Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

ukash virus [résolu]

 

BJ22, ibizastweet et 3 utilisateurs anonymes
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

ukash virus [résolu]

RÉSOLU
Prévenir les modérateurs en cas d'abus 
siddarta
siddarta
  1. Posté le 28/12/2012 à 18:03:18  
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour à tous,
 Mon ordinateur a été recemment infecté par le virus ukash qui m'empeche de faire quoi que ce soit, et qui me demande de payer 100€ au ministere de la defense (la bonne blague).
 J'ai recherché un peu sur le site et j'ai trouver des pistes mais je ne suis pas doué en informatique et du coup je bloque.

 Donc, tout dabord mon virus m'empeche de démarer en mode sans echec.
 Ensuite j'ai créer la clé usb à l'aide de ce site http://forum.malekal.com/otlpe [...] ml#p213090
 Ensuite j'ai fait l'analyse (otlpe) est le rapport est le suivant : http://cjoint.com/?BLCscZaiS8O

 Apres et je pense que j'ai fais un peu n'importe quoi j'ai telecharger ( sur un pc sain) roguekiller et j'ai essayer de nettoyer lordi infecté , roguekille a détecté des problemes je les ai supprimer mais toujours l'écran ukash.
 donc je me suis décidé à poster ici.

 J'ai recommencé une analyse otlpe et le rapport est: http://cjoint.com/?BLCschdc3EK

 Merci de m'aider

sam06400
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 28/12/2012 à 18:21:17  
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,siddarta


 On va d'abord tenter la restauration du système

 Au redémarrage de ton pc tapote sur la touche F8 où F5 dans le menu qui s'affiche choisis Invite de commande en mode sans échec

 http://img68.xooimage.com/file​s/2/d/d/invite_mse-2f97c04.png


 Tape la ligne de commande ci dessous valide ensuite par la touche Entrée

 %systemroot%/system32/restore/​rstrui.exe


 Choisis une date de restauration antérieure à ce problème, la restauration terminée redémarre ton PC


 les lien ne marche pas et le rapport , deux fichiers sont créés: un rapport OTL.Txt et un rapport Extras.Txt. Lors des analyses suivantes, à moins qu'il soit paramétré pour générer un rapport Extras.Txt, OTL ne créera qu'un rapport OTL.Txt.


 Une copie d'un rapport de correction de OTL est sauvegardée dans un fichier texte dans le dossier
 .......%SystemDrive%:\_OTL\Mov​ed Files
 ..............dans la plupart des cas, ce sera C:\_OTL\Moved Files




 si ça marche pas fait ça --> [url=http://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie(...) ]ICI->>[/url]

 ou encore ICI

(Publicité)
siddarta
  1. Posté le 28/12/2012 à 19:38:57  
  1. Prévenir les modérateurs en cas d'abus
 
Tout dabord merci pour la rapidité de ta réponse.
 Alors j'ai essayer de redemarrer en invite de commande sans echec, mais je suis directement reconduit sur windows au choix de session.
 Ensuite je n'ai pas compris si tu parler de mes liens de rapport qui ne fonctionne pas.
 Je n'ai pas trouver les dossiers sur mon pc infecté ( quand je le lance avec la clef usb) :
 .......%SystemDrive%:\_OTL\Mov​ed Files
 ..............dans la plupart des cas, ce sera C:\_OTL\Moved Files

 Je suis aller voir sur les autres liens que tu as mis mais je n'ai pas trouvé de solution, et j'ai vu qu'il conseillé de poster sur leur forum.
 Que dois-je faire?
 Merci de ton aide

sam06400
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 29/12/2012 à 00:12:29  
  1. Prévenir les modérateurs en cas d'abus
 
:hello:

 OK je analyser le rapport OTL.txt
 

 Fais une recherche avec otl sub de fichiers sur le nom wgsdgsdgdsgsd
 Supprime tout ce qui est trouvé.

 Vois ce que cela donne en allant en mode normal.

 Le malware supprime les clefs Safeboot de l'ordinateur.

 Il est alors impossible de redémarrer en mode sans échec donc -->

 pour débloquer le pc suivre cette procédure étape par étape stp


 descendre la page jusqu'à Live CD Kaspersky

 http://www.commentcamarche.net [...] est-bloque

 Une fois que vous avez fait tout cela, vien ici pour terminer la désinfection ;). En outre, il est fort probable que d’autres virus informatiques, plus discrets aient été installés à votre insu. que y a encor des petite bestiole a supprimer et réparer la clé SafeBoot ok  aler courage  :)




siddarta
  1. Posté le 29/12/2012 à 21:27:02  
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir,
 Ça y est j'ai fait ce que tu m'avais demandé, j'ai créé la clef usb et j'ai lancer la désinfection. Mon ordinateur remarche normalement.
 Déjà un gros merci, je pensai pas revoir mon fond d'écran un jour ;)
 Y a t il d'autres étapes?

(Publicité)
sam06400
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 29/12/2012 à 23:03:48  
  1. Prévenir les modérateurs en cas d'abus
 
très bien bravo  :super:

 ensuite tu fais tout ça en mode sans echec avec prise en charge reseau un outils à la fois  ;)

 1 Télécharges Pour Vista et Windows 7 : il faut lancer le fichier par clic-droit "Exécuter en tant qu'administrateur"

 adwcleaner ICI

 Lance AdwCleaner.exe
 Acceptes l'avertissement qui suit

 Clic sur suppression

 Patientes le temps de la recherche

 Le pc redémarrera, et au démarrage suivant un rapport s'affiche

 copies/colles sur le forum le rapport qui apparait à la fin.

 Il est sauvegardé aussi sous (C:\AdwCleaner[s1].txt)

 ------------------------------​------------------------------​------------------>>>
 2 Télécharge AD-Remover

 !! Déconnecte-toi du net et ferme toutes applications en cours !!

 Double-clique sur le programme d'installation ; laisse-le s’installer par défaut (C:\Program files).

 Double-clique sur l'icône AD-Remover située sur ton Bureau.
 (Pour Vista et Win 7 : clique droit > "Exécuter en tant qu'administrateur" )

 Au menu principal, choisis l'option "Nettoyer".

 L’outil débute le nettoyage … Laisse-le travailler !

 Le scan achevé, une fenêtre va s’afficher.
 Poste (copie-colle) le rapport qui apparaît à la fin ici.

 (tu trouveras aussi le rapport sous C:\Ad-report(date).log)

 Note : "Process.exe", une composante de l'outil peut être détectée par certains antivirus comme une infection ; donc, ne pas en tenir compte. Il s'agit d'un faux positif.

 ------------------------------​------------------------------​------------>>>
 nouvelle version (MBAM)
 Télécharge et installeMalwarebytes' Anti-Malware (MBAM).

 Exécute-le. Accepte la mise à jour.

 Sélectionne "Exécuter un examen complet"
 Clique sur "Rechercher"
 L'analyse démarre, le scan est relativement long, c'est normal.

 A la fin de l'analyse, un message s'affiche :

 PS :-->

 L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
 Ferme tes navigateurs.
 Si des malwares ont été détectés, clique sur Afficher les résultats.
 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
 MBAM va ouvrir le Bloc-notes et y copier le rapport ici d'analyse : ferme-le.

 Si MBAM demande à redémarrer le pc : --> fais-le.

 Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

 ------------------------------​------------------------------​------------>>>
 3 ZHPDIag:>

 ensuite On va vérifier cela-->

 Nous allons utiliser cet outil de diagnostic maintenant pour voir tous les problèmes.

 Télécharge  ZHPDiag(de Nicolas Coolman)

 --> Double clique sur le fichier d'installation (executer en tant qu'administrateur pour VISTA/7), puis installe le avec les paramètres par défaut en n'oubliant pas de cocher " Créer une icône sur le bureau "

 --> Double clique (clique droit pour VISTA/7) sur l'icône ZHPDiag présente sur ton bureau

 --> Ne touche pas au pc lors du Scan ,celui-ci provoquerait un Gel du programme

 --> Clique sur la loupe en haut à gauche, le scan va se lancer

 --> Le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau (ZHPDiag.txt) .

