Ps :

- Voici le 2ème rapport :

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Suppression -- Date : 06/11/2012 22:16:41

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnablELUA (0) -> REMPLACÉ (1)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7BA3114)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7BA30CE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7BA311E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7BA30C4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7BA30D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7BA30DD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7BA310F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7BA30E2)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7BA30B0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7BA30B5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7BA30EC)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7BA30E7)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7BA3123)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7BA30D8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7BA30BF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7BA3128)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7BA312D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_06112012_221641.txt >>
RKreport[1]_S_06112012_221424.txt ; RKreport[2]_D_06112012_221641.txt


- Voici le 3ème rapport :

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 06/11/2012 22:28:41

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7C51734)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7C516EE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7C5173E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7C516E4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7C516F3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7C516FD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7C5172F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7C51702)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7C516D0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7C516D5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7C5170C)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7C51707)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7C51743)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7C516F8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7C516DF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C51748)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C5174D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_S_06112012_222841.txt >>
RKreport[1]_S_06112012_221424.txt ; RKreport[2]_D_06112012_221641.txt ; RKreport[3]_S_06112012_222841.txt

Merci !

Bonjour,

Je vais t'assister au cours de cette désinfection. Si tu es d'accord, on va fixer quelques règles pour que la désinfection soit efficace.

Si tu as ouvert un sujet similaire sur un autre forum, merci de me prévenir afin que je ne fasse pas de recherches inutiles et par souci d'efficacité (on ne prend pas rendez-vous dans 2 garages pour le même problème mécanique),
Si tu as des cracks ou des keygens, tu les supprimes,
Si tu as un windows illégal, je ne désinfecte pas.
Tu poursuis la désinfection jusqu'au bout, même si tu constates une amélioration rapide, et de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.
La désinfection comprend un diagnostic, un nettoyage, la suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
Quelques-uns des outils utilisés peuvent faire réagir certains antivirus, car ils sont puissants et destructeurs s'ils sont mal utilisés.
Pour me permettre d'établir un diagnostic, peux-tu suivre ces consignes et éditer les trois rapports demandés ? (Adcleaner, malwarebyte's et ZHPDiag) : https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

Si tu as des questions, n'hésite pas.

Fill

Bonjour,

Merci pour votre aide.

Je respecte et respecterai les règles que vous m'avez énoncé.

Quand j'ouvre Malwarebytes Anti Malware, il m'affiche le message suivant : "la base de données de Malwarebyte est absente ou corrompue. Voulez vous télécharger une nouvelle copie? ".

Quand je clique sur oui, le logiciel se connecte au serveur, le message suivant s'affiche : "Des fichiers du produit sont absents ou corrompus. Veuillez réinstaller le produit. PROGRAM_ERROR_LOAD_DATABASE (0,2 SKDCreate)

Que dois-je faire?

Salut,

Tu passes à ZHPDiag.

Fill

Voici le rapport de AdwCleaner :

# AdwCleaner v2.007 - Rapport créé le 07/11/2012 à 20:35:19
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Compaq_Propriétaire - CHRISTINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : Application Updater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Application Data\pdfforge
Dossier Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Search Settings
Dossier Supprimé : C:\Program Files\Application Updater
Dossier Supprimé : C:\Program Files\Fichiers communs\spigot
Dossier Supprimé : C:\Program Files\pdfforge Toolbar
Fichier Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\pdfforge
Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\pdfforge
Clé Supprimée : HKCU\Software\Search Settings
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\Application Updater
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A0B139A7-E8D5-49E8-A7BF-12421E652208}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C2F6A415-2A69-48F1-8F91-B9381B33FF1A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKLM\Software\pdfforge
Clé Supprimée : HKLM\Software\Search Settings
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3586 octets] - [07/11/2012 20:32:45]
AdwCleaner[S1].txt - [3559 octets] - [07/11/2012 20:35:19]

########## EOF - C:\AdwCleaner[S1].txt - [3619 octets] ##########

Je suis en train de faire l'analyse de ZHP Diag, mais une icône attention en bas à droite (barre d'outils) s'affiche avec le message suivant :

" ZHPDiag: ZHPDIag.exe - Fichier endommagé"

Que dois-je faire??

Merci

Ps : sur le message affiché par l'icone de la barre d'outils, il est également affiché : Exécutez l'utilitaire CHKDSK.

Re,

Téléchargez Combofix :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau

Désactivez vos applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

Faites un double clic sur combofix.exe & suivez les invites.

Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.



**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.




Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:





Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.


Fill

Fichier joint : ZHPDiag partie 1.txt

Fichier joint : ZHPDiag partie 2.txt

Bonsoir,

Veuillez trouver le rapport de ZHP DIAG ci-dessus en 2 parties car le fichier était trop volumineux.

