[Résolu] Infection par TR/Agent.cada.13681 sous Vista

[zeDadas]

Bonjour

 

On m'a confié un ordi sous Vista (SP2) que j'ai analysé : selon Antivir il est infecté par TR/Agent.cada.13681 Trojan.

 

Voici le rapport Antivir :

 

---

 

Avira AntiVir Personal

Report file date: dimanche 24 février 2013 19:25

 

Scanning for 5072572 virus strains and unwanted programs.

 

The program is running as an unrestricted full version.

Online services are available:

 

Licensee : Avira AntiVir Personal - Free Antivirus

Serial number : 0000149996-ADJIE-0000001

Platform : Windows Vista x64

Windows version : (Service Pack 2) [6.0.6002]

Boot mode : Normally booted

Username : SYSTEM

Computer name : PC-DE-STEFANO

 

Version information:

BUILD.DAT : 10.2.0.719 36070 Bytes 25.10.2012 10:40:00

AVSCAN.EXE : 10.3.0.7 484008 Bytes 21.07.2011 11:12:28

AVSCAN.DLL : 10.0.5.0 47464 Bytes 21.07.2011 11:15:00

LUKE.DLL : 10.3.0.5 45416 Bytes 21.07.2011 11:13:59

LUKERES.DLL : 10.0.0.1 12648 Bytes 10.02.2010 23:40:49

AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21.07.2011 11:12:28

AVREG.DLL : 10.3.0.9 90472 Bytes 21.07.2011 11:12:21

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:05:36

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:53:55

VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 16:47:01

VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 16:47:08

VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:47:15

VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 16:47:22

VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 16:47:30

VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 16:47:36

VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 16:47:47

VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 16:47:47

VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 16:47:47

VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 16:47:47

VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 16:47:47

VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 16:47:48

VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 16:47:48

VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 16:47:49

VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 16:47:49

VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 16:47:49

VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 16:47:50

VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 16:47:50

VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 16:47:50

VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 16:47:51

VBASE022.VDF : 7.11.62.111 136192 Bytes 23.02.2013 16:47:51

VBASE023.VDF : 7.11.62.112 2048 Bytes 23.02.2013 16:47:51

VBASE024.VDF : 7.11.62.113 2048 Bytes 23.02.2013 16:47:51

VBASE025.VDF : 7.11.62.114 2048 Bytes 23.02.2013 16:47:51

VBASE026.VDF : 7.11.62.115 2048 Bytes 23.02.2013 16:47:51

VBASE027.VDF : 7.11.62.116 2048 Bytes 23.02.2013 16:47:51

VBASE028.VDF : 7.11.62.117 2048 Bytes 23.02.2013 16:47:51

VBASE029.VDF : 7.11.62.118 2048 Bytes 23.02.2013 16:47:51

VBASE030.VDF : 7.11.62.119 2048 Bytes 23.02.2013 16:47:51

VBASE031.VDF : 7.11.62.142 75776 Bytes 24.02.2013 16:47:51

Engineversion : 8.2.12.8

AEVDF.DLL : 8.1.2.10 102772 Bytes 24.02.2013 16:47:59

AESCRIPT.DLL : 8.1.4.94 467324 Bytes 24.02.2013 16:47:59

AESCN.DLL : 8.1.10.0 131445 Bytes 24.02.2013 16:47:59

AESBX.DLL : 8.2.5.12 606578 Bytes 24.02.2013 16:48:00

AERDL.DLL : 8.2.0.88 643444 Bytes 24.02.2013 16:47:59

AEPACK.DLL : 8.3.1.10 815480 Bytes 24.02.2013 16:47:58

AEOFFICE.DLL : 8.1.2.50 201084 Bytes 24.02.2013 16:47:57

AEHEUR.DLL : 8.1.4.218 5792121 Bytes 24.02.2013 16:47:57

AEHELP.DLL : 8.1.25.2 258423 Bytes 24.02.2013 16:47:53

AEGEN.DLL : 8.1.6.16 434549 Bytes 24.02.2013 16:47:53

AEEXP.DLL : 8.4.0.4 188789 Bytes 24.02.2013 16:48:00

AEEMU.DLL : 8.1.3.2 393587 Bytes 24.02.2013 16:47:52

AECORE.DLL : 8.1.31.2 201080 Bytes 24.02.2013 16:47:52

AEBB.DLL : 8.1.1.4 53619 Bytes 24.02.2013 16:47:52

AVWINLL.DLL : 10.0.0.0 19304 Bytes 21.04.2011 06:53:36

AVPREF.DLL : 10.0.3.2 44904 Bytes 21.07.2011 11:12:20

AVREP.DLL : 10.0.0.10 174120 Bytes 21.07.2011 11:12:22

AVARKT.DLL : 10.0.26.1 255336 Bytes 21.07.2011 11:12:00

AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21.07.2011 11:12:10

SQLITE3.DLL : 3.6.19.0 355688 Bytes 21.07.2011 14:12:31

AVSMTP.DLL : 10.0.0.17 63848 Bytes 21.04.2011 06:53:36

NETNT.DLL : 10.0.0.0 11624 Bytes 21.04.2011 06:53:46

RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21.07.2011 11:15:09

RCTEXT.DLL : 10.0.64.0 97640 Bytes 21.07.2011 11:15:09

 

Configuration settings for the scan:

Jobname.............................: Complete system scan

Configuration file..................: C:\program files (x86)\avira\antivir desktop\sysscan.avp

Logging.............................: Default

Primary action......................: interactive

Secondary action....................: ignore

Scan master boot sector.............: on

Scan boot sector....................: on

Boot sectors........................: C:, D:, E:, Q:,

Process scan........................: on

Extended process scan...............: on

Scan registry.......................: on

Search for rootkits.................: on

Integrity checking of system files..: off

Scan all files......................: All files

Scan archives.......................: on

Recursion depth.....................: 20

Smart extensions....................: on

Macro heuristic.....................: on

File heuristic......................: Advanced

 

Start of the scan: dimanche 24 février 2013 19:25

 

Starting search for hidden objects.