 --> Le rapport sera aussi sauvegardé dans ce dossier ==> C:\Program files\ZHPDiag

 Pour poster le rapport:

 --> Rend toi sur Cejoint http://www.cjoint.com/

 --> Clique sur Parcourir dans la partie Joindre un fichier

 --> Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

 --> Clique ensuite sur " Créer le lien cjoint ",, Un lien va se former, copie et colle le ici STP

 /!\ Héberge bien le rapport via cijoint comme demander, sinon il ne passera pas entièrement sur le site /!\

 @+ http://s2.static-footeo.com/th​umbs/51/a3/5fb_ed1_voeux-2013-​site_300x225_75sasi_300x225_75​sasi__mfsvzd.jpg


siddarta
  1. Posté le 02/01/2013 à 23:21:01  
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,
 Bonne année et bonne santé à tous!!
 désolé d'avoir mis autant de temps à répondre mais nouvel an oblige :).
 alors je vais te copier / coller les différents rapports :

 Tout d abord Adwcleaner:

 # AdwCleaner v1.309 - Rapport créé le 02/10/2011 à 19:51:41
 # Mis à jour le 29/09/11 à 20h par Xplode
 # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
 # Nom d'utilisateur : yattanew - YATTANEW05 (Administrateur)
 # Exécuté depuis : C:\Documents and Settings\yattanew\Bureau\adwcl​eaner0.exe
 # Option [Recherche]


 ***** [Processus] *****


 ***** [Services] *****


 ***** [Fichiers / Dossiers] *****


 ***** [Registre] *****


 ***** [Navigateurs] *****

 -\\ Internet Explorer v8.0.6001.18702

 [OK] Le registre ne contient aucune entrée illégitime.

 -\\ Mozilla Firefox v4.0.1 (fr)

 Profil : sco8hew0.default
 Fichier : C:\Documents and Settings\yattanew\Application Data\Mozilla\Firefox\Profiles\​sco8hew0.default\prefs.js

 [OK] Le fichier ne contient aucune entrée illégitime.

 *************************

 AdwCleaner[R1].txt - [9268 octets] - [02/10/2011 19:51:09]
 AdwCleaner[S1].txt - [9691 octets] - [02/10/2011 19:51:16]
 AdwCleaner[R2].txt - [980 octets] - [02/10/2011 19:51:41]

 ########## EOF - C:\AdwCleaner[R2].txt - [1107 octets] ##########








 Ensuite Adwcleaner deuxieme partie:

 # AdwCleaner v2.104 - Rapport créé le 31/12/2012 à 17:57:55
 # Mis à jour le 29/12/2012 par Xplode
 # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
 # Nom d'utilisateur : yattanew - YATTANEW05
 # Mode de démarrage : Mode sans échec avec prise en charge réseau
 # Exécuté depuis : C:\Documents and Settings\yattanew\Mes documents\Téléchargements\adwc​leaner.exe
 # Option [Suppression]


 ***** [Services] *****

 Arrêté & Supprimé : dqupdate
 Arrêté & Supprimé : dqupdatem
 Arrêté & Supprimé : supdate

 ***** [Fichiers / Dossiers] *****

 Dossier Supprimé : C:\DOCUME~1\yattanew\LOCALS~1\​Temp\BabylonToolbar
 Dossier Supprimé : C:\DOCUME~1\yattanew\LOCALS~1\​Temp\boost_interprocess
 Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Babylon
 Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\SweetIM
 Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Tarma Installer
 Dossier Supprimé : C:\Documents and Settings\LocalService\Local Settings\Application Data\Software
 Dossier Supprimé : C:\Documents and Settings\NetworkService\Local Settings\Application Data\Software
 Dossier Supprimé : C:\Documents and Settings\yattanew\Application Data\Babylon
 Dossier Supprimé : C:\Documents and Settings\yattanew\Application Data\cacaoweb
 Dossier Supprimé : C:\Documents and Settings\yattanew\Application Data\Complitly
 Dossier Supprimé : C:\Documents and Settings\yattanew\Application Data\Mozilla\Firefox\Profiles\​sco8hew0.default\extensions\ca​caoweb@cacaoweb.org
 Dossier Supprimé : C:\Documents and Settings\yattanew\Application Data\OfferBox
 Dossier Supprimé : C:\Documents and Settings\yattanew\Local Settings\Application Data\Software
 Dossier Supprimé : C:\Program Files\Boxore
 Dossier Supprimé : C:\Program Files\Duuqu
 Dossier Supprimé : C:\Program Files\FrameFox
 Dossier Supprimé : C:\Program Files\QwertyBox
 Dossier Supprimé : C:\Program Files\Software
 Dossier Supprimé : C:\Program Files\SweetIM
 Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.​xml
 Fichier Supprimé : C:\user.js
 Fichier Supprimé : C:\WINDOWS\Tasks\DuuquUpdateTa​skMachineCore.job
 Fichier Supprimé : C:\WINDOWS\Tasks\DuuquUpdateTa​skMachineUA.job
 Fichier Supprimé : C:\WINDOWS\Tasks\SoftwareUpdat​eTaskMachineCore.job
 Fichier Supprimé : C:\WINDOWS\Tasks\SoftwareUpdat​eTaskMachineUA.job