Je passe maintenant à Combofix.

Merci.

Voici le rapport COMBOFIX ci dessous :

Fichier joint : Combofix.txt

Quelle est la prochaine étape??

Est ce que je suis encore infecté par System Progressive Protection?

Est ce que je dois désinstaller le logiciel SPY HUNTER que j'avais téléchargé par erreur pour résoudre mon problème?

Salut,

Il en reste encore. Il faut éviter de prendre des initiatives sans me le dire. Divers outils ont déjà été passé et cela rend la lecture et l'aide très compliquées !

1/ Télécharge Adwcleaner de Xplode sur ton Bureau (Pour Vista ou windows 7, il faut faire un clic droit et exécuter en tant qu'administrateur),
Clique sur Recherche,
Edite le rapport généré qui se trouve là : C:\AdwCleaner[R1].txt et les précédents déjà générés.

2/

• Télécharge Roguekiller de Tigzy sur ton Bureau,
• Exécute le programme (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
• Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification) :

• Clique sur le bouton "Scan" pour lancer l'analyse,
• Un rapport nommé RKreport[1] doit être créé sur ton Bureau. Copie son contenu dans ta prochaine réponse.
• Edite aussi les autres rapports déjà créés quand tu as lancé l'outil.

Fill

Bonsoir,

Excusez moi pour les erreurs que j'ai faites.

Voici le rapport AdwCleaner que je viens de lancer :

# AdwCleaner v2.007 - Rapport créé le 09/11/2012 à 19:14:18
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Compaq_Propriétaire - CHRISTINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Documents and Settings\All Users\Application Data\SweetIM
Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\CT3242339
Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\extensions\{19803860-b306-423c-bbb5-f60a7d82cde5}
Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\Smartbar
Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\SweetPacksToolbarData
Dossier Présent : C:\Program Files\SweetIM
Fichier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
Fichier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\searchplugins\SweetIm.xml
Fichier Présent : C:\Documents and Settings\Compaq_Propriétaire\Bureau\Search The Web.url

***** [Registre] *****

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
Clé Présente : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils
Clé Présente : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1
Clé Présente : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator
Clé Présente : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1
Clé Présente : HKLM\SOFTWARE\Classes\sim-packages
Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar
Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1
Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook
Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1
Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie
Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{EEE6C35D-6118-11DC-9C72-001320C79847}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SweetIM]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Sweetpacks Communicator]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelperApp.exe]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarProxy.dll]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3586 octets] - [07/11/2012 20:32:45]
AdwCleaner[R2].txt - [5508 octets] - [09/11/2012 19:14:18]
AdwCleaner[S1].txt - [3688 octets] - [07/11/2012 20:35:19]

########## EOF - C:\AdwCleaner[R2].txt - [5628 octets] ##########

Voici le rapport Adw Cleaner que j'avais précédemment lancé :

1) AdwCleaner R1

# AdwCleaner v2.007 - Rapport créé le 07/11/2012 à 20:32:45
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Compaq_Propriétaire - CHRISTINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]


***** [Services] *****

Présent : Application Updater

***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\pdfforge
Dossier Présent : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Search Settings
Dossier Présent : C:\Program Files\Application Updater
Dossier Présent : C:\Program Files\Fichiers communs\spigot
Dossier Présent : C:\Program Files\pdfforge Toolbar
Fichier Présent : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\eBay.lnk

***** [Registre] *****

Clé Présente : HKCU\Software\AppDataLow\Software\pdfforge
Clé Présente : HKCU\Software\AppDataLow\Software\Search Settings
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Présente : HKCU\Software\pdfforge
Clé Présente : HKCU\Software\Search Settings
Clé Présente : HKCU\Software\Softonic
Clé Présente : HKLM\Software\Application Updater
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A0B139A7-E8D5-49E8-A7BF-12421E652208}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C2F6A415-2A69-48F1-8F91-B9381B33FF1A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Présente : HKLM\Software\pdfforge
Clé Présente : HKLM\Software\Search Settings
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3457 octets] - [07/11/2012 20:32:45]

########## EOF - C:\AdwCleaner[R1].txt - [3517 octets] ##########

2) AdwCleaner S1 :

# AdwCleaner v2.007 - Rapport créé le 07/11/2012 à 20:35:19
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Compaq_Propriétaire - CHRISTINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : Application Updater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Application Data\pdfforge
Dossier Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Search Settings
Dossier Supprimé : C:\Program Files\Application Updater
Dossier Supprimé : C:\Program Files\Fichiers communs\spigot
Dossier Supprimé : C:\Program Files\pdfforge Toolbar
Fichier Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\pdfforge
Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\pdfforge
Clé Supprimée : HKCU\Software\Search Settings
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\Application Updater
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A0B139A7-E8D5-49E8-A7BF-12421E652208}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C2F6A415-2A69-48F1-8F91-B9381B33FF1A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKLM\Software\pdfforge
Clé Supprimée : HKLM\Software\Search Settings
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3586 octets] - [07/11/2012 20:32:45]
AdwCleaner[S1].txt - [3559 octets] - [07/11/2012 20:35:19]

