[Résolu] « TR/ATRAPS.Gen2 [trj] »

[¤SbK¤]

Bonjour à toutes et à tous, je viens demander votre aide sur ce forum que j'ai découvert en faisant pas mal de recherches afin de résoudre mon problème qu'est celui expliqué dans le titre de ce sujet: un malware qui ne cesse de vouloir nuir et qui est à l'origine de l'excitation de mon antivirus ainsi que l'ébullition de mon cerveau et je pèse mes mots...

J'ai essayé une première fois de procéder à un lancement de ccleaner, spybot et malwarebyte en mode sans echec mais après redémarrage, le calme n'a duré que...20min...

Après celà, Avira(free) n'a cessé de m'avertir toutes les 1à2min de la présence de cette bestiole. Je vous ai fait un petit copié/collé de ce qui apparait dans ma fenetre d'évènements :

1) "Virus or unwanted program 'TR/ATRAPS.Gen2 [trojan]'

detected in file 'C:\Windows\Installer\{ce8a8052-61e6-33fa-f8fb-c8043252feb7}\U\80000032.@.

Action performed: Deny access"

2) "Virus or unwanted program 'TR/ATRAPS.Gen2 [trojan]'

detected in file 'C:\Windows\Installer\{ce8a8052-61e6-33fa-f8fb-c8043252feb7}\U\80000064.@.

Action performed: Deny access"

 

Je vous remercie par avance et continuerais de chercher en l'attente d'une réponse

Amicalement ¤SbK¤

Modifié le 15 août 2012 par ¤SbK¤

[Apollo]

Bonjour,

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
   
  
   
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

@++

[¤SbK¤]

Bonjour Apollo et merci de ta réponse! (assez rapide ^^ ). Je me rends juste compte que j'ai oublié de préciser que je tournais sous Win7, en espérant que ça ne change rien à la manip ?

[Apollo]

Nenni Mes procédures sont pré-formatées, c'est pour cela qu'il y est fait mention d'XP, mais pour Vista et Seven ComboFix ne demandera pas d'installer une console de récupération.

 

Tu peux donc procéder en suivant bien les instructions données.

Pendant le travail de CF, ne touche à rien pour ne pas faire planter le logiciel.

 

@++

[¤SbK¤]

Merci

J'ai suivit la procédure à la lettre et voici le rapport:

 

 

 

ComboFix 12-08-13.01 - SbK 14/08/2012 14:11:54.2.2 - x64 MINIMAL

Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.3327.2395 [GMT 2:00]

Lancé depuis: c:\users\SbK\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

* Un nouveau point de restauration a été créé

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Exécution préalable -------

.

c:\programdata\FullRemove.exe

c:\windows\assembly\GAC_32\Desktop.ini

c:\windows\assembly\GAC_64\Desktop.ini

c:\windows\Installer\{ce8a8052-61e6-33fa-f8fb-c8043252feb7}\@

c:\windows\Installer\{ce8a8052-61e6-33fa-f8fb-c8043252feb7}\L\00000004.@

c:\windows\Installer\{ce8a8052-61e6-33fa-f8fb-c8043252feb7}\L\201d3dde

c:\windows\Installer\{ce8a8052-61e6-33fa-f8fb-c8043252feb7}\U\00000004.@

c:\windows\Installer\{ce8a8052-61e6-33fa-f8fb-c8043252feb7}\U\00000008.@

c:\windows\Installer\{ce8a8052-61e6-33fa-f8fb-c8043252feb7}\U\000000cb.@

c:\windows\Installer\{ce8a8052-61e6-33fa-f8fb-c8043252feb7}\U\80000000.@

c:\windows\Installer\{ce8a8052-61e6-33fa-f8fb-c8043252feb7}\U\80000032.@

c:\windows\Installer\{ce8a8052-61e6-33fa-f8fb-c8043252feb7}\U\80000064.@

c:\windows\msvcr71.dll

c:\windows\SysWow64\muzapp.exe

.

-- Exécution préalable --

.

Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe

.

--------

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-07-14 au 2012-08-14 ))))))))))))))))))))))))))))))))))))

.

