> Tous les forums > Forum Sécurité
 System Progressive Protection : comment supprimer?Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
cherissy
  Posté le 06/11/2012 @ 22:58 
Aller en bas de la page 
Petite astucienne

Bonjour,

System Progressive Protection s'est installé sur mon ordinateur, mais je n'arrive pas à le supprimer.

J'ai essayé SpyHunter mais c'est payant, puis PreScan et enfin RogueKiller mais le logiciel est resté sur mon système.

Voici le rapport de RogueKiller :

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 06/11/2012 22:14:24

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnablELUA (0) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7BA3114)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7BA30CE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7BA311E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7BA30C4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7BA30D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7BA30DD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7BA310F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7BA30E2)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7BA30B0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7BA30B5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7BA30EC)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7BA30E7)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7BA3123)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7BA30D8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7BA30BF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7BA3128)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7BA312D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_06112012_221424.txt >>
RKreport[1]_S_06112012_221424.txt

Pouvez-vous m'aider s'il vous plaît?? Que dois-je faire???

Merci beaucoup d'avance.

Publicité
cherissy
 Posté le 06/11/2012 à 23:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Ps :

- Voici le 2ème rapport :

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Suppression -- Date : 06/11/2012 22:16:41

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnablELUA (0) -> REMPLACÉ (1)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7BA3114)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7BA30CE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7BA311E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7BA30C4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7BA30D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7BA30DD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7BA310F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7BA30E2)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7BA30B0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7BA30B5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7BA30EC)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7BA30E7)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7BA3123)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7BA30D8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7BA30BF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7BA3128)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7BA312D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_06112012_221641.txt >>
RKreport[1]_S_06112012_221424.txt ; RKreport[2]_D_06112012_221641.txt


- Voici le 3ème rapport :

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 06/11/2012 22:28:41

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7C51734)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7C516EE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7C5173E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7C516E4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7C516F3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7C516FD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7C5172F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7C51702)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7C516D0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7C516D5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7C5170C)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7C51707)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7C51743)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7C516F8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7C516DF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C51748)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C5174D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_S_06112012_222841.txt >>
RKreport[1]_S_06112012_221424.txt ; RKreport[2]_D_06112012_221641.txt ; RKreport[3]_S_06112012_222841.txt

Merci !

Fill
 Posté le 06/11/2012 à 23:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

Je vais t'assister au cours de cette désinfection. Si tu es d'accord, on va fixer quelques règles pour que la désinfection soit efficace.

Si tu as ouvert un sujet similaire sur un autre forum, merci de me prévenir afin que je ne fasse pas de recherches inutiles et par souci d'efficacité (on ne prend pas rendez-vous dans 2 garages pour le même problème mécanique),
Si tu as des cracks ou des keygens, tu les supprimes,
Si tu as un windows illégal, je ne désinfecte pas.
Tu poursuis la désinfection jusqu'au bout, même si tu constates une amélioration rapide, et de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.
La désinfection comprend un diagnostic, un nettoyage, la suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
Quelques-uns des outils utilisés peuvent faire réagir certains antivirus, car ils sont puissants et destructeurs s'ils sont mal utilisés.
Pour me permettre d'établir un diagnostic, peux-tu suivre ces consignes et éditer les trois rapports demandés ? (Adcleaner, malwarebyte's et ZHPDiag) : https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

Si tu as des questions, n'hésite pas.

Fill

cherissy
 Posté le 07/11/2012 à 20:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour,

Merci pour votre aide.

Je respecte et respecterai les règles que vous m'avez énoncé.

Quand j'ouvre Malwarebytes Anti Malware, il m'affiche le message suivant : "la base de données de Malwarebyte est absente ou corrompue. Voulez vous télécharger une nouvelle copie? ".

Quand je clique sur oui, le logiciel se connecte au serveur, le message suivant s'affiche : "Des fichiers du produit sont absents ou corrompus. Veuillez réinstaller le produit. PROGRAM_ERROR_LOAD_DATABASE (0,2 SKDCreate)

Que dois-je faire?

Fill
 Posté le 07/11/2012 à 20:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Tu passes à ZHPDiag.