########## EOF - C:\AdwCleaner[S1].txt - [3619 octets] ##########

Voici le rapport Rogue Killer que je viens de lancer :

RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 09/11/2012 19:24:46

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 1 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7C53114)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7C530CE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7C5311E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7C530C4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7C530D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7C530DD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7C5310F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7C530E2)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7C530B0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7C530B5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7C530EC)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7C530E7)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7C53123)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7C530D8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7C530BF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C53128)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C5312D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_09112012_192446.txt >>
RKreport[1]_S_09112012_192446.txt


Une fois le scan terminé, il y a une ligne qui apparaît où c'est marqué "TROUVER" : est ce que je dois le supprimer???

Voici les précédents rapports lancés antérieurement :

1) Rapport 1 :

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 06/11/2012 22:14:24

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnablELUA (0) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7BA3114)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7BA30CE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7BA311E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7BA30C4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7BA30D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7BA30DD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7BA310F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7BA30E2)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7BA30B0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7BA30B5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7BA30EC)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7BA30E7)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7BA3123)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7BA30D8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7BA30BF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7BA3128)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7BA312D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_06112012_221424.txt >>
RKreport[1]_S_06112012_221424.txt


2) Rapport 2 :

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Suppression -- Date : 06/11/2012 22:16:41

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnablELUA (0) -> REMPLACÉ (1)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7BA3114)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7BA30CE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7BA311E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7BA30C4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7BA30D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7BA30DD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7BA310F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7BA30E2)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7BA30B0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7BA30B5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7BA30EC)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7BA30E7)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7BA3123)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7BA30D8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7BA30BF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7BA3128)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7BA312D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_06112012_221641.txt >>
RKreport[1]_S_06112012_221424.txt ; RKreport[2]_D_06112012_221641.txt


3) Rapport 3

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 06/11/2012 22:28:41

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7C51734)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7C516EE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7C5173E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7C516E4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7C516F3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7C516FD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7C5172F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7C51702)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7C516D0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7C516D5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7C5170C)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7C51707)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7C51743)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7C516F8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7C516DF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C51748)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C5174D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_S_06112012_222841.txt >>
RKreport[1]_S_06112012_221424.txt ; RKreport[2]_D_06112012_221641.txt ; RKreport[3]_S_06112012_222841.txt

Bonsoir,

1/ Tu relances Roguekiller en mode "Suppression" et tu édites le rapport.

2/

• Télécharge TFC par Old_Timer sur ton Bureau,
• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
• Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système. S'il ne le fait pas, fais-le redémarrer manuellement le PC toi-même pour parachever le nettoyage.

3/ Tu édites un nouveau rapport ZHPDiag. Tu peux l'héberger sur cjoint s'il est trop long : http://www.cjoint.com/

Fill

Voici le rapport Rogue Killer après suppression :

RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Suppression -- Date : 09/11/2012 19:40:37

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 1 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1DF8 -> HOOKED (Unknown @ 0xF7C53114)
SSDT[41] : NtCreateKey @ 0x8061AD86 -> HOOKED (Unknown @ 0xF7C530CE)
SSDT[50] : NtCreateSection @ 0x805A0880 -> HOOKED (Unknown @ 0xF7C5311E)
SSDT[53] : NtCreateThread @ 0x805C73DE -> HOOKED (Unknown @ 0xF7C530C4)
SSDT[63] : NtDeleteKey @ 0x8061B222 -> HOOKED (Unknown @ 0xF7C530D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B3F2 -> HOOKED (Unknown @ 0xF7C530DD)
SSDT[68] : NtDuplicateObject @ 0x805B3A0C -> HOOKED (Unknown @ 0xF7C5310F)
SSDT[98] : NtLoadKey @ 0x8061CFAA -> HOOKED (Unknown @ 0xF7C530E2)
SSDT[122] : NtOpenProcess @ 0x805C1462 -> HOOKED (Unknown @ 0xF7C530B0)
SSDT[128] : NtOpenThread @ 0x805C16EE -> HOOKED (Unknown @ 0xF7C530B5)
SSDT[193] : NtReplaceKey @ 0x8061CE5A -> HOOKED (Unknown @ 0xF7C530EC)
SSDT[204] : NtRestoreKey @ 0x8061C766 -> HOOKED (Unknown @ 0xF7C530E7)
SSDT[213] : NtSetContextThread @ 0x805C9036 -> HOOKED (Unknown @ 0xF7C53123)
SSDT[247] : NtSetValueKey @ 0x806192F8 -> HOOKED (Unknown @ 0xF7C530D8)
SSDT[257] : NtTerminateProcess @ 0x805C86EA -> HOOKED (Unknown @ 0xF7C530BF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C53128)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C5312D)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP2004C +++++
--- User ---
[MBR] 3a1f864b8497eb29909dff24eee4a6a1
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 185470 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 379844640 | Size: 5308 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_09112012_194037.txt >>
RKreport[1]_S_09112012_192446.txt ; RKreport[2]_D_09112012_194037.txt

Voici le lien du rapport de ZHP Diag : http://cjoint.com/?3KjvmFYKsV3

Que dois-je faire maintenant?