 ***** [Registre] *****

 Clé Supprimée : HKCU\Software\cacaoweb
 Clé Supprimée : HKCU\Software\Complitly
 Clé Supprimée : HKCU\Software\Headlight
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Settings\​{0FB6A909-6086-458F-BD92-1F8EE​10042A0}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Settings\​{2EECD738-5844-4A99-B4B6-146BF​802613B}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Settings\​{98889811-442D-49DD-99D7-DC866​BE87DBC}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Settings\​{FD72061E-9FDE-484D-A58A-0BAB4​151CAD8}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Stats\{0F​B6A909-6086-458F-BD92-1F8EE100​42A0}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Stats\{2E​ECD738-5844-4A99-B4B6-146BF802​613B}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Stats\{98​889811-442D-49DD-99D7-DC866BE8​7DBC}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Stats\{FD​72061E-9FDE-484D-A58A-0BAB4151​CAD8}
 Clé Supprimée : HKCU\Software\Softonic
 Clé Supprimée : HKLM\Software\Babylon
 Clé Supprimée : HKLM\Software\Boxore
 Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{0​9C554C3-109B-483C-A06B-F14172F​1A947}
 Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{3​2451DFC-C23B-4E12-866C-FC79822​38504}
 Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4​42F13BC-2031-42D5-9520-437F652​71153}
 Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B​DB69379-802F-4EAF-B541-F8DE92D​D98DB}
 Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C​FDAFE39-20CE-451D-BD45-A37452F​39CF0}
 Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\Co​mplitly.DLL
 Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\es​cort.DLL
 Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\Yo​ntooIEClient.DLL
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0​92A2C6B-43EE-4F9F-8F8E-14ED5E1​1C14B}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0​FB6A909-6086-458F-BD92-1F8EE10​042A0}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1​0DE7085-6A1E-4D41-A7BF-9AF93E3​51401}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2​57A6158-1416-4B31-9BF8-29FF49F​3814F}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2​EECD738-5844-4A99-B4B6-146BF80​2613B}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3​2451DFC-C23B-4E12-866C-FC79822​38504}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{4​2AEFAF9-09D6-4185-87AE-DEDF6E9​55CB4}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7​555B87D-D711-48B2-B97D-04DF700​652BA}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7​E84186E-B5DE-4226-8A66-6E49C6B​511B4}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8​0922EE0-8A76-46AE-95D5-BD3C3FE​0708D}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A​C5C4189-A8A0-4C9D-8910-C9CEF83​60077}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D​F7770F7-832F-4BDF-B144-100EDDD​0C3AE}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E​46C8196-B634-44A1-AF6E-957C642​78AB1}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{F​D72061E-9FDE-484D-A58A-0BAB415​1CAD8}
 Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{F​E9271F2-6EFD-44B0-A826-84C8295​36E93}
 Clé Supprimée : HKLM\SOFTWARE\Classes\Installe​r\Features\64A6E60055D801F4BB8​AC269354B72B8
 Clé Supprimée : HKLM\SOFTWARE\Classes\Installe​r\Products\64A6E60055D801F4BB8​AC269354B72B8
 Clé Supprimée : HKLM\SOFTWARE\Classes\Installe​r\UpgradeCodes\1C875DDE3963600​4CA8CDAEC335B4160
 Clé Supprimée : HKLM\SOFTWARE\Classes\Installe​r\UpgradeCodes\BA086F2D38A8E1A​47912955A68B3AD24
 Clé Supprimée : HKLM\SOFTWARE\Classes\Interfac​e\{10DE7085-6A1E-4D41-A7BF-9AF​93E351401}
 Clé Supprimée : HKLM\SOFTWARE\Classes\Interfac​e\{1AD27395-1659-4DFF-A319-2CF​A243861A5}
 Clé Supprimée : HKLM\SOFTWARE\Classes\Interfac​e\{736EF78E-5A04-46F9-893E-EDE​C6EA5DF45}
 Clé Supprimée : HKLM\SOFTWARE\Classes\Interfac​e\{7A1BCE27-099C-4628-B63A-AEC​00C6376B3}
 Clé Supprimée : HKLM\SOFTWARE\Classes\Interfac​e\{AF3AFF7C-B9E9-48DD-9002-212​B6DEAAC02}
 Clé Supprimée : HKLM\SOFTWARE\Classes\Interfac​e\{C9AE652B-8C99-4AC2-B556-8B5​01182874E}
 Clé Supprimée : HKLM\SOFTWARE\Classes\Interfac​e\{DBE82879-914A-422F-BAE9-2EC​C80BE536F}
 Clé Supprimée : HKLM\SOFTWARE\Classes\Interfac​e\{E12D7149-73EF-45E4-A1E9-99F​D7DAE62D3}
 Clé Supprimée : HKLM\SOFTWARE\Classes\Interfac​e\{F2B184F1-547C-4EE9-BFC4-AC4​89C7077D9}
 Clé Supprimée : HKLM\SOFTWARE\Classes\MIME\Dat​abase\Content Type\application/x-vnd.softwar​e.oneclickctrl.8
 Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
 Clé Supprimée : HKLM\SOFTWARE\Classes\Software​.OneClickCtrl.8
 Clé Supprimée : HKLM\SOFTWARE\Classes\Software​Update.CoreClass
 Clé Supprimée : HKLM\SOFTWARE\Classes\Software​Update.CoreClass.1
 Clé Supprimée : HKLM\SOFTWARE\Classes\Software​Update.OnDemandCOMClassMachine
 Clé Supprimée : HKLM\SOFTWARE\Classes\Software​Update.OnDemandCOMClassMachine​.1.0
 Clé Supprimée : HKLM\SOFTWARE\Classes\SuggestM​eYes.SuggestMeYesBHO
 Clé Supprimée : HKLM\SOFTWARE\Classes\SuggestM​eYes.SuggestMeYesBHO.1
 Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\​{01BCB858-2F62-4F06-A8F4-48F92​7C15333}
 Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\​{D372567D-67C1-4B29-B3F0-159B5​2B3E967}
 Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIE​Client.Api
 Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIE​Client.Api.1
 Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIE​Client.Layers
 Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIE​Client.Layers.1
 Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Ex​tensions\dlfienamagdnkekbbboco​jppncdambda
 Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Ex​tensions\fjglfdldpdljgfjkfgiea​ocdapejkdlh
 Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Ex​tensions\niapdbllcanepiiimjjnd​ipklodoedlc
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Intern​et Explorer\Low Rights\ElevationPolicy\{42AEFA​F9-09D6-4185-87AE-DEDF6E955CB4​}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Intern​et Explorer\Low Rights\ElevationPolicy\{7555B8​7D-D711-48B2-B97D-04DF700652BA​}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\App Management\ARPCache\{4FFBB818-​B13C-11E0-931D-B2664824019B}_i​s1
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\App Management\ARPCache\{889DF117-​14D1-44EE-9F31-C5FB5D47F68B}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\App Management\ARPCache\{89601BB9-​C8C0-493D-9912-AD7F51A918A3}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\App Management\ARPCache\{EF8FC2FA-​BE02-444B-8355-08C75A6D7E3A}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\App Management\ARPCache\BarDiscove​r
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\App Management\ARPCache\ShoppingRe​port
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Explorer\Brow​ser Helper Objects\{0FB6A909-6086-458F-BD​92-1F8EE10042A0}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Explorer\Brow​ser Helper Objects\{FD72061E-9FDE-484D-A5​8A-0BAB4151CAD8}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Ext\PreApprov​ed\{42AEFAF9-09D6-4185-87AE-DE​DF6E955CB4}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Ext\PreApprov​ed\{7555B87D-D711-48B2-B97D-04​DF700652BA}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Ext\PreApprov​ed\{DF7770F7-832F-4BDF-B144-10​0EDDD0C3AE}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Installer\Upg​radeCodes\1C875DDE39636004CA8C​DAEC335B4160
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Installer\Upg​radeCodes\BA086F2D38A8E1A47912​955A68B3AD24
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Uninstall\{00​6E6A46-8D55-4F10-BBA8-2C9653B4​278B}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Uninstall\{4F​FBB818-B13C-11E0-931D-B2664824​019B}_is1
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Uninstall\{88​9DF117-14D1-44EE-9F31-C5FB5D47​F68B}
 Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@​www.dlmanager.net/omaha/tools/​/Software Update;version=8
 Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@​www.duuqu.com/omaha/tools//Duu​qu Update;version=3
 Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@​www.duuqu.com/omaha/tools//Duu​qu Update;version=9
 Clé Supprimée : HKLM\SOFTWARE\Software
 Clé Supprimée : HKLM\Software\Tarma Installer
 Clé Supprimée : HKLM\Software\TENCENT
 Clé Supprimée : HKU\.DEFAULT\Software\Microsof​t\Internet Explorer\SearchScopes\{4B8C28A​7-A9BC-45F8-990D-21499EED643C}
 Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform [Hotbar 11.0.175.0]
 Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Run [FrameFox Extensions]
 Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\​extensions [{9CD2384C-143B-4790-A075-E7FEF​E2A554B}]

 ***** [Navigateurs] *****

 -\\ Internet Explorer v8.0.6001.18702

 [OK] Le registre ne contient aucune entrée illégitime.

 -\\ Mozilla Firefox v17.0.1 (fr)

 Fichier : C:\Documents and Settings\yattanew\Application Data\Mozilla\Firefox\Profiles\​sco8hew0.default\prefs.js

 C:\Documents and Settings\yattanew\Application Data\Mozilla\Firefox\Profiles\​sco8hew0.default\user.js ... Supprimé !