Fill

cherissy
 Posté le 07/11/2012 à 20:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le rapport de AdwCleaner :

# AdwCleaner v2.007 - Rapport créé le 07/11/2012 à 20:35:19
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Compaq_Propriétaire - CHRISTINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : Application Updater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Application Data\pdfforge
Dossier Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Search Settings
Dossier Supprimé : C:\Program Files\Application Updater
Dossier Supprimé : C:\Program Files\Fichiers communs\spigot
Dossier Supprimé : C:\Program Files\pdfforge Toolbar
Fichier Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\pdfforge
Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\pdfforge
Clé Supprimée : HKCU\Software\Search Settings
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\Application Updater
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A0B139A7-E8D5-49E8-A7BF-12421E652208}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C2F6A415-2A69-48F1-8F91-B9381B33FF1A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKLM\Software\pdfforge
Clé Supprimée : HKLM\Software\Search Settings
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3586 octets] - [07/11/2012 20:32:45]
AdwCleaner[S1].txt - [3559 octets] - [07/11/2012 20:35:19]

########## EOF - C:\AdwCleaner[S1].txt - [3619 octets] ##########

cherissy
 Posté le 07/11/2012 à 21:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je suis en train de faire l'analyse de ZHP Diag, mais une icône attention en bas à droite (barre d'outils) s'affiche avec le message suivant :

" ZHPDiag: ZHPDIag.exe - Fichier endommagé"

Que dois-je faire??

Merci

cherissy
 Posté le 07/11/2012 à 21:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Ps : sur le message affiché par l'icone de la barre d'outils, il est également affiché : Exécutez l'utilitaire CHKDSK.

Fill
 Posté le 07/11/2012 à 22:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Téléchargez Combofix :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe




* IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau

Désactivez vos applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

Faites un double clic sur combofix.exe & suivez les invites.

Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.



**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.




Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:





Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.


Fill

Publicité
cherissy
 Posté le 08/11/2012 à 20:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag partie 1.txt

cherissy
 Posté le 08/11/2012 à 20:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag partie 2.txt

cherissy
 Posté le 08/11/2012 à 20:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir,

Veuillez trouver le rapport de ZHP DIAG ci-dessus en 2 parties car le fichier était trop volumineux.

Je passe maintenant à Combofix.

Merci.

cherissy
 Posté le 08/11/2012 à 21:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le rapport COMBOFIX ci dessous :

cherissy
 Posté le 08/11/2012 à 21:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : Combofix.txt

cherissy
 Posté le 08/11/2012 à 21:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Quelle est la prochaine étape??

Est ce que je suis encore infecté par System Progressive Protection?

Est ce que je dois désinstaller le logiciel SPY HUNTER que j'avais téléchargé par erreur pour résoudre mon problème?

Fill
 Posté le 09/11/2012 à 00:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Il en reste encore. Il faut éviter de prendre des initiatives sans me le dire. Divers outils ont déjà été passé et cela rend la lecture et l'aide très compliquées !

1/ Télécharge Adwcleaner de Xplode sur ton Bureau (Pour Vista ou windows 7, il faut faire un clic droit et exécuter en tant qu'administrateur),
Clique sur Recherche,
Edite le rapport généré qui se trouve là : C:\AdwCleaner[R1].txt et les précédents déjà générés.

2/

  • Télécharge Roguekiller de Tigzy sur ton Bureau,
  • Exécute le programme (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification) :

  • Clique sur le bouton "Scan" pour lancer l'analyse,
  • Un rapport nommé RKreport[1] doit être créé sur ton Bureau. Copie son contenu dans ta prochaine réponse.
  • Edite aussi les autres rapports déjà créés quand tu as lancé l'outil.

Fill



Modifié par Fill le 09/11/2012 01:02
cherissy
 Posté le 09/11/2012 à 19:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir,

Excusez moi pour les erreurs que j'ai faites.