Merci

Re,

1/ Désinstalle ceci :

• Spyhunter,
• SweetIM,
• SweetPacks,
• Update Manager for SweetPacks 1.1,
• pdfforge Toolbar v6.5

2/

ZHPFix (de Nicolas Coolman)

• A l'aide de ta souris (pointeur souris et clic gauche) parcours et mets tout le script suivant en surbrillance et copie (clic droit ou Ctrl+C) la totalité des lignes du cadre ci dessous.

EmptyTemp
EmptyFlash
EmptyCLSID
[MD5.C12BE8A3CEA0F5AAD23472FF8755FBAE] - (.Enigma Software Group USA, LLC. - SpyHunter4 application.) -- C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe [6286784] [PID.]
[MD5.0A61A3ACE26CA4FC637BC8AF8C05CC00] - (.SweetIM Technologies Ltd. - SweetIM Instant Messenger Enhancer.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe [115032] [PID.]
[MD5.84A878D2D4A84CC73D53733F80FB57CE] - (.SweetIM Technologies Ltd. - Update Manager for SweetPacks.) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768] [PID.]
M2 - MFEP: prefs.js [Compaq_Propriétaire - dq86fzcz.default\{19803860-b306-423c-bbb5-f60a7d82cde5}] [] WiseConvert 1.5 v10.13.1.89 (.Conduit Ltd..)
O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} Clé orpheline
O2 - BHO: (no name) - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} Clé orpheline
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} Clé orpheline
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} Clé orpheline
O2 - BHO: (no name) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Clé orpheline
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} Clé orpheline
O2 - BHO: (no name) - {EEE6C35C-6118-11DC-9C72-001320C79847} Clé orpheline
O3 - Toolbar: (no name) - [HKLM]{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} . (...) -- (.not file.)
O3 - Toolbar: (no name) - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (...) -- (.not file.)
O3 - Toolbar: (no name) - [HKLM]{EEE6C35B-6118-11DC-9C72-001320C79847} . (...) -- (.not file.)
O4 - HKLM\..\Run: [SpyHunter Security Suite] . (.Enigma Software Group USA, LLC. - SpyHunter4 application.) -- C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe
O4 - HKLM\..\Run: [SweetIM] . (.SweetIM Technologies Ltd. - SweetIM Instant Messenger Enhancer.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [Sweetpacks Communicator] . (.SweetIM Technologies Ltd. - Update Manager for SweetPacks.) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe
O9 - Extra button: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -- Clé orpheline
O42 - Logiciel: SpyHunter - (.Enigma Software Group USA, LLC.) [HKLM] -- {DDABC667-56B3-4122-82B0-2F5782EA2F9A}
O42 - Logiciel: SweetIM for Messenger 3.7 - (.SweetIM Technologies Ltd..) [HKLM] -- {A0C9DF2B-89B5-4483-8983-18A68200F1B4}
O42 - Logiciel: SweetPacks bundle uninstaller - (.SweetIM Technologies Ltd..) [HKLM] -- {953AA732-9AFB-49C9-84A4-7F96CA0A08DA}
O42 - Logiciel: Update Manager for SweetPacks 1.1 - (.SweetIM Technologies Ltd..) [HKLM] -- {EA8FA6BE-29BE-4AF2-9352-841F83215EB0}
O42 - Logiciel: pdfforge Toolbar v6.5 - (.Spigot, Inc..) [HKLM] -- {169917C4-4A77-45F4-B20E-860703FD5E6F}
[HKLM\Software\EnigmaSoftwareGroup]
O43 - CFD: 05/11/2012 - 22:13:37 - [19,195] ----D C:\Program Files\Enigma Software Group
O43 - CFD: 07/11/2012 - 20:52:53 - [11,639] ----D C:\Program Files\SweetIM
[HKLM\Software\Classes\sim-packages] =>Toolbar.Agent
[HKLM\Software\Classes\sweetie.ietoolbar] =>Toolbar.SweetIM
[HKLM\Software\Classes\sweetie.ietoolbar.1] =>Toolbar.SweetIM
[HKLM\Software\Classes\sweetim_urlsearchhook.toolbarurlsearchhook] =>Toolbar.SweetIM
[HKLM\Software\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1] =>Toolbar.SweetIM
[HKLM\Software\Classes\Toolbar3.sweetie] =>Toolbar.SweetIM
[HKLM\Software\Classes\Toolbar3.sweetie.1] =>Toolbar.SweetIM
[HKLM\Software\Classes\TypeLib\{4d3b167e-5fd8-4276-8fd7-9df19c1e4d19}] =>Toolbar.SweetIM
[HKLM\Software\Classes\CLSID\{82ac53b4-164c-4b07-a016-437a8388b81a}] =>Toolbar.SweetIM
[HKLM\Software\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}] =>
[HKLM\Software\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}] =>Toolbar.Babylon
[HKLM\Software\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}] =>
[HKLM\Software\Classes\Interface\{eee6c358-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKLM\Software\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKLM\Software\Classes\Interface\{eee6c35a-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{eee6c35b-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKLM\Software\Classes\CLSID\{eee6c35b-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKLM\Software\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKLM\Software\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}] =>Adware.BHO
[HKLM\Software\Classes\TypeLib\{eee6c35e-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKLM\Software\Classes\TypeLib\{eee6c35f-6118-11dc-9c72-001320c79847}] =>Toolbar.SweetIM
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}] =>Toolbar.SweetIM
[HKLM\Software\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}] =>Toolbar.Babylon
[HKCU\Software\SweetIM] =>Toolbar.SweetIM
[HKLM\Software\SweetIM] =>Toolbar.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SpyHunter Security Suite =>Crapware.SpyHunter
C:\Program Files\SweetIM =>Toolbar.SweetIM
C:\Program Files\Enigma Software Group\SpyHunter =>Crapware.SpyHunter
C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\SearchPlugins\sweetim.xml =>Toolbar.SweetIM