.

2012-08-14 12:17 . 2012-08-14 12:17 -------- d-----w- c:\users\Default\AppData\Local\temp

2012-08-14 10:47 . 2012-08-14 10:47 -------- d-----w- c:\users\SbK\AppData\Roaming\Avira

2012-08-14 10:43 . 2012-08-14 10:43 -------- d-----w- c:\users\Default\AppData\Local\AskToolbar

2012-08-14 10:43 . 2012-08-14 10:43 -------- d-----w- c:\program files (x86)\Ask.com

2012-08-14 10:42 . 2012-08-14 10:42 -------- d-----w- c:\users\SbK\AppData\Local\APN

2012-08-14 10:42 . 2012-07-18 16:05 98848 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2012-08-14 10:42 . 2012-07-18 16:05 27760 ----a-w- c:\windows\system32\drivers\avkmgr.sys

2012-08-14 10:42 . 2012-07-18 16:05 132832 ----a-w- c:\windows\system32\drivers\avipbb.sys

2012-08-14 10:42 . 2012-08-14 10:43 -------- d-----w- c:\programdata\Avira

2012-08-14 10:42 . 2012-08-14 10:42 -------- d-----w- c:\program files (x86)\Avira

2012-08-08 10:37 . 2012-08-08 10:37 -------- d-----w- c:\program files (x86)\ESET

2012-08-07 19:41 . 2012-08-07 19:41 -------- d-----w- c:\users\SbK\AppData\Roaming\Malwarebytes

2012-08-07 19:41 . 2012-08-07 19:41 -------- d-----w- c:\programdata\Malwarebytes

2012-08-07 19:40 . 2012-08-07 19:41 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware

2012-08-07 19:40 . 2012-07-03 11:46 24904 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-08-07 10:14 . 2012-08-13 17:08 -------- d-----w- C:\hijackthis

2012-08-07 10:04 . 2012-08-07 10:04 -------- d-----w- c:\programdata\Grisoft

2012-08-07 10:03 . 2012-08-07 11:10 -------- d-----w- c:\programdata\Lavasoft

2012-08-07 10:01 . 2012-08-07 10:01 -------- d-----w- c:\program files\CCleaner

2012-08-06 21:34 . 2012-08-12 10:42 -------- d-----w- c:\programdata\Spybot - Search & Destroy

2012-08-06 21:34 . 2012-08-06 21:38 -------- d-----w- c:\program files (x86)\Spybot - Search & Destroy

2012-08-06 13:49 . 2012-07-03 16:21 41224 ----a-w- c:\windows\avastSS.scr

2012-08-06 13:49 . 2012-07-03 16:21 227648 ----a-w- c:\windows\SysWow64\aswBoot.exe

2012-08-06 13:49 . 2012-08-12 10:41 -------- d-----w- c:\program files\AVAST Software

2012-08-06 13:49 . 2012-08-12 10:40 -------- d-----w- c:\programdata\AVAST Software

2012-07-28 19:41 . 2012-07-28 19:41 -------- d-sh--w- c:\windows\SysWow64\%APPDATA%

2012-07-28 19:39 . 2012-07-28 19:47 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe

2012-07-28 19:39 . 2012-07-28 19:47 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-07-28 19:39 . 2012-07-28 19:39 -------- d-----w- c:\windows\system32\Macromed

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

2012-06-20 11:18 1519824 ----a-w- c:\program files (x86)\Ask.com\GenericAskToolbar.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2012-06-20 1519824]

.

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RocketDock"="c:\program files (x86)\RocketDock\RocketDock.exe" [2007-09-02 495616]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"UpdateLBPShortCut"="c:\program files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]

"UpdateP2GoShortCut"="c:\program files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]

"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-10-07 98304]

"HDAudDeck"="c:\program files (x86)\VIA\VIAudioi\VDeck\VDeck.exe" [2009-09-17 2245120]

"HControlUser"="c:\program files (x86)\ASUS\ATK Hotkey\HControlUser.exe" [2009-06-19 105016]

"ATKOSD2"="c:\program files (x86)\ASUS\ATKOSD2\ATKOSD2.exe" [2009-10-27 6998656]

"ATKMEDIA"="c:\program files (x86)\ASUS\ATK Media\DMedia.exe" [2009-08-20 170624]

"ApnUpdater"="c:\program files (x86)\Ask.com\Updater\Updater.exe" [2012-06-20 1568976]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

SRS Premium Sound.lnk - c:\windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut5_21C7B668029A47458B27645FE6E4A715.exe [2010-4-28 156952]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

.