Voici le rapport AdwCleaner que je viens de lancer :

# AdwCleaner v2.007 - Rapport créé le 09/11/2012 à 19:14:18
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Compaq_Propriétaire - CHRISTINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Documents and Settings\All Users\Application Data\SweetIM
Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\CT3242339
Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\extensions\{19803860-b306-423c-bbb5-f60a7d82cde5}
Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\Smartbar
Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\SweetPacksToolbarData
Dossier Présent : C:\Program Files\SweetIM
Fichier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
Fichier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\searchplugins\SweetIm.xml
Fichier Présent : C:\Documents and Settings\Compaq_Propriétaire\Bureau\Search The Web.url

***** [Registre] *****

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
Clé Présente : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils
Clé Présente : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1
Clé Présente : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator
Clé Présente : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1
Clé Présente : HKLM\SOFTWARE\Classes\sim-packages
Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar
Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1
Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook
Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1
Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie
Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{EEE6C35D-6118-11DC-9C72-001320C79847}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SweetIM]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Sweetpacks Communicator]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelperApp.exe]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarProxy.dll]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3586 octets] - [07/11/2012 20:32:45]
AdwCleaner[R2].txt - [5508 octets] - [09/11/2012 19:14:18]
AdwCleaner[S1].txt - [3688 octets] - [07/11/2012 20:35:19]

########## EOF - C:\AdwCleaner[R2].txt - [5628 octets] ##########

Voici le rapport Adw Cleaner que j'avais précédemment lancé :

1) AdwCleaner R1

# AdwCleaner v2.007 - Rapport créé le 07/11/2012 à 20:32:45
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Compaq_Propriétaire - CHRISTINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]


***** [Services] *****

Présent : Application Updater

***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\pdfforge
Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Search Settings
Dossier Présent : C:\Program Files\Application Updater
Dossier Présent : C:\Program Files\Fichiers communs\spigot
Dossier Présent : C:\Program Files\pdfforge Toolbar
Fichier Présent : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\eBay.lnk

***** [Registre] *****

Clé Présente : HKCU\Software\AppDataLow\Software\pdfforge
Clé Présente : HKCU\Software\AppDataLow\Software\Search Settings
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Présente : HKCU\Software\pdfforge
Clé Présente : HKCU\Software\Search Settings
Clé Présente : HKCU\Software\Softonic
Clé Présente : HKLM\Software\Application Updater
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A0B139A7-E8D5-49E8-A7BF-12421E652208}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C2F6A415-2A69-48F1-8F91-B9381B33FF1A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Présente : HKLM\Software\pdfforge
Clé Présente : HKLM\Software\Search Settings
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3457 octets] - [07/11/2012 20:32:45]

########## EOF - C:\AdwCleaner[R1].txt - [3517 octets] ##########

2) AdwCleaner S1 :

# AdwCleaner v2.007 - Rapport créé le 07/11/2012 à 20:35:19
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Compaq_Propriétaire - CHRISTINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : Application Updater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Application Data\pdfforge
Dossier Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Search Settings
Dossier Supprimé : C:\Program Files\Application Updater
Dossier Supprimé : C:\Program Files\Fichiers communs\spigot
Dossier Supprimé : C:\Program Files\pdfforge Toolbar
Fichier Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\pdfforge
Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\pdfforge
Clé Supprimée : HKCU\Software\Search Settings
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\Application Updater
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A0B139A7-E8D5-49E8-A7BF-12421E652208}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C2F6A415-2A69-48F1-8F91-B9381B33FF1A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKLM\Software\pdfforge
Clé Supprimée : HKLM\Software\Search Settings
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3586 octets] - [07/11/2012 20:32:45]
AdwCleaner[S1].txt - [3559 octets] - [07/11/2012 20:35:19]

########## EOF - C:\AdwCleaner[S1].txt - [3619 octets] ##########

Publicité
cherissy
 Posté le 09/11/2012 à 19:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le rapport Rogue Killer que je viens de lancer :

RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 09/11/2012 19:24:46

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 1 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7C53114)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7C530CE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7C5311E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7C530C4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7C530D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7C530DD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7C5310F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7C530E2)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7C530B0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7C530B5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7C530EC)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7C530E7)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7C53123)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7C530D8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7C530BF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C53128)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C5312D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_09112012_192446.txt >>
RKreport[1]_S_09112012_192446.txt


Une fois le scan terminé, il y a une ligne qui apparaît où c'est marqué "TROUVER" : est ce que je dois le supprimer???