• Double-clique sur l'icone bureau représentant une seringue "ZHPFix".
• Note : Sous Vista/Seven, fais un clic droit et choisissez Exécuter en tant qu'administrateur.
• Dans l'interface du programme, en haut à gauche...Clique sur le 2eme bouton représentant une Malette pour coller les lignes de script dans la fenêtre de ZHPFix.
• Vérifie bien que le script correspond aux lignes que tu voies dans ZHPFix.
• La fenêtre doit contenir uniquement les lignes que tu as sélectionnées/copiées au-dessus.(Si ça ne correspond pas, interrompts la procédure et préviens-moi.)
• Quand ceci est fait, ferme ton navigateur internet et tes programmes ouverts y compris ton antivirus
• Clique sur le nouveau bouton « GO » qui est apparu pour lancer le nettoyage et confirme ton action dans le pop-up suivant.(Note : le bureau va peut-être disparaitre une fraction de secondes ; c'est normal)

• Ne touche à rien pendant cette étape. Si le programme demande un redémarrage du pc > faits-le !
• A l'issue un rapport ZHPFix.txt est créé sur votre bureau. Tu peux fermer ZHPFix.
• Réactive ton antivirus et poste ce rapport par copier/coller.
• Note :Si le Bureau ne réapparait pas. Presse Ctrl+Alt+Suppr afin d'accéder au gestionnaire des tâches. Dans ce dernier sélectionne l'onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide.

3/ Utilise MBAM comme indiqué dans ce tuto et édite le rapport.

4/ Fais une analyse en ligne avec Eset et édite le rapport.

Fill

Bonjour,

Voici le rapport de ZHPFix :

Rapport de ZHPFix 1.3.05 par Nicolas Coolman, Update du 09/10/2012
Fichier d'export Registre :
Run by Compaq_Propriétaire at 10/11/2012 10:11:32
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
ABSENT Software Key: {DDABC667-56B3-4122-82B0-2F5782EA2F9A}
ABSENT Software Key: {A0C9DF2B-89B5-4483-8983-18A68200F1B4}
ABSENT Software Key: {953AA732-9AFB-49C9-84A4-7F96CA0A08DA}
ABSENT Software Key: {EA8FA6BE-29BE-4AF2-9352-841F83215EB0}
ABSENT Software Key: {169917C4-4A77-45F4-B20E-860703FD5E6F}