 Supprimée : user_pref("CT2843469..clientLo​gIsEnabled", true);
 Supprimée : user_pref("CT2843469..clientLo​gServiceUrl", "hxxp://clientlog.users.condui​t.com/ClientDiagnostics.as[...]
 Supprimée : user_pref("CT2843469..uninstal​lLogServiceUrl", "hxxp://uninstall.users.condui​t.com/Uninstall.asmx/Re[...]
 Supprimée : user_pref("CT2843469.AboutPriv​acyUrl", "hxxp://www.conduit.com/privac​y/Default.aspx" );
 Supprimée : user_pref("CT2843469.CT2843469​", "CT2843469" );
 Supprimée : user_pref("CT2843469.Communiti​esChangesLastCheckTime", "0" );
 Supprimée : user_pref("CT2843469.CurrentSe​rverDate", "11-7-2011" );
 Supprimée : user_pref("CT2843469.DialogsAl​ignMode", "LTR" );
 Supprimée : user_pref("CT2843469.DialogsGe​tterLastCheckTime", "Thu May 19 2011 01:22:38 GMT+0200" );
 Supprimée : user_pref("CT2843469.DownloadR​eferralCookieData", "" );
 Supprimée : user_pref("CT2843469.EnableCli​ckToSearchBox", false);
 Supprimée : user_pref("CT2843469.EnableSea​rchHistory", false);
 Supprimée : user_pref("CT2843469.EnableSea​rchSuggest", false);
 Supprimée : user_pref("CT2843469.FirstServ​erDate", "19-5-2011" );
 Supprimée : user_pref("CT2843469.FirstTime​", true);
 Supprimée : user_pref("CT2843469.FirstTime​FF3", true);
 Supprimée : user_pref("CT2843469.FixPageNo​tFoundErrors", false);
 Supprimée : user_pref("CT2843469.GroupingI​nvalidateCache", false);
 Supprimée : user_pref("CT2843469.GroupingL​astCheckTime", "0" );
 Supprimée : user_pref("CT2843469.GroupingL​astServerUpdateTime", "0" );
 Supprimée : user_pref("CT2843469.GroupingS​erverCheckInterval", 1440);
 Supprimée : user_pref("CT2843469.GroupingS​erviceUrl", "hxxp://grouping.services.cond​uit.com/" );
 Supprimée : user_pref("CT2843469.HasUserGl​obalKeys", true);
 Supprimée : user_pref("CT2843469.Initializ​e", true);
 Supprimée : user_pref("CT2843469.Initializ​eCommonPrefs", true);
 Supprimée : user_pref("CT2843469.Installat​ionAndCookieDataSentCount", 3);
 Supprimée : user_pref("CT2843469.Installed​Date", "Thu May 19 2011 01:22:40 GMT+0200" );
 Supprimée : user_pref("CT2843469.Invalidat​eCache", false);
 Supprimée : user_pref("CT2843469.IsGroupin​g", false);
 Supprimée : user_pref("CT2843469.IsMultico​mmunity", false);
 Supprimée : user_pref("CT2843469.IsOpenTha​nkYouPage", true);
 Supprimée : user_pref("CT2843469.IsOpenUni​nstallPage", true);
 Supprimée : user_pref("CT2843469.LanguageP​ackLastCheckTime", "Sun Jul 10 2011 06:41:27 GMT+0200" );
 Supprimée : user_pref("CT2843469.LanguageP​ackReloadIntervalMM", 1440);
 Supprimée : user_pref("CT2843469.LanguageP​ackServiceUrl", "hxxp://translation.users.cond​uit.com/Translation.ashx[...]
 Supprimée : user_pref("CT2843469.LastLogin​_3.3.3.2", "Mon Jul 11 2011 06:03:50 GMT+0200" );
 Supprimée : user_pref("CT2843469.LatestVer​sion", "3.3.3.2" );
 Supprimée : user_pref("CT2843469.Locale", "fr-fr" );
 Supprimée : user_pref("CT2843469.MCDetectT​ooltipHeight", "83" );
 Supprimée : user_pref("CT2843469.MCDetectT​ooltipShow", false);
 Supprimée : user_pref("CT2843469.MCDetectT​ooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank​/tooltip/?version=1" );
 Supprimée : user_pref("CT2843469.MCDetectT​ooltipWidth", "295" );
 Supprimée : user_pref("CT2843469.RadioLast​CheckTime", "0" );
 Supprimée : user_pref("CT2843469.RadioLast​UpdateIPServer", "0" );
 Supprimée : user_pref("CT2843469.RadioLast​UpdateServer", "0" );
 Supprimée : user_pref("CT2843469.SearchBac​kToDefaultEngine", false);
 Supprimée : user_pref("CT2843469.SearchBox​Width", 100);
 Supprimée : user_pref("CT2843469.SearchFro​mAddressBarIsInit", true);
 Supprimée : user_pref("CT2843469.SearchInN​ewTabEnabled", true);
 Supprimée : user_pref("CT2843469.SearchInN​ewTabIntervalMM", 1440);
 Supprimée : user_pref("CT2843469.SearchInN​ewTabLastCheckTime", "Sun Jul 10 2011 06:41:27 GMT+0200" );
 Supprimée : user_pref("CT2843469.SearchInN​ewTabServiceUrl", "hxxp://newtab.conduit-hosting​.com/newtab/?ctid=EB_T[...]
 Supprimée : user_pref("CT2843469.SearchInN​ewTabUsageUrl", "hxxp://Usage.Hosting.conduit-​services.com/UsageServic[...]
 Supprimée : user_pref("CT2843469.SearchInN​ewTabUserEnabled", false);
 Supprimée : user_pref("CT2843469.ServiceMa​pLastCheckTime", "Sun Jul 10 2011 06:41:27 GMT+0200" );
 Supprimée : user_pref("CT2843469.SettingsL​astCheckTime", "Mon Jul 11 2011 06:04:24 GMT+0200" );
 Supprimée : user_pref("CT2843469.SettingsL​astUpdate", "1306530423" );
 Supprimée : user_pref("CT2843469.ThirdPart​yComponentsInterval", 504);
 Supprimée : user_pref("CT2843469.ThirdPart​yComponentsLastCheck", "Thu Jun 30 2011 16:49:06 GMT+0200" );
 Supprimée : user_pref("CT2843469.ThirdPart​yComponentsLastUpdate", "1255344667" );
 Supprimée : user_pref("CT2843469.TrusteLin​kUrl", "hxxp://trust.conduit.com/CT28​43469" );
 Supprimée : user_pref("CT2843469.UserID", "UN86166184510080194" );
 Supprimée : user_pref("CT2843469.Validatio​nData_Search", 0);
 Supprimée : user_pref("CT2843469.Validatio​nData_Toolbar", 2);
 Supprimée : user_pref("CT2843469.alertChan​nelId", "1235521" );
 Supprimée : user_pref("CT2843469.approveUn​trustedApps", true);
 Supprimée : user_pref("CT2843469.component​s.129363613201119206", false);
 Supprimée : user_pref("CT2843469.component​s.129408509566106472", false);
 Supprimée : user_pref("CT2843469.generalCo​nfigFromLogin", "{\"SocialDomains\":\"social.c​onduit.com;apps.conduit.[...]
 Supprimée : user_pref("CT2843469.globalFir​stTimeInfoLastCheckTime", "Mon Jul 11 2011 06:03:51 GMT+0200" );
 Supprimée : user_pref("CT2843469.isAppTrac​kingManagerOn", true);
 Supprimée : user_pref("CT2843469.myStuffEn​abled", true);
 Supprimée : user_pref("CT2843469.myStuffPu​blihserMinWidth", 400);
 Supprimée : user_pref("CT2843469.myStuffSe​archUrl", "hxxp://Apps.conduit.com/searc​h?q=SEARCH_TERM&SearchSourceOr[...]
 Supprimée : user_pref("CT2843469.myStuffSe​rviceIntervalMM", 1440);
 Supprimée : user_pref("CT2843469.myStuffSe​rviceUrl", "hxxp://mystuff.conduit-servic​es.com/MyStuffService.ashx?Co[...]
 Supprimée : user_pref("CT2843469.oldAppsLi​st", "129343792432013120,1293437924​32169371,129343792432169372,12​93636[...]
 Supprimée : user_pref("CT2843469.testingCt​id", "" );
 Supprimée : user_pref("CT2843469.toolbarAp​pMetaDataLastCheckTime", "Sun Jul 10 2011 06:41:27 GMT+0200" );
 Supprimée : user_pref("CT2843469.toolbarCo​ntextMenuLastCheckTime", "Thu May 19 2011 01:22:40 GMT+0200" );
 Supprimée : user_pref("CT2843469.usageEnab​led", false);
 Supprimée : user_pref("CT2843469.usagesFla​g", 2);
 Supprimée : user_pref("browser.search.defa​ultenginename", "SweetIM Search" );
 Supprimée : user_pref("browser.search.defa​ultthis.engineName", "Bigpoint Games FR Customized Web Search" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.aflt", "babsst" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.babExt", "" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.babTrack", "affID=108988" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.hardId", "7433c72900000000000000218561b​501" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.id", "7433c72900000000000000218561b​501" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.instlDay", "15369" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.instlRef", "sst" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.prdct", "BabylonToolbar" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.prtnrId", "babylon" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.smplGrp", "none" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.srcExt", "ss" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.tlbrId", "base" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.vrsn", "1.5.3.17" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.vrsnTs", "1.5.3.170:44:24" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.vrsni", "1.5.3.17" );
 Supprimée : user_pref("sweetim.toolbar.pre​vious.browser.search.defaulten​ginename", "" );
 Supprimée : user_pref("sweetim.toolbar.pre​vious.browser.search.defaultur​l", "" );
 Supprimée : user_pref("sweetim.toolbar.pre​vious.browser.search.selectedE​ngine", "" );
 Supprimée : user_pref("sweetim.toolbar.pre​vious.browser.startup.homepage​", "google.fr" );
 Supprimée : user_pref("sweetim.toolbar.url​s.homepage", "hxxp://home.sweetim.com/?crg=​3.1010000.10015" );

 Fichier : C:\Documents and Settings\Administrateur\Applic​ation Data\Mozilla\Firefox\Profiles\​7pc3s7kk.default\prefs.js

 C:\Documents and Settings\Administrateur\Applic​ation Data\Mozilla\Firefox\Profiles\​7pc3s7kk.default\user.js ... Supprimé !

 [OK] Le fichier ne contient aucune entrée illégitime.

 *************************

 AdwCleaner[R1].txt - [9268 octets] - [02/10/2011 18:51:09]
 AdwCleaner[R2].txt - [1108 octets] - [02/10/2011 18:51:41]
 AdwCleaner[S1].txt - [9691 octets] - [02/10/2011 18:51:16]
 AdwCleaner[S2].txt - [19972 octets] - [31/12/2012 17:57:55]

 ########## EOF - C:\AdwCleaner[S2].txt - [20033 octets] ##########






 Ensuite MBAM :


 Malwarebytes Anti-Malware (Trial) 1.70.0.1100
 www.malwarebytes.org

 Database version: v2013.01.02.10

 Windows XP Service Pack 3 x86 NTFS (Safe Mode/Networking)
 Internet Explorer 8.0.6001.18702
 yattanew :: YATTANEW05 [administrator]

 Protection: Disabled

 02/01/2013 22:11:18
 mbam-log-2013-01-02 (22-11-18).txt

 Scan type: Full scan (C:\|E:\|)
 Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
 Scan options disabled: P2P
 Objects scanned: 438228
 Time elapsed: 46 minute(s), 34 second(s)

 Memory Processes Detected: 0
 (No malicious items detected)

 Memory Modules Detected: 0
 (No malicious items detected)

 Registry Keys Detected: 1
 HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.

 Registry Values Detected: 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Data: C:\WINDOWS\system32\regedit.ex​e -> Quarantined and deleted successfully.