Voici les précédents rapports lancés antérieurement :

1) Rapport 1 :

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 06/11/2012 22:14:24

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnablELUA (0) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7BA3114)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7BA30CE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7BA311E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7BA30C4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7BA30D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7BA30DD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7BA310F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7BA30E2)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7BA30B0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7BA30B5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7BA30EC)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7BA30E7)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7BA3123)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7BA30D8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7BA30BF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7BA3128)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7BA312D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_06112012_221424.txt >>
RKreport[1]_S_06112012_221424.txt


2) Rapport 2 :

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Suppression -- Date : 06/11/2012 22:16:41

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnablELUA (0) -> REMPLACÉ (1)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7BA3114)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7BA30CE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7BA311E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7BA30C4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7BA30D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7BA30DD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7BA310F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7BA30E2)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7BA30B0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7BA30B5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7BA30EC)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7BA30E7)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7BA3123)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7BA30D8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7BA30BF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7BA3128)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7BA312D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_06112012_221641.txt >>
RKreport[1]_S_06112012_221424.txt ; RKreport[2]_D_06112012_221641.txt


3) Rapport 3

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 06/11/2012 22:28:41

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7C51734)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7C516EE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7C5173E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7C516E4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7C516F3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7C516FD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7C5172F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7C51702)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7C516D0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7C516D5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7C5170C)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7C51707)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7C51743)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7C516F8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7C516DF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C51748)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C5174D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_S_06112012_222841.txt >>
RKreport[1]_S_06112012_221424.txt ; RKreport[2]_D_06112012_221641.txt ; RKreport[3]_S_06112012_222841.txt



Fill
 Posté le 09/11/2012 à 19:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir,

1/ Tu relances Roguekiller en mode "Suppression" et tu édites le rapport.

2/

  • Télécharge TFC par Old_Timer sur ton Bureau,
  • Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  • L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  • Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  • Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système. S'il ne le fait pas, fais-le redémarrer manuellement le PC toi-même pour parachever le nettoyage.

3/ Tu édites un nouveau rapport ZHPDiag. Tu peux l'héberger sur cjoint s'il est trop long : http://www.cjoint.com/

Fill

cherissy
 Posté le 09/11/2012 à 19:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le rapport Rogue Killer après suppression :

RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Suppression -- Date : 09/11/2012 19:40:37

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 1 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7C53114)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7C530CE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7C5311E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7C530C4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7C530D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7C530DD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7C5310F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7C530E2)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7C530B0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7C530B5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7C530EC)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7C530E7)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7C53123)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7C530D8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7C530BF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C53128)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C5312D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_09112012_194037.txt >>
RKreport[1]_S_09112012_192446.txt ; RKreport[2]_D_09112012_194037.txt



cherissy
 Posté le 09/11/2012 à 21:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le lien du rapport de ZHP Diag : http://cjoint.com/?3KjvmFYKsV3

Que dois-je faire maintenant?

Merci

Fill
 Posté le 09/11/2012 à 22:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/ Désinstalle ceci :

  • Spyhunter,
  • SweetIM,
  • SweetPacks,
  • Update Manager for SweetPacks 1.1,
  • pdfforge Toolbar v6.5

2/

Image IPB ZHPFix (de Nicolas Coolman)

  • A l'aide de ta souris (pointeur souris et clic gauche) parcours et mets tout le script suivant en surbrillance et copie (clic droit ou Ctrl+C) la totalité des lignes du cadre ci dessous.