HKEY_USERS\S-1-5-21-432089611-1175563307-2340218052-1000\Software\SecuROM\License information\datasecu

[NOTE] The registry entry is invisible.

HKEY_USERS\S-1-5-21-432089611-1175563307-2340218052-1000\Software\SecuROM\License information\rkeysecu

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\softgridappname

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\softgridappname

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\softgridappversion

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\softgridappversion

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\softgridappversion

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\softgridappversion

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\softgridappversion

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\softgridsource

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\softgridsource

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\softgridsource

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\softgridsource

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmlfile\Open\command\command

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Excelhtmltemplate\Open\command\command

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\powerpointxmlfile\Open\softgridappname

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\powerpointxmlfile\Open\command\command

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Word.Document.12\Edit\softgridappname

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Word.Document.12\Edit\softgridappname

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Word.Document.12\Edit\softgridappparams

[NOTE] The registry entry is invisible.

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Word.Document.12\Edit\softgridappparams

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\FileTypes\Backup\Word.RTF.8\Edit\command\command

[NOTE] The registry entry is invisible.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '81' Module(s) have been scanned

Scan process 'avscan.exe' - '30' Module(s) have been scanned

Scan process 'daemonu.exe' - '57' Module(s) have been scanned

Scan process 'kbd.exe' - '49' Module(s) have been scanned

Scan process 'avcenter.exe' - '78' Module(s) have been scanned

Scan process 'avgnt.exe' - '60' Module(s) have been scanned

Scan process 'hpwuSchd2.exe' - '16' Module(s) have been scanned

Scan process 'jusched.exe' - '35' Module(s) have been scanned

Scan process 'hpsysdrv.exe' - '13' Module(s) have been scanned

Scan process 'nassche.exe' - '27' Module(s) have been scanned

Scan process 'GoogleToolbarNotifier.exe' - '54' Module(s) have been scanned

Scan process 'Monitor.exe' - '23' Module(s) have been scanned

Scan process 'IAAnotif.exe' - '37' Module(s) have been scanned

Scan process 'CVHSVC.EXE' - '67' Module(s) have been scanned

Scan process 'sftlist.exe' - '64' Module(s) have been scanned

Scan process 'sftvsa.exe' - '28' Module(s) have been scanned

Scan process 'PnkBstrA.exe' - '28' Module(s) have been scanned

Scan process 'nassvc.exe' - '32' Module(s) have been scanned

Scan process 'LSSrvc.exe' - '23' Module(s) have been scanned

Scan process 'IAANTMon.exe' - '36' Module(s) have been scanned

Scan process 'HPBtnSrv.exe' - '32' Module(s) have been scanned

Scan process 'svchost.exe' - '31' Module(s) have been scanned

Scan process 'avguard.exe' - '67' Module(s) have been scanned

Scan process 'sched.exe' - '56' Module(s) have been scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Master boot sector HD1

[iNFO] No virus was found!

Master boot sector HD2

[iNFO] No virus was found!

Master boot sector HD3

[iNFO] No virus was found!

Master boot sector HD4

[iNFO] No virus was found!

Master boot sector HD5

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'D:\'

[iNFO] No virus was found!

Boot sector 'E:\'

[iNFO] No virus was found!

Boot sector 'Q:\'

[iNFO] No virus was found!

[iNFO] Please restart the search with Administrator rights

 

Starting to scan executable files (registry).

C:\Program Files (x86)\mslch.vbs

[DETECTION] Is the TR/Agent.cada.13681 Trojan

 

The registry was scanned ( '1011' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <HP>

C:\Program Files (x86)\mslch.vbs

[DETECTION] Is the TR/Agent.cada.13681 Trojan

Begin scan in 'D:\' <FACTORY_IMAGE>

Begin scan in 'E:\' <HP2>

Begin scan in 'Q:\'

Error opening the file <\\?\Q:\>

Search path Q:\ could not be opened!

 

Beginning disinfection:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA

C:\Program Files (x86)\mslch.vbs

[DETECTION] Is the TR/Agent.cada.13681 Trojan

[NOTE] The registration entry <HKEY_USERS\S-1-5-21-432089611-1175563307-2340218052-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ajax> was successfully repaired.

[NOTE] The file was moved to the quarantine directory under the name '55972480.qua'.

 

 

End of the scan: dimanche 24 février 2013 22:50

Used time: 3:21:39 Hour(s)

 

The scan has been done completely.

 

42033 Scanned directories

1558606 Files were scanned

2 Viruses and/or unwanted programs were found

0 Files were classified as suspicious

0 files were deleted

0 Viruses and unwanted programs were repaired

1 Files were moved to quarantine

0 Files were renamed

0 Files cannot be scanned

1558604 Files not concerned

10735 Archives were scanned

0 Warnings

13 Notes

778487 Objects were scanned with rootkit scan

22 Hidden objects were found

 

--

 

Il y a des symptômes légers pour le moment : icône, ou bureau qui disparait, une mise à jour Java que mon instinct m'interdit de télécharger...