 Registry Data Items Detected: 0
 (No malicious items detected)

 Folders Detected: 0
 (No malicious items detected)

 Files Detected: 59
 C:\Documents and Settings\yattanew\Application Data\Sun\Java\Deployment\cache​\6.0\1\62534ac1-3daef8be (Trojan.FakeMS) -> Quarantined and deleted successfully.
 C:\Documents and Settings\yattanew\Doctor Web\DrWeb CureIt Quarantine\D3\FD3EB1AE2EC0DE24​6C34FAA32591B13A7D12355864923C​CC9A2443C3592FC9EE (Trojan.Agent) -> Quarantined and deleted successfully.
 C:\RECYCLER\S-1-5-18\Dc1.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0243995.exe (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244015.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244016.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244017.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244018.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244019.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244020.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244021.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244022.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244023.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244024.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244025.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244026.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244027.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244028.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244029.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244030.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244031.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244032.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244033.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244034.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244035.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244036.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244037.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244038.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244039.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244040.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244041.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244042.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244044.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244045.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244046.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244047.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244048.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244049.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244050.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244051.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244052.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244053.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244054.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244055.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244056.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244057.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244058.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244059.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244060.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244061.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244062.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244063.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244064.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244065.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244066.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244067.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P1021\A0244068.dll (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\System Volume Information\_restore{A6BC9F0D-​C239-48AC-888B-43B78B3A4EEA}\R​P978\A0216892.rbf (Adware.Boxore) -> Quarantined and deleted successfully.
 C:\Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Quarantined and deleted successfully.

 (end)






 et enfin ZHP:
  http://cjoint.com/?CAcxsr5k47Q


 Merci

sam06400
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 03/01/2013 à 07:48:06  
  1. Prévenir les modérateurs en cas d'abus
 
ok  :super:

 * Telecharge et installe USBFix à partir : ce lien  ou encore : celui-ci


 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir

 * Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

 :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

 automatiquement

 * Clique sur "suppression"
 * Laisse travailler l'outil

 * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt )

 ensuite

 ok donc tu peux démarrer normalement ?

 Aussi, fais ce qui suit, dans l'ordre merci :

 ensuite -->

 Téléchargez AntiZeroAcess   (de Webroot) sur votre bureau.
 Lancez le, Répondez par Y à la première question puis validez par la touche Entrée.
 Si l'outil trouve des traces du rootkit, des lignes en rouge s'afficheront.
 Une fenêtre s'affichera pour signaler l'infection et ou les fichiers patchés
 L'outil propose alors de nettoyer, acceptez en appuyant sur la touche Y, puis Entrée.


 * Telecharge et installe USBFix à partir : ce lien  celui-ci  celui-ci



 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir

 * Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

 :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

 automatiquement

 * Clique sur "Recherche"
 * Laisse travailler l'outil

 * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt )


 ensuite -->

 Lance ZHPFix via le raccourci sur ton Bureau (sous Vista/Windows 7, lance-le par un clic-droit dessus > Exécuter en temps qu'administrateur).
 Copie tout le texte présent en gras dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

 ------------------------------​------------------------------​------------------------->


 SysRestore
 O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe (.not file.)    => Infection FakeAlert (Crapware.SpyHunter)
 O23 - Service: SpyHunter 4 Service (SpyHunter 4 Service) . (...) - C:\Program Files\ENIGMA~1\SPYHUN~1\SH4SER​~1.exe (.not file.)    => Infection FakeAlert (Crapware.SpyHunter)
 O42 - Logiciel: Boxore Client - (.Boxore OU.) [HKLM] -- {95A6C0BE-BE04-462D-A623-7F98B​15C1FC3}    => Infection PUP (Adware.Boxore)
 [HKLM\Software\TENCENT]    => Infection BT (Adware.TencentAddressBar)
 O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)
 O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)
 [HKLM\SYSTEM\CurrentControlSet\​Services\SpyHunter 4 Service]
 [HKLM\Software\Tencent]    => Infection BT (Adware.TencentAddressBar)
 [HKLM\Software\Microsoft\Window​s\CurrentVersion\Run]:SpyHunte​r Security Suite
 O90 - PUC: "EB0C6A5940EBD2646A32F7891BC5F​13C" . (.Boxore Client.) -- C:\WINDOWS\Installer\{95A6C0BE​-BE04-462D-A623-7F98B15C1FC3}\​boxore.ico    => Infection PUP (Adware.Boxore)
 SS - | Auto  0 |  (SpyHunter 4 Service) . (...) - C:\Program Files\ENIGMA~1\SPYHUN~1\SH4SER​~1.exe    => Infection FakeAlert (Crapware.SpyHunter)
 [HKCU\Software\LinguaTutore]
 O43 - CFD: 27/08/2012 - 06:18:57 - [0,002] ----D C:\Documents and Settings\yattanew\Menu Démarrer\Programmes\Jeux
 O42 - Logiciel: Java 6 Update 29 - (.Oracle.) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F832​16022FF}    => Oracle
 P2 - FPN: [HKLM] [@pandonetworks.com/PandoWebPlu​gin] - (.Pando Networks - Pando Web Plugin.) -- C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll
 P2 - FPN: [HKCU] [pandonetworks.com/PandoWebPlug​in] - (.Pando Networks - Pando Web Plugin.) -- C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll
 O16 - DPF: {1E54D648-B804-468d-BC78-4AFFE​D8E262F} (System Requirements Lab) - http://www.nvidia.com/content/ [...] ab_nvd.cab    => System Requirements Lab
 O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\GoogleUpdateT​askMachineCore.job    => Google Update Task
 O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\GoogleUpdateT​askMachineUA.job    => Google Update Task
 O41 - Driver: (iinqbjrt) . (. - .) - C:\WINDOWS\system32\drivers\ii​nqbjrt.sys (.not file.)
 O41 - Driver: (omyujknz) . (. - .) - C:\WINDOWS\system32\drivers\om​yujknz.sys (.not file.)
 O41 - Driver: (qvoyeblo) . (. - .) - C:\WINDOWS\system32\drivers\qv​oyeblo.sys (.not file.)
 O41 - Driver: (xiibqsfi) . (. - .) - C:\WINDOWS\system32\drivers\xi​ibqsfi.sys (.not file.)
 O41 - Driver: (xukxwllh) . (. - .) - C:\WINDOWS\system32\drivers\xu​kxwllh.sys (.not file.)
 O44 - LFC:[MD5.420CBBB6DBC1389063FEC281BD​EF2626] - 31/12/2012 - 18:11:02 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt   [4306]
 O47 - AAKE:Key Export SP - "C:\Documents and Settings\yattanew\Bureau\listc​hecker\pickup.listchecker.exe" [Enabled] .(...) -- C:\Documents and Settings\yattanew\Bureau\listc​hecker\pickup.listchecker.exe (.not file.)
 O47 - AAKE:Key Export SP - "C:\Program Files\Turbine\DDO Unlimited\dndclient.exe" [Enabled] .(...) -- C:\Program Files\Turbine\DDO Unlimited\dndclient.exe (.not file.)
 O47 - AAKE:Key Export SP - "C:\Documents and Settings\All Users\Application Data\Battle.net\Agent\Agent.51​5\Agent.exe" [Enabled] .(...) -- C:\Documents and Settings\All Users\Application Data\Battle.net\Agent\Agent.51​5\Agent.exe (.not file.)
 O47 - AAKE:Key Export SP - "C:\Documents and Settings\All Users\Application Data\Battle.net\Agent\Agent.64​9\Agent.exe" [Enabled] .(...) -- C:\Documents and Settings\All Users\Application Data\Battle.net\Agent\Agent.64​9\Agent.exe (.not file.)
 O47 - AAKE:Key Export SP - "C:\Program Files\Diablo III Beta\Diablo III.exe" [Enabled] .(...) -- C:\Program Files\Diablo III Beta\Diablo III.exe (.not file.)
 O51 - MPSK:{0ff743e2-1a28-11df-bcfd-​002618bf0c5a}\AutoRun\command. (...) -- C:\WINDOWS\system32\.\RECYCLER​\SEtUp.exe (.not file.)
 O51 - MPSK:{8037ebab-1e73-11df-bc10-​fcb95e41b6aa}\AutoRun\command. (...) -- C:\WINDOWS\system32\.\RECYCLER​\SEtUp.exe (.not file.)
 O51 - MPSK:{8c71f9a0-842d-11e1-8128-​00218561b501}\AutoRun\command - Clé orpheline
 O43 - CFD: 27/06/2011 - 02:16:21 - [0] ----D C:\Program Files\Nouveau dossier
 O51 - MPSK:{32892752-fe24-11df-bdd6-​00218561b501}\AutoRun\command. (...) -- F:\setup.exe (.not file.)    => Existe aussi en malware DELF-CA.Troj
 O51 - MPSK:{3961c00c-fd82-11df-bdd5-​00218561b501}\AutoRun\command. (...) -- F:\setup.exe (.not file.)    => Existe aussi en malware DELF-CA.Troj
 O64 - Services: CurCS - 20/10/2009 - C:\WINDOWS\system32\drivers\np​f.sys (NPF)  .(.CACE Technologies, Inc. - npf.sys (NT5/6 x86) Kernel Driver.) - LEGACY_NPF
 O42 - Logiciel: Pando Media Booster - (.Pando Networks Inc..) [HKLM] -- {980A182F-E0A2-4A40-94C1-AE0C1​235902E}    => P2P.Pando
 [HKCU\Software\Pando Networks]    => P2P.Pando
 [HKLM\Software\Pando Networks]    => P2P.Pando
 O43 - CFD: 28/08/2012 - 02:30:31 - [7,186] ----D C:\Program Files\Pando Networks    => P2P.Pando
 O47 - AAKE:Key Export SP - "C:\Program Files\Pando Networks\Media Booster\PMB.exe" [Enabled] .(.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files\Pando Networks\Media Booster\PMB.exe
 O47 - AAKE:Key Export DP - "C:\Program Files\Pando Networks\Media Booster\PMB.exe" [Enabled] .(.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files\Pando Networks\Media Booster\PMB.exe
 [HKCU\Software\AVAST Software]    => AVAST Software
 [HKLM\Software\AVAST Software]    => AVAST Software
 O43 - CFD: 06/09/2011 - 11:41:45 - [0] ----D C:\Program Files\AVAST Software    => AVAST Software
 O42 - Logiciel: FrameFox Extensions 1.0.5.0 - (.QwertyBox Team.) [HKLM] -- {5DD778F4-F393-49D5-A11F-3DBC7​AD049FF}    => Toolbar.Agent
 O42 - Logiciel: QwertyBox 1.0.3.0 - (.QwertyBox Team.) [HKLM] -- {836B2544-9D21-4C69-BC3A-FF5E6​320B5A9}    => Toolbar.Duquu
 O42 - Logiciel: Skype Toolbars - (.Skype Technologies S.A..) [HKLM] -- {981029E0-7FC9-4CF3-AB39-6F133​621921A}    => Toolbar.Skype
 [HKCU\Software\Duuqu]    => Toolbar.Duuqu
 [HKLM\Software\Duuqu]    => Toolbar.Duuqu
 [HKLM\Software\Classes\Installe​r\Features\0E9201899CF73FC4BA9​3F631631229A1]
 [HKLM\Software\Classes\Installe​r\Products\0E9201899CF73FC4BA9​3F631631229A1]
 [HKLM\Software\Microsoft\Window​s\CurrentVersion\Installer\Use​rData\S-1-5-18\Products\0E9201​899CF73FC4BA93F631631229A1]
 [HKLM\Software\Microsoft\Window​s\CurrentVersion\Uninstall\{98​1029E0-7FC9-4CF3-AB39-6F133621​921A}]    => Toolbar.Skype
 O90 - PUC: "0E9201899CF73FC4BA93F63163122​9A1" . (.Skype Toolbars.) -- C:\WINDOWS\Installer\{981029E0​-7FC9-4CF3-AB39-6F133621921A}\​IconUninstallIco    => Toolbar.Skype
 O90 - PUC: "4452B63812D996C4CBA3FFE536025​B9A" . (.QwertyBox 1.0.3.0.) -- C:\WINDOWS\Installer\{836B2544​-9D21-4C69-BC3A-FF5E6320B5A9}\​QwertyBox.ico    => Toolbar.Duquu
 firewallraz
 EmptyFlash
 EmptyTemp
 EmptyCLSID