EmptyTemp
EmptyFlash
EmptyCLSID
[MD5.C12BE8A3CEA0F5AAD23472FF8755FBAE] - (.Enigma Software Group USA, LLC. - SpyHunter4 application.) -- C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe [6286784] [PID.]
[MD5.0A61A3ACE26CA4FC637BC8AF8C05CC00] - (.SweetIM Technologies Ltd. - SweetIM Instant Messenger Enhancer.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe [115032] [PID.]
[MD5.84A878D2D4A84CC73D53733F80FB57CE] - (.SweetIM Technologies Ltd. - Update Manager for SweetPacks.) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768] [PID.]
M2 - MFEP: prefs.js [Compaq_Propriétaire - dq86fzcz.default\{19803860-b306-423c-bbb5-f60a7d82cde5}] [] WiseConvert 1.5 v10.13.1.89 (.Conduit Ltd..)
O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} Clé orpheline
O2 - BHO: (no name) - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} Clé orpheline
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} Clé orpheline
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} Clé orpheline
O2 - BHO: (no name) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Clé orpheline
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} Clé orpheline
O2 - BHO: (no name) - {EEE6C35C-6118-11DC-9C72-001320C79847} Clé orpheline
O3 - Toolbar: (no name) - [HKLM]{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} . (...) -- (.not file.)
O3 - Toolbar: (no name) - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (...) -- (.not file.)
O3 - Toolbar: (no name) - [HKLM]{EEE6C35B-6118-11DC-9C72-001320C79847} . (...) -- (.not file.)
O4 - HKLM\..\Run: [SpyHunter Security Suite] . (.Enigma Software Group USA, LLC. - SpyHunter4 application.) -- C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe
O4 - HKLM\..\Run: [SweetIM] . (.SweetIM Technologies Ltd. - SweetIM Instant Messenger Enhancer.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [Sweetpacks Communicator] . (.SweetIM Technologies Ltd. - Update Manager for SweetPacks.) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe
O9 - Extra button: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -- Clé orpheline
O42 - Logiciel: SpyHunter - (.Enigma Software Group USA, LLC.) [HKLM] -- {DDABC667-56B3-4122-82B0-2F5782EA2F9A}
O42 - Logiciel: SweetIM for Messenger 3.7 - (.SweetIM Technologies Ltd..) [HKLM] -- {A0C9DF2B-89B5-4483-8983-18A68200F1B4}
O42 - Logiciel: SweetPacks bundle uninstaller - (.SweetIM Technologies Ltd..) [HKLM] -- {953AA732-9AFB-49C9-84A4-7F96CA0A08DA}
O42 - Logiciel: Update Manager for SweetPacks 1.1 - (.SweetIM Technologies Ltd..) [HKLM] -- {EA8FA6BE-29BE-4AF2-9352-841F83215EB0}
O42 - Logiciel: pdfforge Toolbar v6.5 - (.Spigot, Inc..) [HKLM] -- {169917C4-4A77-45F4-B20E-860703FD5E6F}
[HKLM\Software\EnigmaSoftwareGroup]
O43 - CFD: 05/11/2012 - 22:13:37 - [19,195] ----D C:\Program Files\Enigma Software Group
O43 - CFD: 07/11/2012 - 20:52:53 - [11,639] ----D C:\Program Files\SweetIM
[HKLM\Software\Classes\sim-packages] =>Toolbar.Agent
[HKLM\Software\Classes\sweetie.ietoolbar] =>Toolbar.SweetIM
[HKLM\Software\Classes\sweetie.ietoolbar.1] =>Toolbar.SweetIM
[HKLM\Software\Classes\sweetim_urlsearchhook.toolbarurlsearchhook] =>Toolbar.SweetIM
[HKLM\Software\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1] =>Toolbar.SweetIM
[HKLM\Software\Classes\Toolbar3.sweetie] =>Toolbar.SweetIM
[HKLM\Software\Classes\Toolbar3.sweetie.1] =>Toolbar.SweetIM
[HKLM\Software\Classes\TypeLib\{4d3b167e-5fd8-4276-8fd7-9df19c1e4d19}] =>Toolbar.SweetIM
[HKLM\Software\Classes\CLSID\{82ac53b4-164c-4b07-a016-437a8388b81a}] =>Toolbar.SweetIM
[HKLM\Software\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}] =>
[HKLM\Software\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}] =>Toolbar.Babylon
[HKLM\Software\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}] =>
[HKLM\Software\Classes\Interface\{eee6c358-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKLM\Software\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKLM\Software\Classes\Interface\{eee6c35a-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{eee6c35b-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKLM\Software\Classes\CLSID\{eee6c35b-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKLM\Software\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKLM\Software\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKLM\Software\Classes\TypeLib\{eee6c35e-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKLM\Software\Classes\TypeLib\{eee6c35f-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}] =>Toolbar.SweetIM
[HKLM\Software\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}] =>Toolbar.Babylon
[HKCU\Software\SweetIM] =>Toolbar.SweetIM
[HKLM\Software\SweetIM] =>Toolbar.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SpyHunter Security Suite =>Crapware.SpyHunter
C:\Program Files\SweetIM =>Toolbar.SweetIM
C:\Program Files\Enigma Software Group\SpyHunter =>Crapware.SpyHunter
C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\SearchPlugins\sweetim.xml =>Toolbar.SweetIM