 

La personne qui possède l'ordi est amateur de MMPGs, mais elle m'affirme ne pas faire de P2P.

 

Pouvez-vous m'aider ?

 

Merci d'avance

 

zeSchlat

 

PS : je reprendrai la main sur l'ordi concerné en fin d'après-midi, pour info.

Modifié le 28 février 2013 par zeDadas

[pear]

Bonjour,

 

Antivir a mis le trojan en quarantaine.

 

 

Zhpdiag 1.34

 

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il devrait y avoir 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

 

Cliquez sur le bouton

en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

 

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[zeDadas]

Bonjour pear

 

Merci infiniment de ton aide.

 

Voici le lien du rapport : Rapport ZHP Diag.

 

J'attends tes instructions, à+

Modifié le 25 février 2013 par zeDadas

[pear]

1)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

Afin de ne pas fausser les rapports,Recherche et Suppression ne doivent être lancés qu'une seule fois

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

2)Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

3)

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

5)

Télécharger Usb Fix , sur le bureau

 

Installez le avec les paramètres par défault

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Si vous êtes sous Vistaésactiver L'UAC ,avant utilisation.

 

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

Pour les rapports qui sont courts (ex. Malwarebytes, AD-R, USBFix, etc.), copiez/collez sur votre sujet

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

Pour Désinstaller UsbFix (après la désinfection)

Double clic sur le raccourci sur le bureau

Lancer l' option 5 ( Désinstaller ) ....

 

 

6)Ceci va vérifier si les logiciels sont à jour ou non et l'indiquer sur l'interface graphique ou sur un rapport.

Il vous faudra faire les mises à jour demandées

Des boutons permettent un accès direct au lancement de la mise à jour ou au téléchargement de celle-ci selon. (Flash player, ouverture du ou des navigateurs dont l'activeX et/ou le plugin n'est pas à jour.

Télécharger Sx Checkupdate

Cliquez sur Rapports

 

7) Nouveau rapport Zhpdiag

[zeDadas]

Bonsoir,

 

Voici pour commencer les 2 rapports ADWCleaner (pas très longs, je les mets comme ça) :

 

-------------------------------------------------------------------------------------------

 

# AdwCleaner v2.113 - Rapport créé le 26/02/2013 à 18:00:13

# Mis à jour le 23/02/2013 par Xplode

# Système d'exploitation : Windows Vista Home Premium Service Pack 2 (64 bits)

# Nom d'utilisateur : Stefano - PC-DE-STEFANO

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\Stefano\Desktop\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

 

***** [Registre] *****

 

Clé Présente : HKLM\SOFTWARE\Classes\S

Clé Présente : HKLM\SOFTWARE\Software

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Le registre ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [681 octets] - [26/02/2013 18:00:13]

 

########## EOF - C:\AdwCleaner[R1].txt - [740 octets] ##########

 

-------------------------------------------------------------------------------------------

 

# AdwCleaner v2.113 - Rapport créé le 26/02/2013 à 19:23:51

# Mis à jour le 23/02/2013 par Xplode

# Système d'exploitation : Windows Vista Home Premium Service Pack 2 (64 bits)

# Nom d'utilisateur : Stefano - PC-DE-STEFANO

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\Stefano\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

 

***** [Registre] *****

 

Clé Supprimée : HKLM\SOFTWARE\Classes\S

Clé Supprimée : HKLM\SOFTWARE\Software

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Le registre ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [806 octets] - [26/02/2013 18:00:13]

AdwCleaner[s1].txt - [744 octets] - [26/02/2013 19:23:51]

 

########## EOF - C:\AdwCleaner[s1].txt - [803 octets] ##########

 

-------------------------------------------------------------------------------------------

 

J'ai fait "supprimer" sans refermer/rouvrir le programme ADWCleaner, j'espère que c'est juste...

 

Avec MBAM je sens que ça va être très long...

 

Ben non finalement voici le rapport :

 

-------------------------------------------------------------------------------------------

 

Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org

 

Version de la base de données: v2013.02.26.09

 

Windows Vista Service Pack 2 x64 NTFS

Internet Explorer 9.0.8112.16421

Stefano :: PC-DE-STEFANO [administrateur]

 

26.02.2013 19:53:15

mbam-log-2013-02-26 (19-53-15).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|G:\|Q:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 517642

Temps écoulé: 59 minute(s), 19 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

 

 

-------------------------------------------------------------------------------------------

 

 

Merci encore, on se tient au courant

Modifié le 26 février 2013 par zeDadas

[zeDadas]

Bonsoir

 

Voici les 2 rapports USBFix (pas trop longs j'espère)

 

---------------------------------------------------------------------------------------

 

############################## | UsbFix V 7.110 | [Recherche]

 

Utilisateur: Stefano (Administrateur) # PC-DE-STEFANO

Mis à jour le 25/02/2013 par El Desaparecido

Lancé à 21:50:21 | 26/02/2013

 

Site Web: SosVirus • Page d’index

Contact: contact@sosvirus.org

 

PC: HP-Pavilion (FL379AA-UUZ m9480ch) (x64-based PC)

CPU: Intel® Core2 Quad CPU Q9400 @ 2.66GHz (2667)

RAM -> [Total : 8190 | Free : 5518]

BIOS: BIOS Date: 09/05/08 10:24:25 Ver: 5.30

BOOT: Normal boot

 

OS: Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2

WB: Windows Internet Explorer 9.0.8112.16421

 