 ------------------------------​------------------------------​-------------------------->

 ->Clique sur l'icone représentant le presse-papier ("coller le presse-papier" )
 le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
 ->Clique sur le bouton GO pour lancer le nettoyage
 ->Copie/colle la totalité du rapport dans ta prochaine réponse
 ->: http://www.cjoint.com/  Copie le lien dans ta prochaine réponse.

 -> laisse travailler l'outil et ne touche à rien ...


 -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
 

 Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse... stp

 ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )



 Tuto : http://www.premiumorange.com/z [...] hpfix.html

(Publicité)
siddarta
  1. Posté le 06/01/2013 à 20:41:30  
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,
 Le programme refuse de s'installez sur mon pc.
 AntiZeroAcess n'a rien détecter et le rapport de ZHP Fix est:


 Rapport de ZHPFix 1.3.11 par Nicolas Coolman, Update du 30/12/2012
 Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-06-01​-2013-20-37-35.txt
 Run by yattanew at 06/01/2013 20:37:34
 Windows XP Home Edition Service Pack 3 (Build 2600)



 ========== Logiciel(s) ==========
 SUPPRIME Boxore Client
 SUPPRIME Java 6 Update 29
 SUPPRIME Pando Media Booster
 SUPPRIME FrameFox Extensions 1.0.5.0
 SUPPRIME QwertyBox 1.0.3.0
 SUPPRIME Skype Toolbars

 ========== Clé(s) du Registre ==========
 SUPPRIME [HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Uninstall\{98​1029E0-7FC9-4CF3-AB39-6F133621​921A}]
 SUPPRIME Key: Service: SpyHunter 4 Service
 SUPPRIME Key: HKLM\Software\TENCENT
 ABSENT Key: HKLM\SYSTEM\CurrentControlSet\​Services\SpyHunter 4 Service
 ABSENT Key: HKLM\Software\Tencent
 ABSENT Key: [HKLM\\Software\Classes\Install​er\Products\\EB0C6A5940EBD2646​A32F7891BC5F13C]
 ABSENT Key: Service: SpyHunter 4 Service
 SUPPRIME Key: HKCU\Software\LinguaTutore
 SUPPRIME Key: Mozilla Plugin: @pandonetworks.com/PandoWebPlu​gin
 ABSENT Key: Mozilla Plugin: pandonetworks.com/PandoWebPlug​in
 SUPPRIME Key: CLSID DPF: {1E54D648-B804-468d-BC78-4AFFE​D8E262F}
 SUPPRIME  Key: CLSID: [HKLM\SOFTWARE\Classes\CLSID\{1​E54D648-B804-468d-BC78-4AFFED8​E262F}]
 SUPPRIME Driver Key: iinqbjrt
 SUPPRIME Driver Key: omyujknz
 SUPPRIME Driver Key: qvoyeblo
 SUPPRIME Driver Key: xiibqsfi
 SUPPRIME Driver Key: xukxwllh
 SUPPRIME CLSID MPSK: {0ff743e2-1a28-11df-bcfd-00261​8bf0c5a}
 SUPPRIME CLSID MPSK: {8037ebab-1e73-11df-bc10-fcb95​e41b6aa}
 SUPPRIME CLSID MPSK: {8c71f9a0-842d-11e1-8128-00218​561b501}
 SUPPRIME CLSID MPSK: {32892752-fe24-11df-bdd6-00218​561b501}
 SUPPRIME CLSID MPSK: {3961c00c-fd82-11df-bdd5-00218​561b501}
 ERREUR Key: Service Legacy: LEGACY_NPF
 SUPPRIME Key: HKCU\Software\Pando Networks
 SUPPRIME Key: HKLM\Software\Pando Networks
 SUPPRIME Key: HKCU\Software\AVAST Software
 SUPPRIME Key: HKLM\Software\AVAST Software
 SUPPRIME Key: HKCU\Software\Duuqu
 SUPPRIME Key: HKLM\Software\Duuqu
 SUPPRIME Key: HKLM\Software\Classes\Installe​r\Features\0E9201899CF73FC4BA9​3F631631229A1
 SUPPRIME Key: HKLM\Software\Classes\Installe​r\Products\0E9201899CF73FC4BA9​3F631631229A1
 SUPPRIME Key: HKLM\Software\Microsoft\Window​s\CurrentVersion\Installer\Use​rData\S-1-5-18\Products\0E9201​899CF73FC4BA93F631631229A1
 ABSENT Key: HKLM\Software\Microsoft\Window​s\CurrentVersion\Uninstall\{98​1029E0-7FC9-4CF3-AB39-6F133621​921A}
 ABSENT Key: [HKLM\\Software\Classes\Install​er\Products\\0E9201899CF73FC4B​A93F631631229A1]
 ABSENT Key: [HKLM\\Software\Classes\Install​er\Products\\4452B63812D996C4C​BA3FFE536025B9A]