========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID BHO: {18DF081C-E8AD-4283-A596-FA578C2EBDC3}
SUPPRIME Key: CLSID BHO: {3785D0AD-BFFF-47F6-BF5B-A587C162FED9}
SUPPRIME Key: CLSID BHO: {5C255C8A-E604-49b4-9D64-90988571CECB}
SUPPRIME Key: CLSID BHO: {9030D464-4C02-4ABF-8ECC-5164760863C6}
SUPPRIME Key: CLSID BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}
SUPPRIME Key: CLSID BHO: {AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
SUPPRIME Key: CLSID BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
SUPPRIME Key: CLSID BHO: {EEE6C35C-6118-11DC-9C72-001320C79847}
SUPPRIME Key: CLSID Extra Buttons: {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
SUPPRIME Key: HKLM\Software\EnigmaSoftwareGroup
ABSENT Key: HKLM\Software\Classes\sim-packages
SUPPRIME Key: HKLM\Software\Classes\sweetie.ietoolbar
SUPPRIME Key: HKLM\Software\Classes\sweetie.ietoolbar.1
SUPPRIME Key: HKLM\Software\Classes\sweetim_urlsearchhook.toolbarurlsearchhook
SUPPRIME Key: HKLM\Software\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1
SUPPRIME Key: HKLM\Software\Classes\Toolbar3.sweetie
SUPPRIME Key: HKLM\Software\Classes\Toolbar3.sweetie.1
ABSENT Key: HKLM\Software\Classes\TypeLib\{4d3b167e-5fd8-4276-8fd7-9df19c1e4d19}
ABSENT Key: HKLM\Software\Classes\CLSID\{82ac53b4-164c-4b07-a016-437a8388b81a}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
ABSENT Key: HKLM\Software\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
SUPPRIME Key: HKLM\Software\Classes\Interface\{eee6c358-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKLM\Software\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
ABSENT Key: HKLM\Software\Classes\Interface\{eee6c35a-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{eee6c35b-6118-11dc-9c72-001320c79847}
ABSENT Key: HKLM\Software\Classes\CLSID\{eee6c35b-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
ABSENT Key: HKLM\Software\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{eee6c35e-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{eee6c35f-6118-11dc-9c72-001320c79847}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
ABSENT Key: HKLM\Software\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
SUPPRIME Key: HKCU\Software\SweetIM
SUPPRIME Key: HKLM\Software\SweetIM

========== Valeur(s) du Registre ==========
SUPPRIME Toolbar: {759D9886-0C6F-4498-BAB6-4A5F47C6C72F}
SUPPRIME Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F}
SUPPRIME Toolbar: {EEE6C35B-6118-11DC-9C72-001320C79847}
SUPPRIME RunValue: SpyHunter Security Suite
ABSENT RunValue: SweetIM
ABSENT RunValue: Sweetpacks Communicator
ABSENT [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SpyHunter Security Suite

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\Enigma Software Group
SUPPRIME Folder: C:\Program Files\SweetIM

========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:
ABSENT Folder/File: c:\program files\enigma software group\spyhunter\spyhunter4.exe
ABSENT Folder/File: c:\program files\sweetim\messenger\sweetim.exe
ABSENT Folder/File: c:\program files\sweetim\communicator\sweetpacksupdatemanager.exe
ABSENT File: c:\program files\enigma software group\spyhunter\spyhunter4.exe
ABSENT File: c:\program files\sweetim\messenger\sweetim.exe
ABSENT File: c:\program files\sweetim\communicator\sweetpacksupdatemanager.exe
ABSENT Folder/File: c:\program files\sweetim
ABSENT Folder/File: c:\program files\enigma software group\spyhunter
SUPPRIME File: C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\dq86fzcz.default\SearchPlugins\sweetim.xml
SUPPRIME File***: c:\documents and settings\compaq_propriétaire\application data\mozilla\firefox\profiles\dq86fzcz.default\searchplugins\sweetim.xml

========== Récapitulatif ==========
39 : Clé(s) du Registre
7 : Valeur(s) du Registre
2 : Dossier(s)
12 : Fichier(s)
5 : Logiciel(s)

End of clean in 00mn 07s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 10/11/2012 10:11:32 [5397]

Voici le rapport MBAM : il a trouvé 3 éléments, et j'ai ensuite cliqué sur "Enregistrer le rapport" comme prévu dans la procédure.

Par contre, je n'arrive pas à cliquer ensuite sur l'onglet : "Rapports/Logs" : est ce que ce rapport vous suffit ? Est ce que je peux procéder au nettoyage?

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.10.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Compaq_Propriétaire
CHRISTINE [administrateur]

10/11/2012 10:17:14
mbam-log-2012-11-10 (10-25-48).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 199035
Temps écoulé: 7 minute(s), 1 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Aucune action effectuée.

Fichier(s) détecté(s): 2
C:\Documents and Settings\Compaq_Propriétaire\Bureau\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Aucune action effectuée.
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Aucune action effectuée.

(fin)

Salut,

Oui, tu peux procéder au nettoyage et ré-éditer le rapport après nettoyage.