SC: Security Center Service [Enabled]

WU: Windows Update Service [Enabled]

AV: AntiVir Desktop [(!) Disabled | Updated]

FW: Windows FireWall Service [Enabled]

 

C:\ (%systemdrive%) -> Disque fixe # 582 Go (417 Go libre(s) - 72%) [HP] # NTFS

D:\ -> Disque fixe # 14 Go (2 Go libre(s) - 11%) [FACTORY_IMAGE] # NTFS

E:\ -> Disque fixe # 596 Go (418 Go libre(s) - 70%) [HP2] # NTFS

F:\ -> CD-ROM

G:\ -> Disque amovible # 15 Go (15 Go libre(s) - 99%) [] # FAT32

 

################## | Processus Actif |

 

C:\Windows\system32\csrss.exe (556)

C:\Windows\system32\wininit.exe (592)

C:\Windows\system32\csrss.exe (612)

C:\Windows\system32\services.exe (648)

C:\Windows\system32\lsass.exe (676)

C:\Windows\system32\lsm.exe (684)

C:\Windows\system32\winlogon.exe (704)

C:\Windows\system32\svchost.exe (876)

C:\Windows\system32\nvvsvc.exe (936)

C:\Windows\system32\svchost.exe (968)

C:\Windows\System32\svchost.exe (368)

C:\Windows\System32\svchost.exe (492)

C:\Windows\system32\svchost.exe (524)

C:\Windows\system32\svchost.exe (884)

C:\Windows\system32\SLsvc.exe (260)

C:\Windows\system32\svchost.exe (1048)

C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (1244)

C:\Windows\system32\svchost.exe (1432)

C:\Windows\System32\spoolsv.exe (1632)

C:\Windows\system32\taskeng.exe (1644)

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (1676)

C:\Windows\system32\taskeng.exe (1804)

C:\Windows\system32\Dwm.exe (1812)

C:\Windows\Explorer.EXE (1860)

C:\Windows\system32\svchost.exe (1896)

C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (2136)

C:\Windows\SysWOW64\svchost.exe (2164)

c:\hp\HPEZBTN\HPBtnSrv.exe (2332)

C:\Program Files\NVIDIA Corporation\Display\nvtray.exe (2536)

C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe (2552)

C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe (2560)

C:\Windows\PixArt\Pac207\Monitor.exe (2568)

C:\Program Files\Windows Sidebar\sidebar.exe (2576)

C:\Windows\ehome\ehtray.exe (2588)

C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (2596)

C:\Windows\ehome\ehmsas.exe (2624)

c:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe (2724)

C:\Program Files (x86)\BUFFALO\NASNAVI\nassvc.exe (2752)

C:\Windows\SysWOW64\PnkBstrA.exe (2792)

C:\Windows\system32\svchost.exe (2812)

C:\Program Files (x86)\BUFFALO\NASNAVI\nassche.exe (2848)

C:\hp\support\hpsysdrv.exe (2856)

C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD64.exe (2892)

C:\Program Files (x86)\Java\jre6\bin\jusched.exe (2908)

C:\Program Files (x86)\HP\HP Software Update\hpwuSchd2.exe (2976)

C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (3004)

C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe (824)

C:\Windows\system32\svchost.exe (2824)

C:\Windows\System32\svchost.exe (1792)

C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (1040)

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (3000)

C:\Windows\system32\SearchIndexer.exe (3084)

C:\Windows\System32\WUDFHost.exe (3120)

C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe (3248)

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (3440)

C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE (3860)

C:\hp\kbd\kbd.exe (2100)

C:\Windows\system32\svchost.exe (1852)

c:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe (2504)

C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (1440)

C:\Windows\system32\svchost.exe (4412)

C:\Windows\system32\wuauclt.exe (3216)

C:\UsbFix\Go.exe (4408)

C:\Windows\system32\wbem\wmiprvse.exe (1856)

 

################## | Éléments infectieux |

 

Présent! C:\Users\Stefano\AppData\Local\Temp\ose00000.exe

Présent! G:\Norton_Removal_Tool.exe

Présent! G:\mbam-setup-1.70.0.1100.exe

Présent! G:\avast_free_antivirus_setup.exe

Présent! G:\HJTInstall-2.0.2.exe

Présent! G:\avira_free_antivirus.exe

Présent! G:\ZHPDiag2.exe

Présent! G:\adwcleaner.exe

Présent! G:\usbfix.exe

Présent! G:\SXCU.exe

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

HKCU\.\.\.\.\Explorer\MountPoints2\{897530c2-c0ce-11de-85fc-00221558aba1}

Shell\AutoRun\Command = K:\RESTORE\k-1-3542-4232123213-7676767-8888886\RanDll.exe

Shell\open\Command = K:\RESTORE\k-1-3542-4232123213-7676767-8888886\RanDll.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{fce893b0-7d01-11e2-8dc7-806e6f6e6963}

Shell\AutoRun\Command = E:\Installer.exe

 

 

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné!