R1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-07-18 27760]

R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]

R2 AFBAgent;AFBAgent;c:\windows\system32\FBAgent.exe [2009-09-17 359552]

R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-10-06 202752]

R2 AntiVirSchedulerService;Avira Scheduler;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-07-18 86224]

R2 AntiVirWebService;Avira Web Protection;c:\program files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [2012-07-18 465360]

R2 ASMMAP64;ASMMAP64;c:\program files\ATKGFNEX\ASMMAP64.sys [2007-07-24 14904]

R2 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-10-21 196176]

R2 BBUpdate;BBUpdate;c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE [2011-10-13 249648]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [2009-08-21 44032]

R3 androidusb;SAMSUNG Android Composite ADB Interface Driver;c:\windows\system32\Drivers\ssadadb.sys [2011-07-20 36328]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-07-03 24904]

R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [2009-06-10 56832]

R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-07-20 157672]

R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-07-20 16872]

R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-07-20 177640]

R3 ssadserd;SAMSUNG Android USB Diagnostic Serial Port (WDM);c:\windows\system32\DRIVERS\ssadserd.sys [2011-07-20 146920]

R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-05-10 51712]

R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2009-07-09 1222144]

R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-12-23 1255736]

R4 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-28 257224]

R4 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-04-28 135664]

R4 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-04-28 135664]

R4 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-07-03 655944]

R4 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [2009-10-15 117760]

S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2009-04-03 34872]

.

.

Contenu du dossier 'Tâches planifiées'

.

2012-08-14 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-28 19:47]

.

2012-08-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-04-28 12:51]

.

2012-08-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-04-28 12:51]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]

@="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"

[HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]

2009-11-26 05:49 70656 ----a-w- c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]

@="{64174815-8D98-4CE6-8646-4C039977D808}"

[HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]

2009-11-26 05:49 70656 ----a-w- c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-09-30 621440]

"ASUS WebStorage"="c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe" [2009-12-24 1736704]

"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2009-09-01 323584]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uLocal Page = c:\windows\system32\blank.htm

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = *.local

IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000

LSP: c:\program files (x86)\Avira\AntiVir Desktop\avsda.dll

TCP: DhcpNameServer = 212.27.40.241 212.27.40.240

FF - ProfilePath - c:\users\SbK\AppData\Roaming\Mozilla\Firefox\Profiles\q4vlp8p3.default\

FF - prefs.js: browser.search.selectedEngine - Ask.com

FF - prefs.js: browser.startup.homepage - hxxp://google.com

FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-3&o=APN10398&locale=fr_FR&apn_uid=db661735-b46d-4728-b248-ec615ddaaa02&apn_ptnrs=%5EABW&apn_sauid=26110AF4-392B-4C11-8EE9-2B02CBDE3376&apn_dtid=%5EYYYYYY%5EYY%5EFR&&q=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

.

- - - - ORPHELINS SUPPRIMES - - - -

.

Toolbar-Locked - (no file)

Toolbar-Locked - (no file)

ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - (no file)

AddRemove-ASUS_Screensaver - c:\windows\system32\ASUS_Screensaver.scr

.

.

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.11"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Heure de fin: 2012-08-14 14:19:52

ComboFix-quarantined-files.txt 2012-08-14 12:19

.

Avant-CF: 53 279 404 032 octets libres

Après-CF: 53 041 131 520 octets libres

.