 ========== Valeur(s) du Registre ==========
 SUPPRIME RunValue: SpyHunter Security Suite
 ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
 ABSENT [HKLM\Software\Microsoft\Window​s\CurrentVersion\Run]:SpyHunte​r Security Suite
 SUPPRIME AAKE KeyValue: C:\Documents and Settings\yattanew\Bureau\listc​hecker\pickup.listchecker.exe
 SUPPRIME AAKE KeyValue: C:\Program Files\Turbine\DDO Unlimited\dndclient.exe
 SUPPRIME AAKE KeyValue: C:\Documents and Settings\All Users\Application Data\Battle.net\Agent\Agent.51​5\Agent.exe
 SUPPRIME AAKE KeyValue: C:\Documents and Settings\All Users\Application Data\Battle.net\Agent\Agent.64​9\Agent.exe
 SUPPRIME AAKE KeyValue: C:\Program Files\Diablo III Beta\Diablo III.exe
 ABSENT AAKE KeyValue: C:\Program Files\Pando Networks\Media Booster\PMB.exe
 SUPPRIME FirewallRaz (SP) : %windir%\system32\sessmgr.exe
 SUPPRIME FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\Yahoo!\Messenger\YahooMe​ssenger.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\leagueof legend\Air\LolClient.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\leagueof legend\Game\League of Legends.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\Steam\SteamApps\common\l​eft 4 dead\left4dead.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\THQ\Gas Powered Games\GPGNet\GPG.Multiplayer.C​lient.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\Steam\SteamApps\common\c​all of duty modern warfare 2\iw4sp.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\Steam\SteamApps\common\c​all of duty modern warfare 2\iw4mp.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\world of warcraft\BackgroundDownloader.​exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\world of warcraft\Launcher.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\Skype\Plugin Manager\skypePM.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\League of Legends\Air\LolClient.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\League of Legends\Game\League of Legends.exe
 SUPPRIME FirewallRaz (SP) : C:\Riot Games\League of Legends\air\LolClient.exe
 SUPPRIME FirewallRaz (SP) : C:\Riot Games\League of Legends\game\League of Legends.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe
 SUPPRIME FirewallRaz (SP) : C:\WINDOWS\system32\rundll32.e​xe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\GamersFirst\APB Reloaded\Binaries\APB.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\GamersFirst\APB Reloaded\Binaries\VivoxVoiceSe​rvice.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\Electronic Arts\Crytek\Crysis 2\bin32\Crysis2.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\Steam\SteamApps\common\s​id meier's civilization v sdk\Sid Meier's Civilization V SDK.exe
 SUPPRIME FirewallRaz (SP) : C:\Program Files\Electronic Arts\BioWare\Star Wars - The Old Republic\launcher.exe
 SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe
 SUPPRIME FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe
 SUPPRIME FirewallRaz (DP) : C:\Program Files\Dragon Age 2\bin_ship\DragonAge2.exe
 SUPPRIME FirewallRaz (DP) : C:\Program Files\Dragon Age 2\DragonAge2Launcher.exe
 Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

 ========== Dossier(s) ==========

 ========== Fichier(s) ==========
 ABSENT File: c:\program files\enigma software group\spyhunter\spyhunter4.exe
 ABSENT File: c:\program files\enigma~1\spyhun~1\sh4ser​~1.exe
 ABSENT File: c:\program files\pando networks\media booster\nppandowebplugin.dll
 SUPPRIME File: c:\windows\tasks\googleupdatet​askmachinecore.job
 SUPPRIME File: c:\windows\tasks\googleupdatet​askmachineua.job
 SUPPRIME File: c:\ad-report-clean[1].txt
 ABSENT File: c:\documents and settings\yattanew\bureau\listc​hecker\pickup.listchecker.exe
 ABSENT File: c:\program files\turbine\ddo unlimited\dndclient.exe
 ABSENT File: c:\documents and settings\all users\application data\battle.net\agent\agent.51​5\agent.exe
 ABSENT File: c:\documents and settings\all users\application data\battle.net\agent\agent.64​9\agent.exe
 ABSENT File: c:\program files\diablo iii beta\diablo iii.exe
 SUPPRIME Flash Cookies:
 SUPPRIME Temporaires Windows:

 ========== Restauration Système ==========
 Point de restauration du système créé avec succès


 ========== Récapitulatif ==========
 35 : Clé(s) du Registre
 37 : Valeur(s) du Registre
 13 : Fichier(s)
 6 : Logiciel(s)
 1 : Restauration Système


 End of clean in 07mn 37s

 ========== Chemin de fichier rapport ==========
 C:\ZHP\ZHPFix[R1].txt - 02/01/2013 19:01:01 [577]
 C:\ZHP\ZHPFix[R2].txt - 02/01/2013 20:20:57 [628]
 C:\ZHP\ZHPFix[R3].txt - 06/01/2013 20:37:35 [7158]



 Je serai absent toute la semaine ( déplacement pour le boulot) donc je pourrai continuer à réparer qu'a partir du week end prochain donc t'inquiete pas si je te reponde pas de suite.
 Encore merci pour ton aide.

sam06400
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 06/01/2013 à 20:59:26  
  1. Prévenir les modérateurs en cas d'abus
 
comment c'est comporte le PC ?  tu a toujours de problème  ?


 fait ceci > RogueKiller

 Télécharge et enregistre RogueKiller(32 bits) ou (64 bits) sur le bureau

 Comment savoir si son PC tourne en 32 ou en 64 bits

 Quitte tous les programmes,

 Lance RogueKiller.exe.

 Attends la fin du Prescan

 ensuite clique sur Scan.

 Une fois le scan achevé, clique sur "Rapport".

 Copie-colle celui-ci dans ta prochaine réponse.

 PS : si tu n'arrives pas à lancer l'outil, renomme "roguekiller.exe" en winlogon pour exécuter l'outil.

siddarta
  1. Posté le 06/01/2013 à 22:08:22  
  1. Prévenir les modérateurs en cas d'abus
 
voila le rapport de roguekiller :


 RogueKiller V8.4.2 [Jan  6 2013] par Tigzy
 mail : tigzyRK<at>gmail<dot>com
 Remontees : http://www.sur-la-toile.com/di [...] ntees.html
 Site Web : http://www.sur-la-toile.com/RogueKiller/
 Blog : http://tigzyrk.blogspot.com/

 Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
 Demarrage : Mode normal
 Utilisateur : yattanew [Droits d'admin]
 Mode : Recherche -- Date : 06/01/2013 22:01:39

 ¤¤¤ Processus malicieux : 0 ¤¤¤

 ¤¤¤ Entrees de registre : 3 ¤¤¤
 [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\wi​nmgm​t\Parameters : ServiceDll (C:\DOCUME~1\yattanew\wgsdgsdg​dsgsd.exe) -> TROUVÉ
 [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet002\Services\wi​nmgm​t\Parameters : ServiceDll (C:\DOCUME~1\yattanew\wgsdgsdg​dsgsd.exe) -> TROUVÉ
 [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet003\Services\wi​nmgm​t\Parameters : ServiceDll (C:\DOCUME~1\yattanew\wgsdgsdg​dsgsd.exe) -> TROUVÉ

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver : [CHARGE] ¤¤¤

 ¤¤¤ Infection : Rans.Gendarm ¤¤¤

 ¤¤¤ Fichier HOSTS: ¤¤¤
 --> C:\WINDOWS\system32\drivers\et​c\hosts



 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0:  +++++
 --- User ---
 [MBR] 3dae149d56f0b64395e19cabe2af4a​a3
 [BSP] d8daeda1a77a1960f3ef4eea0af421​61 : Windows XP MBR Code
 Partition table:
 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238464 Mo
 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 488376000 | Size: 238472 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 +++++ PhysicalDrive2:  +++++
 --- User ---
 [MBR] bd46d4964c3ac08501b0bf03d193bd​4d
 [BSP] 68543087254f8494c8f9a0ecb644c1​81 : Windows Vista MBR Code
 Partition table:
 0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 3835 Mo
 1 - [XXXXXX] UNKNOWN (0x21) [VISIBLE] Offset (sectors): 7855785 | Size: 0 Mo
 User = LL1 ... OK!
 Error reading LL2 MBR!

 Termine : << RKreport[1]_S_06012013_220139.txt >>
 RKreport[1]_S_06012013_220139.txt



(Publicité)
sam06400
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 07/01/2013 à 07:02:14  
  1. Prévenir les modérateurs en cas d'abus
 
tu peux répondre stp a me question ! merci :)

 comment c'est comporte le PC ? tu a toujours de problème ?

 (re)Lance RogueKiller.exe.

 Attends la fin du "Prescan" ... et clique sur l'onglet Suppression.

 Une fois le scan achevé, le rapport devrait s'afficher.

 Poste-le.

siddarta
  1. Posté le 07/01/2013 à 20:19:40  
  1. Prévenir les modérateurs en cas d'abus
 
Pardon, mon pc marche normalement.