 

################## | E.O.F | SosVirus • Page d’index |

 

-------------------------------------------------------------------------------------------------------------

 

############################## | UsbFix V 7.111 | [suppression]

 

Utilisateur: Stefano (Administrateur) # PC-DE-STEFANO

Mis à jour le 26/02/2013 par El Desaparecido

Lancé à 22:44:55 | 26/02/2013

 

Site Web: SosVirus • Page d’index

Contact: contact@sosvirus.org

 

PC: HP-Pavilion (FL379AA-UUZ m9480ch) (x64-based PC)

CPU: Intel® Core2 Quad CPU Q9400 @ 2.66GHz (2667)

RAM -> [Total : 8190 | Free : 6516]

BIOS: BIOS Date: 09/05/08 10:24:25 Ver: 5.30

BOOT: Normal boot

 

OS: Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2

WB: Windows Internet Explorer 9.0.8112.16421

 

SC: Security Center Service [Enabled]

WU: Windows Update Service [Enabled]

AV: AntiVir Desktop [(!) Disabled | Updated]

FW: Windows FireWall Service [Enabled]

 

C:\ (%systemdrive%) -> Disque fixe # 582 Go (417 Go libre(s) - 72%) [HP] # NTFS

D:\ -> Disque fixe # 14 Go (1 Go libre(s) - 11%) [FACTORY_IMAGE] # NTFS

E:\ -> Disque fixe # 596 Go (418 Go libre(s) - 70%) [HP2] # NTFS

F:\ -> CD-ROM

G:\ -> Disque amovible # 15 Go (15 Go libre(s) - 100%) [] # FAT32

 

################## | Processus Stoppés |

 

Stoppé! C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (1644)

Stoppé! C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (2028)

Stoppé! C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (2676)

Stoppé! C:\Windows\System32\WUDFHost.exe (2608)

Stoppé! C:\Windows\system32\SearchIndexer.exe (4008)

Stoppé! c:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe (3696)

Stoppé! C:\Windows\system32\taskeng.exe (4400)

Stoppé! C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe (2080)

Stoppé! C:\Windows\PixArt\Pac207\Monitor.exe (4020)

Stoppé! C:\Program Files\Windows Sidebar\sidebar.exe (2660)

Stoppé! C:\Windows\ehome\ehtray.exe (2724)

Stoppé! C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (2944)

Stoppé! C:\Windows\ehome\ehmsas.exe (4864)

Stoppé! C:\hp\support\hpsysdrv.exe (5100)

Stoppé! C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD64.exe (1956)

Stoppé! C:\Program Files (x86)\BUFFALO\NASNAVI\nassche.exe (2160)

Stoppé! C:\Program Files (x86)\Java\jre6\bin\jusched.exe (4424)

Stoppé! C:\Program Files (x86)\HP\HP Software Update\hpwuSchd2.exe (3196)

Stoppé! C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (3100)

Stoppé! C:\hp\kbd\kbd.exe (1256)

 

################## | Éléments infectieux |

 

 

(!) Fichiers temporaires supprimés.

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

 

################## | Listing |

 

[02/01/2009 - 13:38:26 | SHD ] C:\$Recycle.Bin

[26/02/2013 - 18:00:19 | N | 806] C:\AdwCleaner[R1].txt

[26/02/2013 - 19:24:05 | N | 869] C:\AdwCleaner[s1].txt

[26/02/2013 - 22:36:27 | RASHD ] C:\Autorun.inf

[22/02/2013 - 17:17:58 | SHD ] C:\Boot

[11/04/2009 - 07:36:36 | RASH | 333257] C:\bootmgr

[16/09/2008 - 16:19:21 | N | 8192] C:\BOOTSECT.BAK

[04/03/2009 - 20:11:18 | D ] C:\Casa

[25/02/2013 - 04:21:19 | D ] C:\Config.Msi

[02/11/2006 - 16:42:17 | SHD ] C:\Documents and Settings

[02/01/2009 - 13:31:40 | D ] C:\Dokumente und Einstellungen

[31/01/2009 - 10:19:30 | D ] C:\hp

[02/01/2009 - 13:35:22 | D ] C:\Intel

[02/01/2009 - 13:48:02 | RHD ] C:\MSOCache

[22/02/2013 - 17:31:00 | D ] C:\NVIDIA

[03/03/2009 - 22:35:41 | N | 304160] C:\PA207.DAT

[26/02/2013 - 22:02:19 | ASH | 8902754304] C:\pagefile.sys

[21/01/2008 - 04:04:13 | D ] C:\PerfLogs

[25/02/2013 - 21:16:01 | N | 512] C:\PhysicalDisk0_MBR.bin

[25/02/2013 - 04:18:50 | D ] C:\Program Files

[26/02/2013 - 19:33:21 | D ] C:\Program Files (x86)