- - End Of File - - 1F8F2222D7DAF3AD8517D542D1C29980

[Apollo]

Re,

 

Liquidé

 

Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

 

@++

[¤SbK¤]

Que voici monsieur

 

 

# AdwCleaner v1.801 - Rapport créé le 14/08/2012 à 14:57:14

# Mis à jour le 14/08/2012 par Xplode

# Système d'exploitation : Windows 7 Home Premium (64 bits)

# Nom d'utilisateur : SbK - SBK-PC

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\SbK\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Users\SbK\AppData\Local\APN

Dossier Supprimé : C:\Users\SbK\AppData\Local\OpenCandy

Dossier Supprimé : C:\Users\SbK\AppData\LocalLow\AskToolbar

Dossier Supprimé : C:\Users\SbK\AppData\Roaming\Mozilla\Firefox\Profiles\q4vlp8p3.default\extensions\ffxtlbr@Facemoods.com

Dossier Supprimé : C:\Program Files (x86)\Ask.com

Dossier Supprimé : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Dossier Supprimé : C:\ProgramData\Partner

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\APN

Clé Supprimée : HKCU\Software\Ask.com.tmp

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}

Clé Supprimée : HKCU\Software\Softonic

Clé Supprimée : HKLM\SOFTWARE\APN

Clé Supprimée : HKLM\SOFTWARE\AskToolbar

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd

Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1

Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

 

***** [Registre - GUID] *****

 

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.7600.16385

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v3.6.13 (fr)

 

Nom du profil : default

Fichier : C:\Users\SbK\AppData\Roaming\Mozilla\Firefox\Profiles\q4vlp8p3.default\prefs.js

 

Supprimée : user_pref("browser.search.selectedEngine", "Ask.com");

Supprimée : user_pref("extensions.facemoods.aflt", "_#ddr");

Supprimée : user_pref("extensions.facemoods.firstRun", false);

Supprimée : user_pref("extensions.facemoods.lastActv", "29");

Supprimée : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-3&o=APN10398&loc[...]

Supprimée : user_pref("browser.search.order.1", "Ask.com");

Supprimée : user_pref("browser.search.defaultengine", "Ask.com");

Supprimée : user_pref("browser.search.defaultenginename", "Ask.com");

Supprimée : user_pref("extensions.asktb.ff-original-keyword-url", "hxxp://start.facemoods.com/results.php?f=5&a=[...]

 

-\\ Google Chrome v21.0.1180.77

 

Fichier : C:\Users\SbK\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Supprimée : "scriptable_host": [ "*://*.ask.com/", "*://*.bagsbuy.com/*", "*://*.childrenschorus.[...]

Supprimée : "matches": [ "*://*.google.com/*", "*://*.ask.com/", "*://*.bagsbuy.com/*", "*://*[...]

Supprimée : "update_url": "hxxp://apnmedia.ask.com/media/toolbar/supertoolbar/chrome/manifest.php[...]

Supprimée : "css": [ "style/facemoods_chrome_1.0.1.css" ],

Supprimée : "name": "Facemoods",

Supprimée : "permissions": [ "tabs", "hxxp://igor.facemoods.com/", "hxxp://reports.facemoods.com/[...]

Supprimée : "update_url": "hxxp://facemoods.com/public/download/chrome/update.xml",

 

*************************

 

AdwCleaner[R1].txt - [6530 octets] - [14/08/2012 14:56:17]

AdwCleaner[s1].txt - [5381 octets] - [14/08/2012 14:57:14]

 

########## EOF - C:\AdwCleaner[s1].txt - [5509 octets] ##########

[Apollo]

Ca va mieux?

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le petit tournevis et clique sur TOUS.

 

Décocher 045 et 061.

 

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

 

@++

[¤SbK¤]

Oui, ça va carrément mieux, je n'ai plus aucune alerte depuis, merci!!!

Je vais lancer ZHPDiag et poster le lien pour le rapport! A toute

[¤SbK¤]

(Désolé pour le double post) Voilà, c'est fait! Pour le rapport, c'est ICI

Par contre, j'ai un petit soucis que je vais régler, c'est wiseconvert ^^' je l'ai téléchargé en cliquant sur le mauvais lien et jn'ai même pas fait gaffe que le nom de l'exe n'était pas le même...[boulet]