  • Double-clique sur l'icone bureau représentant une seringue "ZHPFix".
  • Note : Sous Vista/Seven, fais un clic droit et choisissez Exécuter en tant qu'administrateur.
  • Dans l'interface du programme, en haut à gauche...Clique sur le 2eme bouton représentant une Malette pour coller les lignes de script dans la fenêtre de ZHPFix.
  • Vérifie bien que le script correspond aux lignes que tu voies dans ZHPFix.
  • La fenêtre doit contenir uniquement les lignes que tu as sélectionnées/copiées au-dessus.(Si ça ne correspond pas, interrompts la procédure et préviens-moi.)
  • Quand ceci est fait, ferme ton navigateur internet et tes programmes ouverts y compris ton antivirus
  • Clique sur le nouveau bouton « GO » qui est apparu pour lancer le nettoyage et confirme ton action dans le pop-up suivant.(Note : le bureau va peut-être disparaitre une fraction de secondes ; c'est normal)




Image IPB

  • Ne touche à rien pendant cette étape. Si le programme demande un redémarrage du pc > faits-le !
  • A l'issue un rapport ZHPFix.txt est créé sur votre bureau. Tu peux fermer ZHPFix.
  • Réactive ton antivirus et poste ce rapport par copier/coller.
  • Note :Si le Bureau ne réapparait pas. Presse Ctrl+Alt+Suppr afin d'accéder au gestionnaire des tâches. Dans ce dernier sélectionne l'onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide.

3/ Utilise MBAM comme indiqué dans ce tuto et édite le rapport.

4/ Fais une analyse en ligne avec Eset et édite le rapport.

Fill

cherissy
 Posté le 10/11/2012 à 10:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour,

Voici le rapport de ZHPFix :

Rapport de ZHPFix 1.3.05 par Nicolas Coolman, Update du 09/10/2012
Fichier d'export Registre :
Run by Compaq_Propriétaire at 10/11/2012 10:11:32
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
ABSENT Software Key: {DDABC667-56B3-4122-82B0-2F5782EA2F9A}
ABSENT Software Key: {A0C9DF2B-89B5-4483-8983-18A68200F1B4}
ABSENT Software Key: {953AA732-9AFB-49C9-84A4-7F96CA0A08DA}
ABSENT Software Key: {EA8FA6BE-29BE-4AF2-9352-841F83215EB0}
ABSENT Software Key: {169917C4-4A77-45F4-B20E-860703FD5E6F}

========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID BHO: {18DF081C-E8AD-4283-A596-FA578C2EBDC3}
SUPPRIME Key: CLSID BHO: {3785D0AD-BFFF-47F6-BF5B-A587C162FED9}
SUPPRIME Key: CLSID BHO: {5C255C8A-E604-49b4-9D64-90988571CECB}
SUPPRIME Key: CLSID BHO: {9030D464-4C02-4ABF-8ECC-5164760863C6}
SUPPRIME Key: CLSID BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}
SUPPRIME Key: CLSID BHO: {AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
SUPPRIME Key: CLSID BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
SUPPRIME Key: CLSID BHO: {EEE6C35C-6118-11DC-9C72-001320C79847}
SUPPRIME Key: CLSID Extra Buttons: {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
SUPPRIME Key: HKLM\Software\EnigmaSoftwareGroup
ABSENT Key: HKLM\Software\Classes\sim-packages
SUPPRIME Key: HKLM\Software\Classes\sweetie.ietoolbar
SUPPRIME Key: HKLM\Software\Classes\sweetie.ietoolbar.1
SUPPRIME Key: HKLM\Software\Classes\sweetim_urlsearchhook.toolbarurlsearchhook
SUPPRIME Key: HKLM\Software\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1
SUPPRIME Key: HKLM\Software\Classes\Toolbar3.sweetie
SUPPRIME Key: HKLM\Software\Classes\Toolbar3.sweetie.1
ABSENT Key: HKLM\Software\Classes\TypeLib\{4d3b167e-5fd8-4276-8fd7-9df19c1e4d19}
ABSENT Key: HKLM\Software\Classes\CLSID\{82ac53b4-164c-4b07-a016-437a8388b81a}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
ABSENT Key: HKLM\Software\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
SUPPRIME Key: HKLM\Software\Classes\Interface\{eee6c358-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKLM\Software\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
ABSENT Key: HKLM\Software\Classes\Interface\{eee6c35a-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{eee6c35b-6118-11dc-9c72-001320c79847}
ABSENT Key: HKLM\Software\Classes\CLSID\{eee6c35b-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
ABSENT Key: HKLM\Software\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{eee6c35e-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{eee6c35f-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
ABSENT Key: HKLM\Software\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
SUPPRIME Key: HKCU\Software\SweetIM
SUPPRIME Key: HKLM\Software\SweetIM