[26/02/2013 - 19:33:22 | HD ] C:\ProgramData

[02/01/2009 - 13:31:40 | D ] C:\Programme

[25/02/2013 - 21:03:05 | SHD ] C:\System Volume Information

[22/02/2013 - 17:25:51 | D ] C:\Téléchargements

[26/02/2013 - 22:36:40 | N | 185301460] C:\Upload_UsbFix.zip

[26/02/2013 - 22:45:37 | D ] C:\UsbFix

[26/02/2013 - 21:57:05 | N | 9475] C:\UsbFix [Clean 1] PC-DE-STEFANO.txt

[26/02/2013 - 22:11:30 | N | 9146] C:\UsbFix [Clean 2] PC-DE-STEFANO.txt

[26/02/2013 - 22:20:44 | N | 7882] C:\UsbFix [Clean 3] PC-DE-STEFANO.txt

[26/02/2013 - 22:29:15 | N | 8618] C:\UsbFix [Clean 4] PC-DE-STEFANO.txt

[26/02/2013 - 22:36:27 | N | 8417] C:\UsbFix [Clean 5] PC-DE-STEFANO.txt

[26/02/2013 - 22:45:46 | A | 4358] C:\UsbFix [Clean 6] PC-DE-STEFANO.txt

[26/02/2013 - 21:51:27 | N | 5338] C:\UsbFix [scan 1] PC-DE-STEFANO.txt

[26/02/2013 - 21:54:51 | N | 5477] C:\UsbFix [scan 2] PC-DE-STEFANO.txt

[22/02/2013 - 17:38:29 | D ] C:\Users

[25/02/2013 - 04:19:10 | D ] C:\Windows

[25/02/2013 - 21:16:03 | D ] C:\ZHP

[02/01/2009 - 13:38:26 | SHD ] D:\$RECYCLE.BIN

[26/02/2013 - 22:36:27 | RASHD ] D:\Autorun.inf

[19/06/2007 - 16:26:00 | SH | 438328] D:\boo.mgr

[16/09/2008 - 18:20:54 | RSHD ] D:\boot

[18/01/2008 - 23:45:46 | SH | 333203] D:\bootmgr

[28/03/2008 - 19:54:00 | SH | 1242] D:\Desktop.ini

[16/09/2008 - 18:20:58 | D ] D:\hp

[22/02/2013 - 03:03:42 | N | 167] D:\MASTER.LOG

[16/09/2008 - 18:20:58 | D ] D:\PC-Doctor for Win PE

[03/06/2008 - 14:17:28 | ASH | 422] D:\pcdr.ini

[16/09/2008 - 18:20:54 | RSHD ] D:\PRELOAD

[19/06/2007 - 16:22:02 | SH | 182323] D:\protect.arabic

[19/06/2007 - 16:22:06 | SH | 181572] D:\protect.catalan

[19/06/2007 - 16:22:18 | SH | 181898] D:\protect.chinese hong kong

[19/06/2007 - 16:22:18 | SH | 181916] D:\protect.chinese simplified

[19/06/2007 - 16:22:18 | SH | 181898] D:\protect.chinese traditional

[04/07/2007 - 12:31:50 | SH | 181735] D:\protect.czech

[19/06/2007 - 16:22:04 | SH | 181680] D:\protect.danish

[19/06/2007 - 16:22:12 | SH | 181605] D:\protect.dutch

[19/06/2007 - 16:22:06 | SH | 181648] D:\protect.english

[19/06/2007 - 16:22:06 | SH | 181648] D:\protect.finnish

[19/06/2007 - 16:22:06 | SH | 181616] D:\protect.french

[19/06/2007 - 16:22:04 | SH | 181650] D:\protect.german

[04/07/2007 - 12:33:08 | SH | 182717] D:\protect.greek

[04/07/2007 - 12:36:12 | SH | 182626] D:\protect.hebrew

[19/06/2007 - 16:22:08 | SH | 181535] D:\protect.italian

[19/06/2007 - 16:22:10 | SH | 182351] D:\protect.japanese

[19/06/2007 - 16:22:10 | SH | 182043] D:\protect.korean

[04/07/2007 - 12:39:14 | SH | 181562] D:\protect.norwegian

[04/07/2007 - 12:39:52 | SH | 181741] D:\protect.polish

[04/07/2007 - 12:40:52 | SH | 181617] D:\protect.portuguese

[04/07/2007 - 12:40:30 | SH | 181866] D:\protect.portuguese brazilian

[19/06/2007 - 16:22:14 | SH | 211936] D:\protect.russian

[05/07/2007 - 11:32:24 | SH | 181959] D:\protect.serbian latin

[04/07/2007 - 12:46:44 | SH | 181954] D:\protect.slovak

[19/06/2007 - 16:22:06 | SH | 181572] D:\protect.spanish

[04/07/2007 - 12:43:46 | SH | 181605] D:\protect.swedish

[04/07/2007 - 12:44:58 | SH | 181829] D:\protect.turkish

[16/09/2008 - 18:20:54 | RD ] D:\RECOVERY

[16/09/2008 - 18:20:53 | SH | 44] D:\RESTORE.INI

[16/09/2008 - 18:20:54 | RSHD ] D:\SOURCES

[25/02/2013 - 03:00:45 | SHD ] D:\System Volume Information

[16/09/2008 - 18:20:54 | D ] D:\Windows

[02/01/2009 - 13:38:26 | SHD ] E:\$RECYCLE.BIN

[23/02/2013 - 18:12:01 | D ] E:\AMMINISTRAZIONE

[02/01/2009 - 14:37:47 | D ] E:\ARCHIVIO IMMAGINI

[02/01/2009 - 14:47:59 | D ] E:\ATTIVITA SCIENTIFICA

[26/02/2013 - 22:36:27 | RASHD ] E:\Autorun.inf

[10/11/2010 - 23:28:21 | N | 528] E:\MediaID.bin

[10/11/2010 - 23:34:43 | D ] E:\PC-DE-STEFANO

[17/01/2009 - 19:50:51 | D ] E:\plantaris

[24/02/2013 - 22:48:59 | SHD ] E:\System Volume Information

[24/02/2013 - 22:55:44 | N | 25996] G:\AVSCAN-20130224-192508-5EA64B5D.LOG

[25/02/2013 - 21:28:28 | N | 69] G:\links.txt

[26/02/2013 - 19:23:24 | N | 806] G:\AdwCleaner[R1].txt

[26/02/2013 - 19:29:04 | N | 869] G:\AdwCleaner[s1].txt

[26/02/2013 - 21:42:38 | N | 2180] G:\mbam-log-2013-02-26 (19-53-15).txt

[26/02/2013 - 21:53:52 | N | 5338] G:\UsbFix [scan 1].txt

[26/02/2013 - 22:36:28 | RASHD ] G:\Autorun.inf

 