Fill

Voici le rapport de MBAM après "nettoyage" :

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.10.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Compaq_Propriétaire
CHRISTINE [administrateur]

10/11/2012 17:21:11
mbam-log-2012-11-10 (17-21-11).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 337083
Temps écoulé: 1 heure(s), 26 minute(s), 47 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 6
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\C8D4001D33222F8E0000C8D337553ACD\C8D4001D33222F8E0000C8D337553ACD.exe.vir (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\WINDOWS\system32\atmaider.dll.vir (Backdoor.Papras) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP235\A0110931.exe (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP235\A0110933.dll (Backdoor.Papras) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Compaq_Propriétaire\Bureau\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.

(fin)

Voici le rapport de ESET après analyse :

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=af60070930ebe2479d9d3d6f67701a12
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-10 07:32:37
# local_time=2012-11-10 08:32:37 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775145 100 93 1034659 86730674 855516 0
# compatibility_mode=8192 67108863 100 0 4130 4130 0 0
# scanned=162128
# found=8
# cleaned=8
# scan_time=4733
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP213\A0098608.dll une variante de Win32/Toolbar.Widgi Application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP216\A0100238.dll une variante de Win32/Toolbar.Widgi Application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP226\A0106216.rbf une variante de Win32/Toolbar.Widgi Application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP226\A0106217.rbf une variante de Win32/Toolbar.Widgi Application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP226\A0106220.rbf une variante de Win32/Toolbar.Widgi Application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP228\A0107453.rbf une variante de Win32/Toolbar.Widgi Application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP228\A0107454.rbf une variante de Win32/Toolbar.Widgi Application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP228\A0107457.rbf une variante de Win32/Toolbar.Widgi Application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C

Est ce que je peux cliquer sur "Suppression des fichiers en quarantaine" ou alors est ce que je clique directement sur Terminer?

Merci

Pour votre information, j'ai fermé ESET en cliquant sur TERMINER.

Que dois-je faire maintenant?

Merci

Salut,

C'est OK. C'est dans la restauation système. On va s'en occuper. Si tout est OK, tu finis en faisant cela :

1/ Renomme Combofix en Uninstall. Double-clique dessus.

2/

• Télécharge et enregistre Delfix sur ton Bureau,
• Lance le programme (double-clic ou clic droit>Exécuter en tant qu'administrateur),
• Le programme va s'exécuter et un rapport va s'ouvrir. Cela peut prendre un peu de temps. Edite ce rapport par copier-coller.
• Celui-ci se trouve également ici : C:\DelFixSuppr
• Lorsque le rapport est édité, relance Delfix et choisis "Suppression".
• Edite également ce rapport.
  

3/ Tu peux par contre, garderMalwarebytes'Anti-malware et CCleaner. Utilise CCleaner tous les soirs avant de couper le PC (ne prends que quelques secondes!).

N'oublie pas de vacicner tes clés USB, disques durs externes etc...

Cela permet d'éviter un certain nombre d'infections utilisant ce moyen pour se propager.

Tu peux lire cet article qui explique les risques d'infections par supports amovibles.
Tu peux télécharger USBSet de Loup Blanc. Voici un tuto pour configurer correctement l'outil préventif. Comment c'est le cas pour tout vaccin, il n'évitera pas toutes les infections par ce type de support mais permet de réduire le facteur de risques en configurant correctement la machine et la clé.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

4/

Il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections.Cela englobe les mises à jour de windows, du navigateur, de Java, des lecteurs pdf, et notamment reader.

Pour Java, il est possible d'utiliser Javara. Cela permet d'installer la dernière version De Java et d'effacer les anciennes versions.

Pour le lecteur pdf, on peut utiliser des lecteurs alternatifs plus légers, comme Sumatra pdf, à la place de reader.

Pour tester les vulnérabilités et les logiciels non à jour, il est possible de se rendre sur le site de Secunia et de faire une analyse de la machine.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
5/

/!\ Maintenant que ton PC n'est plus infecté, désactive la "Restauration du système" afin de créer un point de restauration sain.

Pour désactiver ou activer la Restauration du système, tu dois ouvrir une session Administrateur sous Windows XP.

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok.

Ré-activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok. Redémarre l'ordinateur.

Comment faire pour désactiver la Restauration du système sous XP

Vider les points de Restauration système sous Vista

Activerou désactiver la Restauration du système sous Windows 7

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

6/ Il est très important d'adopter un logiciel permettant de créer des images de son système. En cas de gros plantage, de défaillance matérielle, d'infection incurable, on peut ainsi en quelques minutes remettre sa machine sur pied à partir d'un CD de démarrage spécialement conçu à cet effet. On peut alors conserver une image disque sur sa machine et sur un support extérieur (Disque dur externe). Il existe des solutions commerciales payantes de qualité (Acronis true type, Ghost, Paragon), mais aussi des versions bridées gratuites de ces outils.