 Et voila le rapport de suppression


 RogueKiller V8.4.2 [Jan  6 2013] par Tigzy
 mail : tigzyRK<at>gmail<dot>com
 Remontees : http://www.sur-la-toile.com/di [...] ntees.html
 Site Web : http://www.sur-la-toile.com/RogueKiller/
 Blog : http://tigzyrk.blogspot.com/

 Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
 Demarrage : Mode normal
 Utilisateur : yattanew [Droits d'admin]
 Mode : Suppression -- Date : 06/01/2013 22:06:35

 ¤¤¤ Processus malicieux : 0 ¤¤¤

 ¤¤¤ Entrees de registre : 3 ¤¤¤
 [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\wi​nmgm​t\Parameters : ServiceDll (C:\DOCUME~1\yattanew\wgsdgsdg​dsgsd.exe) -> REMPLACÉ (%SystemRoot%\system32\wbem\WM​Isvc.dll)
 [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet002\Services\wi​nmgm​t\Parameters : ServiceDll (C:\DOCUME~1\yattanew\wgsdgsdg​dsgsd.exe) -> REMPLACÉ (%SystemRoot%\system32\wbem\WM​Isvc.dll)
 [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet003\Services\wi​nmgm​t\Parameters : ServiceDll (C:\DOCUME~1\yattanew\wgsdgsdg​dsgsd.exe) -> REMPLACÉ (%SystemRoot%\system32\wbem\WM​Isvc.dll)

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver : [CHARGE] ¤¤¤

 ¤¤¤ Infection : Rans.Gendarm ¤¤¤

 ¤¤¤ Fichier HOSTS: ¤¤¤
 --> C:\WINDOWS\system32\drivers\et​c\hosts



 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0:  +++++
 --- User ---
 [MBR] 3dae149d56f0b64395e19cabe2af4a​a3
 [BSP] d8daeda1a77a1960f3ef4eea0af421​61 : Windows XP MBR Code
 Partition table:
 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238464 Mo
 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 488376000 | Size: 238472 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 +++++ PhysicalDrive2:  +++++
 --- User ---
 [MBR] bd46d4964c3ac08501b0bf03d193bd​4d
 [BSP] 68543087254f8494c8f9a0ecb644c1​81 : Windows Vista MBR Code
 Partition table:
 0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 3835 Mo
 1 - [XXXXXX] UNKNOWN (0x21) [VISIBLE] Offset (sectors): 7855785 | Size: 0 Mo
 User = LL1 ... OK!
 Error reading LL2 MBR!

 Termine : << RKreport[2]_D_06012013_220635.txt >>
 RKreport[1]_S_06012013_220139.txt ; RKreport[2]_D_06012013_220635.txt



sam06400
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 07/01/2013 à 21:32:02  
  1. Prévenir les modérateurs en cas d'abus
 
ok  :super:

 Après une désinfection, il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés.

 Allez dans Démarrer|Panneau de configuration|Performances et maintenance.

 Cliquez deux fois sur "Système",puis sélectionnez l'onglet Restauration du système.

 Cliquez pour sélectionner la zone "Désactiver" la Restauration du système".

 Cliquez sur "Appliquer", puis sur <gras>"Oui".

 Cliquez de nouveau maintenant sur la case "Désactiver" la Restauration du système" pour la des sélectionner.

 Cliquez sur OK Redémarrez l'ordinateur.

 tuto ici http://www.libellules.ch/desac [...] ration.php

 http://www.pcastuces.com/pratique/astuces/3044.htm vider la quarantaine et rapport MBAM


 ------------------------------​------------------------------​------------->
 La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout
 Nous allons maintenant terminer la procédure avec la mise à jour de ton PC, la suppression des outils que nous avons utilisés et plusieurs liens utiles.

 si tu na plus des problème

 on finalise le nettoyage

 pour mieux sécuriser ton pc >

 Je t'invite à suivre ce tutoriel pour le final


 il inclut


 du nettoyage après désinfection
 des mises à jour pour combler des failles de sécurité
 de logiciels importants non mis à jour

 et enfin quelques conseils à suivre afin que la protection soit plus efficace


 fais scrupuleusement tout ça

 me à jour Java >

 et Adobe Reader >

 et aussi un explicatif sur la configuration de ccleaner :

 Voir ici--> petit tutoriel Pour nettoyer les outils utilisés

 Si tu ne vois pas d'autre problème ...

 Télécharge DelFix(by Xplode) sur ton bureau.

 Lance-le et appuie sur Recherche.

 Poste le contenu du rapport qui s'ouvrira à l'écran.

 Note : Le rapport est, aussi, sauvegardé à la racine du disque dur (C:\DelFixSearch.txt)

 ------------------------------​------------------------------​------------------------------​>>>
 Puis, si tu estimes que ton problème est réglé, replaces-toi sur ton 1er message et clique sur le bouton "modifier".
 Une fois dans le message, inscris (copie/colle) en titre, ce qui est "cadré" ci-dessous …[résolu]


 @+  ;)

 

(Publicité)
burzom
  1. Posté le 24/02/2013 à 16:35:04  
  1. Prévenir les modérateurs en cas d'abus
 

 

sam06400 a écrit :

Bonjour,siddarta


 On va d'abord tenter la restauration du système

 Au redémarrage de ton pc tapote sur la touche F8 où F5 dans le menu qui s'affiche choisis Invite de commande en mode sans échec

 http://img68.xooimage.com/file [...] f97c04.png


 Tape la ligne de commande ci dessous valide ensuite par la touche Entrée

 %systemroot%/system32/restore/​rstrui.exe


 Choisis une date de restauration antérieure à ce problème, la restauration terminée redémarre ton PC


 les lien ne marche pas et le rapport , deux fichiers sont créés: un rapport OTL.Txt et un rapport Extras.Txt. Lors des analyses suivantes, à moins qu'il soit paramétré pour générer un rapport Extras.Txt, OTL ne créera qu'un rapport OTL.Txt.


 Une copie d'un rapport de correction de OTL est sauvegardée dans un fichier texte dans le dossier
 .......%SystemDrive%:\_OTL\Mov​ed Files
 ..............dans la plupart des cas, ce sera C:\_OTL\Moved Files




 si ça marche pas fait ça --> [url=http://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie(...) ]ICI->>

 ou encore ICI


 


[/url]

 Je m'inscris sur ce site rien que pour te remercier .
 J'ai eu ce virus et j'ai suivi tes instructions ,ça a marché !
 Je précise que je suis sous win7 .
 Par contre je ne sais pas si j'ai une version 32 ou 64 de Windows ,donc pour les gens qui auraient le même problème ,si la manip ne marche pas ,ré-essayez en remplaçant system32 par system64 ,peut-être .
 Encore un gran merci ,gros +1 pour toi

sam06400
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 24/02/2013 à 16:43:50  
  1. Prévenir les modérateurs en cas d'abus
 
merci a toi  burzom  :super:  :hello:

nicolas-basket8
  1. Posté le 04/03/2014 à 13:34:39  
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour à tous,
Mon ordinateur a été recemment infecté par le virus ukash qui m'empeche de faire quoi que ce soit, et qui me demande de payer 100€ au ministere de la défense .
J'ai recherché un peu sur le site et j'ai trouver des pistes mais je ne suis pas doué en informatique et du coup je bloque.

Donc, tout dabord mon virus m'empeche de démarer en mode sans echec. Comment faire. Merci de votre aide

Profil : Equipe sécurité
jypalou
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé Maître smilies
  1. Posté le 04/03/2014 à 13:47:01  
  1. Prévenir les modérateurs en cas d'abus
 
Ce sujet est désormais clos et résolu.
Si vous avez, comme l'auteur de cette question, un problème avec la sécurité de votre ordinateur :
1. Si vous êtes déjà inscrit, il vous suffit de cliquer sur ce lien puis sur le bouton " NOUVEAU SUJET " :
nouveau sujetnouveau sujetVoir l'image en grand0 vote
2. Si vous êtes visiteur et pas encore inscrit, il vous suffit de cliquer sur ce lien ou sur le menu " S'inscrire " présent en haut de chaque catégorie :
sinscriresinscrireVoir l'image en grand0 vote
3. Pour suivre vos sujets et leurs réponses éventuelles, vous serez notifié d'un icône situé en bas à droite, dans le bandeau noir de ce type icone notification suivi des sujets:
suivi forumsuivi forumVoir l'image en grand0 vote


---------------
Membres - Les règles à respecter .
Je n'accepte aucune demande de nettoyage en message privé.
Il vaut mieux aller plus loin avec quelqu'un que nulle part avec tout le monde .
[:tachouille]
Profil : Equipe sécurité
jypalou
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé Maître smilies
  1. Posté le 04/03/2014 à 13:47:29  
  1. Prévenir les modérateurs en cas d'abus
 
Ce sujet a été fermé par Jypalou


---------------
Membres - Les règles à respecter .
Je n'accepte aucune demande de nettoyage en message privé.
Il vaut mieux aller plus loin avec quelqu'un que nulle part avec tout le monde .
[:tachouille]
 Page :
1

Aller à :
 

Sujets relatifs
ordinateur bloqué; (ukash, ministère de l'intérieur) Virus Ukash - gendarmerie nationale [résolu]
solution a ukash , remboursement. Invasion virus, plus de connection internet! (RESOLU)
Virus "Ukash" comment supprimer les restes du firewall COMODO dans le registre? [Résolu]
Plus de sujets relatifs à : ukash virus [résolu]

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Problème avec la otl pe version RESOLU 43
Comment supprimer mystart incredibar ? 1
Supprimer Mystart 2
mystart.incredibar suppression 0
mystart.incredibar suppression 0