~1.exe

SUPPRIME File: c:\program files\mozilla firefox\searchplugins\searchquwebsearch.xml

SUPPRIME File: c:\program files\windows searchqu toolbar\toolbar\searchqudx.dll

ABSENT File: c:\program files\windows searchqu toolbar\toolbar\searchqudx.dll

ABSENT File: c:\program files\windows searchqu toolbar\datamngr\datamngrui.exe

ABSENT Folder/File: c:\program files\offerbox

ABSENT Folder/File: c:\program files\windows searchqu toolbar

ABSENT Folder/File: c:\documents and settings\roland bussone\application data\babylon

ABSENT Folder/File: c:\documents and settings\roland bussone\application data\bitdownload

ABSENT Folder/File: c:\documents and settings\roland bussone\application data\offerbox

ABSENT Folder/File: c:\documents and settings\roland bussone\application data\pricegong

ABSENT Folder/File: c:\documents and settings\roland bussone\application data\searchqutb

SUPPRIME File: c:\program files\incredimail\bin\impcnt.exe

SUPPRIME Reboot c:\program files\incredimail\bin\imapp.exe

SUPPRIME File: c:\program files\incredimail\bin\imnotfy.exe

SUPPRIME File: c:\program files\incredimail\bin\imlpp.exe

SUPPRIME File: c:\program files\incredimail\bin\imsetup.exe

SUPPRIME File: c:\program files\incredimail\bin\incredimail_install.exe

ABSENT File: c:\windows\isass\update.exl

ABSENT File: c:\windows\outs\mediaplayer.exe

ABSENT File: c:\program files\3b software\3b ad blocker pro\adblocker.exe

ABSENT File: c:\documents and settings\all users\application data\second tray body nurb\baseenc.exe

ABSENT File: c:\docume~1\roland~1\applic~1\drawstop\fragchin.exe

ABSENT File: c:\sysprep\patch\sysprep.cmd

ABSENT Folder/File: c:\documents and settings\roland bussone\local settings\application data\conduit

ABSENT File: c:\program files\google\googletoolbarnotifier\1.2.1128.5462\googletoolbarnotifier.exe

SUPPRIME Flash Cookies: 0

SUPPRIME Temporaires Windows: : 1

 

 

========== Récapitulatif ==========

1 : Processus mémoire

53 : Clé(s) du Registre

12 : Valeur(s) du Registre

11 : Dossier(s)

28 : Fichier(s)

1 : Logiciel(s)

 

 

End of clean in 00mn 30s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 17/03/2012 13:56:53 [8256]

[pear]

Bien.

On continue:

 

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de Subs

et sauvegardez le sur le bureau

 

 

 

1)La console de Récupération

Les utilisateurs de Windows Vista,Seven ne sont pas concernés car ils peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Win RE) passer au point 2

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

 

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur le Bureau:

Ne modifiez pas le nom du fichier

Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

2)Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré

Il se trouve à c:\combofix.txt

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

Modifié le 17 mars 2012 par pear

[rolandro]

Merci beaucoup, mais

 

- d'une part, je ne peux pas connecter tous mes disques amovibles car j'ai 3 disques externes et 3 clés USB et je n'ai pas autant de prises sur mon ordinateur ; comment faire?

 

 

- ensuite, je dois partir d'ici une demi-heure et cela jusqu'à lundi, de sorte que la procédure Combofix n'aurait pas le temps de se dérouler entièrement d'ici là.

 

Je vous suis infiniement reconnaissant de me consacrer votre temps et vos compétences, mais ne vaut-il pas mieux différer la suite des opérations?

[pear]

D'accord pour différer la suite.

Vous brancherez ce que vous pourrez.

[rolandro]

Je vous souhaite donc un très très bon week-end.

[rolandro]

Bonjour. J'ai téléchargé Combofix.exe sur le bureau. Quand je clique sur l'icône il ne me propose pas d'installer la console de récupération. Par ailleurs Avast s'agite beaucoup quand je clique dessus pour ouvrir ComboFix.exe.me disant que le programme s'exécute dans la Sandbox, etc. et qu'il a trouvé un programme malveillant.

 

je voulais dire "quand je clique sur l'icône ComboFix.exe" en disant "quand je clique dessus"