Voici DiskWizard, qui est une version bridée gratuite du logiciel Acronis. Elle s'utilise pour les disques de marque Seagate.
Téléchargement : Diskwizard
Tuto : Diskwizard

Pour les disques Western Digital :
Téléchargement : Acronis True Image WD Edition
Tuto : Acronis True Image WD Edition

Pour les disques Maxtor :
Téléchargement : Maxblast
Tuto : Maxblast

Le programme Macrium permet lui aussi de créer des images disques. Un tuto présenté sur cette page.
Il y a aussi DriveImage, qui offre des fonctionnalités intéressantes. Voici un tuto bien sur le site libellule.
Enfin, on peut aussi citer Drive Backup 9 free edition.

Pour windows7, il y a l'outil natif intégré à cette architecture qui est décrit ici.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

Sécuriser son PC +WIFI (versions "hot" & "light") : https://forum.pcastuces.com/sujet.asp?f=25&s=25892

Prévention et protection - Comment vous prémunir : https://forum.pcastuces.com/sujet.asp?f=25&s=36131

Les risques sécuritaires du peer-to-peer en 10 points : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

S'il te plait, note ton sujet [Résolu] en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou

dans la barre de titre de ton sujet. Merci !

Prudence sur Internet et parle de PC Astuces autour de toi!

Bon surf et sois prudent !

Fill

Bonsoir,

Voici le rapport Delfix avant suppression :

# DelFix v6.2 - Rapport créé le 11/11/2012 à 20:27:14
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Compaq_Propriétaire - CHRISTINE
# Exécuté depuis : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\delfix.exe
# Option [Recherche]

~~~~~~ Dossier(s) ~~~~~~

Présent : C:\pre_scan
Présent : C:\ZHP
Présent : C:\Pre_Scan
Présent : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Présent : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Présent : C:\AdwCleaner[R1].txt
Présent : C:\AdwCleaner[R2].txt
Présent : C:\AdwCleaner[S1].txt
Présent : C:\ComboFix.txt
Présent : C:\PhysicalDisk0_MBR.bin
Présent : C:\Pre_Scan.txt
Présent : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\adwcleaner.exe
Présent : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\RogueKiller.exe
Présent : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\TFC.exe
Présent : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Présente : HKCU\Software\g3n-h@ckm@n
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Présente : HKLM\SOFTWARE\OldTimer Tools
Clé Présente : HKLM\SOFTWARE\AdwCleaner
Clé Présente : HKLM\SOFTWARE\Swearware
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

Présent : ESET Online Scanner

*************************

DelFix[R1].txt - [1655 octets] - [11/11/2012 20:27:14]

########## EOF - C:\DelFix[R1].txt - [1779 octets] ##########

Voici le rapport Delfix après suppresion :

# DelFix v6.2 - Rapport créé le 11/11/2012 à 20:29:40
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Compaq_Propriétaire - CHRISTINE
# Exécuté depuis : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\delfix.exe
# Option [Suppression]

~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Pre_Scan.txt
Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\adwcleaner.exe
Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\RogueKiller.exe
Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\TFC.exe
Supprimé : C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Téléchargements\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

Désinstallé : ESET Online Scanner
-> Prefetch Vidé

*************************

DelFix[R1].txt - [1776 octets] - [11/11/2012 20:27:14]
DelFix[S1].txt - [1732 octets] - [11/11/2012 20:29:40]

########## EOF - C:\DelFix[S1].txt - [1856 octets] ##########

Petite question : ccleaner et adw cleaner c'est la même chose?

Est ce mon PC n'est désormais plus infecté??

Merci beaucoup pour votre aide !!

Re,

Ce sont deux programmes très différents. Ccleaner peut être conservé. Il est intéressant pour effacer les fichiers inutiles qui s'accumulent dans un pc. Adwcleaner est un programme permettant de supprimer certaines formes d'infections (adwares publicitaires). Inutile de le garder si tu fais attention quand tu n'installes pas n'importe quoi. De plus, il est régulièrement mis à jour.

Fill

Re,

Dernières questions :

1) Sous C: j'ai un dossier qui s'intitule "312534d9531d78aae103" et deux sous-dossiers "amd64" et "i386" avec des fichiers à l'intérieur. Savez-vous à quoi cela correspond? Est ce que je peux les supprimer?

2) Lorsque je décoche "Désactiver la restauration du système sur tous les serveurs", est ce qu'un point de restauration sain est créé automatiquement??

Merci beaucoup !

Re,

Les dossiers cités doivent correspondren à des mises à jour. Personnellement, je n'y toucherais pas.

Quant à la seconde question, il est préférable de créer manuellement un point de restauration, ne serait-ce que pour vérifier que le service est actif.

Fill

Merci énormément pour votre aide et vos conseils !!!

Re,

Content d'avoir pu t'aider et te guider.

Have a good surf !

Fill