========== Valeur(s) du Registre ==========
SUPPRIME Toolbar: {759D9886-0C6F-4498-BAB6-4A5F47C6C72F}
SUPPRIME Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F}
SUPPRIME Toolbar: {EEE6C35B-6118-11DC-9C72-001320C79847}
SUPPRIME RunValue: SpyHunter Security Suite
ABSENT RunValue: SweetIM
ABSENT RunValue: Sweetpacks Communicator
ABSENT [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SpyHunter Security Suite

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\Enigma Software Group
SUPPRIME Folder: C:\Program Files\SweetIM

========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:
ABSENT Folder/File: c:\program files\enigma software group\spyhunter\spyhunter4.exe
ABSENT Folder/File: c:\program files\sweetim\messenger\sweetim.exe
ABSENT Folder/File: c:\program files\sweetim\communicator\sweetpacksupdatemanager.exe
ABSENT File: c:\program files\enigma software group\spyhunter\spyhunter4.exe
ABSENT File: c:\program files\sweetim\messenger\sweetim.exe
ABSENT File: c:\program files\sweetim\communicator\sweetpacksupdatemanager.exe
ABSENT Folder/File: c:\program files\sweetim
ABSENT Folder/File: c:\program files\enigma software group\spyhunter
SUPPRIME File: C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\SearchPlugins\sweetim.xml
SUPPRIME File***: c:\documents and settings\compaq_propriétaire\application data\mozilla\firefox\profiles\dq86fzcz.default\searchplugins\sweetim.xml


========== Récapitulatif ==========
39 : Clé(s) du Registre
7 : Valeur(s) du Registre
2 : Dossier(s)
12 : Fichier(s)
5 : Logiciel(s)


End of clean in 00mn 07s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 10/11/2012 10:11:32 [5397]

cherissy
 Posté le 10/11/2012 à 10:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le rapport MBAM : il a trouvé 3 éléments, et j'ai ensuite cliqué sur "Enregistrer le rapport" comme prévu dans la procédure.

Par contre, je n'arrive pas à cliquer ensuite sur l'onglet : "Rapports/Logs" : est ce que ce rapport vous suffit ? Est ce que je peux procéder au nettoyage?

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.10.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Compaq_Propriétaire
CHRISTINE [administrateur]

10/11/2012 10:17:14
mbam-log-2012-11-10 (10-25-48).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 199035
Temps écoulé: 7 minute(s), 1 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Aucune action effectuée.

Fichier(s) détecté(s): 2
C:\Documents and Settings\Compaq_Propriétaire\Bureau\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Aucune action effectuée.
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Aucune action effectuée.

(fin)

Fill
 Posté le 10/11/2012 à 12:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Oui, tu peux procéder au nettoyage et ré-éditer le rapport après nettoyage.

Fill

cherissy
 Posté le 10/11/2012 à 19:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le rapport de MBAM après "nettoyage" :

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.10.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Compaq_Propriétaire
CHRISTINE [administrateur]

10/11/2012 17:21:11
mbam-log-2012-11-10 (17-21-11).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 337083
Temps écoulé: 1 heure(s), 26 minute(s), 47 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 6
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\C8D4001D33222F8E0000C8D337553ACD\C8D4001D33222F8E0000C8D337553ACD.exe.vir (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\WINDOWS\system32\atmaider.dll.vir (Backdoor.Papras) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP235\A0110931.exe (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP235\A0110933.dll (Backdoor.Papras) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Compaq_Propriétaire\Bureau\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.

(fin)

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Supprimer System Progressive Protection
System Progressive Protection
VIRUS SYSTEM PROGRESSIVE PROTECTION
Rogue system progressive Protection
Infection par System Progressive Protection
System Progressive Protection
system progressive protection
Infection par system progressive Protection
Comment supprimer un dossier dans SYSTEM ?
Comment supprimer system doctor?
Plus de sujets relatifs à System Progressive Protection : comment supprimer?
 > Tous les forums > Forum Sécurité