################## | Vaccin |

 

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

 

################## | E.O.F | SosVirus • Page d’index |

 

-------------------------------------------------------------------------------------------------------------

 

Merci beaucoup de ton aide et à bientôt

 

zeSchlat

[zeDadas]

Bonjour,

 

Voici le rapport SX :

 

-------------------------------------------------------------------------------------

 

SX Check&Update

Lien vers le tutoriel : Tutoriels - Security-X

---

Windows Version : Windows Vista 64bits

Service Pack : 2

UserName : Stefano

27/02/2013

13:38:24

version = v0.3.2

---

Windows Update Information :

AUOptions : 4

Automatically, no notification

---

 

---

Name : FlashPlayer ActiveX

Version : 11.6.602.171

Flash Player ActiveX is up to date

 

Java Information :

Nom : Java 7 Update 15

Version : 7.0.150

Java 7 Update 15 is up to date

 

Nom : Adobe Reader X (10.1.6) - Français

Version : 10.1.6

Adobe Reader is up to date

 

Nom : Internet Explorer

Version : 9.0.8112.16421

 

-------------------------------------------------------------------------------------

 

Et voici le lien pour le rapport ZHPDiag :

 

fichier c/o pjjoint.malekal.com

 

J'espère qu'on aura avancé avec ceci.

 

Une nouvelle fois grand merci pour tes précieux conseils

 

zeSchlat

[pear]

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document ou, mieux, en cliquant le bouton Coller le presse papier au milieu,en haut, à gauche[1]

 

O43 - CFD: 04.03.2009 - 20:23:20 - [1.294] ----D C:\ProgramData\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

[HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}]

[HKLM\Software\Wow6432Node\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}]

[HKLM\Software\Classes\TypeLib\{93e3d79c-0786-48ff-9329-93bc9f6dc2b3}]

[HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}]

[HKLM\Software\Wow6432Node\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}]

[HKLM\Software\Classes\TypeLib\{6C9945B7-1D19-46CB-88C0-45A24DF6CD6E}]

[HKLM\Software\Classes\TypeLib\{84B9B044-17C0-48FB-A300-C9747D5DF29C}]

[HKLM\Software\Classes\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}]

[HKLM\Software\Wow6432Node\Classes\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}]

[HKLM\Software\Classes\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}]

[HKLM\Software\Wow6432Node\Classes\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}]

O4 - GS\Desktop: Ordinateur - Raccourci.lnk - Clé orpheline

O4 - GS\Desktop: share (LS-WSGL2D8) - Raccourci.lnk . (...) -- \\LS-WSGL2D8\share (.not file.)

O4 - GS\QuickLaunch: ga_main - Raccourci.lnk . (...) -- C:\Program Files (x86)\Ulead GIF Animator 5\ga_main.exe (.not file.)

[MD5.00000000000000000000000000000000] [APT] [{6794B2DE-AEA0-447D-B9F1-2EB8790FA427}] (...) -- C:\Users\Stefano\AppData\Local\Temp\Temp2_pbsetup.zip\pbsetup.exe (.not file.)

O44 - LFC:[MD5.2C1BA90582F50D8C19DB05D520D46DA7] - 26.02.2013 - 03:01:01 ---A- . (...) -- C:\Windows\IE9_main.log [5795]

O87 - FAEL: "{C63142F4-47AF-468C-B4D0-8ACC8E8B2630}" |In - Public - P6 - TRUE | .(...) -- C:\Users\Stefano\AppData\Local\Temp\7zS8E4A.tmp\SymNRT.exe (.not file.)

O87 - FAEL: "{CFF66698-748B-491A-9C55-B84111486609}" |In - Public - P17 - TRUE | .(...) -- C:\Users\Stefano\AppData\Local\Temp\7zS8E4A.tmp\SymNRT.exe (.not file.)

O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM][64Bits] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}

[HKCU\Software\YahooPartnerToolbar]

[HKLM\Software\Classes\CLSID\{03F14321-8FED-4CBC-B01A-4B57FC199062}]

[HKLM\Software\Classes\CLSID\{2C6F7E96-73BC-47A5-9F51-B67F0BAFE24D}]

[HKLM\Software\Classes\CLSID\{4C58EB04-7B72-4D3D-A36E-66167A99BC31}]

[HKLM\Software\Classes\CLSID\{4EE0B011-604C-47F3-8F2B-39F79640B85E}]

[HKLM\Software\Classes\CLSID\{6BC38BF4-E84D-46E1-920B-42D31AEA617E}]

[HKLM\Software\Classes\AppID\NCTAudioCompress3.DLL]

[HKLM\Software\Classes\AppID\NCTAudioFormatSettings3.DLL]

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]

[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]

[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]

[HKLM\Software\Classes\AOLTB.AOLToolBand.1]

[HKLM\Software\Wow6432Node\Classes\AOLTB.AOLToolBand.1]

 

EmptyFlash

EmptyTemp

EmptyClsid

FirewallRaz

Proxyfix

SysRestore

 

Cliquer sur "Go" |2]

 

Si vous ne voyez pas le boutonGo, cliquez sur le bouton du milieu, en haut, à gauche.[1]

Redémarrer pour achever le nettoyage.

 

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .

Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

[zeDadas]

Merci pear, comme tu le vois, je suis plus réactif aujourd'hui. Voici le rapport :

 

-------------------------------------------------------------------------------

 

Rapport de ZHPFix 1.3.19 par Nicolas Coolman, Update du 21/02/2013

Fichier d'export Registre :

Run by Stefano at 27.02.2013 15:59:55

High Elevated Privileges : OK

Windows Vista Home Premium Edition, 64-bit Service Pack 2 (Build 6002)

 

Corbeille vidée

 

========== Logiciel(s) ==========

SUPPRIME Google Toolbar for Internet Explorer

 

========== Clé(s) du Registre ==========

SUPPRIME Key: HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}

ABSENT Key: HKLM\Software\Wow6432Node\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}

SUPPRIME Key: HKLM\Software\Classes\TypeLib\{93e3d79c-0786-48ff-9329-93bc9f6dc2b3}

SUPPRIME Key: HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}

ABSENT Key: HKLM\Software\Wow6432Node\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}

SUPPRIME Key: HKLM\Software\Classes\TypeLib\{6C9945B7-1D19-46CB-88C0-45A24DF6CD6E}

SUPPRIME Key: HKLM\Software\Classes\TypeLib\{84B9B044-17C0-48FB-A300-C9747D5DF29C}

SUPPRIME Key: HKLM\Software\Classes\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}

ABSENT Key: HKLM\Software\Wow6432Node\Classes\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}

SUPPRIME Key: HKLM\Software\Classes\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}

ABSENT Key: HKLM\Software\Wow6432Node\Classes\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}

SUPPRIME Key: HKCU\Software\YahooPartnerToolbar

SUPPRIME Key: HKLM\Software\Classes\CLSID\{03F14321-8FED-4CBC-B01A-4B57FC199062}

SUPPRIME Key: HKLM\Software\Classes\CLSID\{2C6F7E96-73BC-47A5-9F51-B67F0BAFE24D}

SUPPRIME Key: HKLM\Software\Classes\CLSID\{4C58EB04-7B72-4D3D-A36E-66167A99BC31}

SUPPRIME Key: HKLM\Software\Classes\CLSID\{4EE0B011-604C-47F3-8F2B-39F79640B85E}

SUPPRIME Key: HKLM\Software\Classes\CLSID\{6BC38BF4-E84D-46E1-920B-42D31AEA617E}

SUPPRIME Key: HKLM\Software\Classes\AppID\NCTAudioCompress3.DLL

SUPPRIME Key: HKLM\Software\Classes\AppID\NCTAudioFormatSettings3.DLL

SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

SUPPRIME Key*: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

ABSENT Key: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

SUPPRIME Key: HKLM\Software\Classes\AOLTB.AOLToolBand.1

ABSENT Key: HKLM\Software\Wow6432Node\Classes\AOLTB.AOLToolBand.1

 

========== Valeur(s) du Registre ==========

SUPPRIME {C63142F4-47AF-468C-B4D0-8ACC8E8B2630}

SUPPRIME {CFF66698-748B-491A-9C55-B84111486609}

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (Public) : TCP Query User{DBE849BD-7F5D-4C79-B374-D1A8FE096C5B}C:\users\stefano\appdata\local\logmein rescue applet\lmir0001.tmp\lmi_rescue.exe

SUPPRIME FirewallRaz (Public) : UDP Query User{274773AA-7EB3-4794-A20E-813C7467D56F}C:\users\stefano\appdata\local\logmein rescue applet\lmir0001.tmp\lmi_rescue.exe

ProxyFix : Configuration proxy supprimée avec succès

SUPPRIME ProxyServer Value

SUPPRIME ProxyEnable Value

SUPPRIME EnableHttp1_1 Value

SUPPRIME ProxyHttp1.1 Value

SUPPRIME ProxyOverride Value

 

========== Dossier(s) ==========

Aucun dossiers CLSID Local utilisateur vide

 

========== Fichier(s) ==========

SUPPRIME File: c:\users\stefano\desktop\ordinateur - raccourci.lnk

SUPPRIME File: c:\users\stefano\desktop\share (ls-wsgl2d8) - raccourci.lnk

ABSENT File: c:\users\stefano\appdata\roaming\microsoft\internet explorer\quick launchga_main - raccourci.lnk

ABSENT File: c:\program files (x86)\ulead gif animator 5\ga_main.exe

SUPPRIME File: c:\windows\ie9_main.log

SUPPRIME Flash Cookies

SUPPRIME Temporaires Windows

 

========== Tache planifiée ==========

SUPPRIME Task: {6794B2DE-AEA0-447D-B9F1-2EB8790FA427}

 

========== Restauration Système ==========

Point de restauration non crée

 

 

========== Récapitulatif ==========

24 : Clé(s) du Registre

12 : Valeur(s) du Registre

1 : Dossier(s)

7 : Fichier(s)

1 : Logiciel(s)

1 : Tache planifiée

1 : Restauration Système

 

 

End of clean in 00mn 22s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 27.02.2013 15:59:55 [4159]

 

 

-------------------------------------------------------------------------------

 

Encore quelques infos :

 

- Il y a 2 autres rapports qui sont sortis : ZHPExportRegistry-27.02.2013-15-59-55.txt et ZHPFixQuarantine.txt

 

- J'avais désactivé la restauration du système avant de commencer les manips.

 

Au plaisir de te relire, à bientôt

 

zeSchlat

[pear]

J'avais désactivé la restauration du système avant de commencer les manips.

C'est une idée surprenante, heureusement sans grave conséquence.

réactivez maintenant que la machine est propre

 

Autre chose ?