2 Trojans (dont Incredibar)... - FORUMS 01net.

Bonjour à tous ,

Je sollicite votre aide car cela devient pénible. J'utilise maintenant et depuis peu adwcleaner et cet outil est formidable. Cependant 2 Trojans reviennent sans cesse (voir rapport ci-dessous). J'ajoute qu'en parallèle, je me sers aussi de Malwarebytes, Spybot et Ccleaner (aucun d'eux ne parvient à solutionner mon problème).

Voici mon rapport adwcleaner :

# AdwCleaner v2.003 - Rapport créé le 10/10/2012 à 18:50:53
# Mis à jour le 23/09/2012 par Xplode
# Système d'exploitation : Windows 7 Ultimate (64 bits)
# Nom d'utilisateur : ***
# Mode de démarrage : Normal
# Exécuté depuis : D:\adwcleaner.exe
# Option [Recherche]

***** [Services] *****

***** [Fichiers / Dossiers] *****

***** [Registre] *****

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7600.16385

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v15.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\y9bqbldi.default\prefs.js

Présente : user_pref("extensions.skipscreen.hostMatchStr", "hxxp://www.4shared.com/(get|audio|file|document|dir[...]

-\\ Google Chrome v22.0.1229.92

Fichier : C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [17727 octets] - [03/10/2012 20:07:41]
AdwCleaner[R4].txt - [1213 octets] - [04/10/2012 12:53:24]
AdwCleaner[S2].txt - [1276 octets] - [04/10/2012 12:54:36]
AdwCleaner[R5].txt - [1333 octets] - [04/10/2012 13:50:10]
AdwCleaner[R6].txt - [1833 octets] - [10/10/2012 18:47:38]
AdwCleaner[R7].txt - [1764 octets] - [10/10/2012 18:50:53]

########## EOF - C:\AdwCleaner[R7].txt - [1824 octets] ##########


Merci d'avance de votre aide...

Salut

Supprime AdwCleaner qui est normalement sur le bureau.

Supprime, aussi, tous les fichiers texte tels que :

C:\AdwCleaner[S1].txt <--
C:\AdwCleaner[R4].txt <--
C:\AdwCleaner[S2].txt <--
etc ...

Puis, installe la dernière version de AdwCleaner :

http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-ou(...)

et enregistre-la sur le bureau.

Puis choisis l'option "Suppression".

Poste le rapport.

Salut Kmisol,
Merci d'avoir répondu si vite.
J'ai fais ce que tu m'as dit... donc voici le rapport :


# AdwCleaner v2.004 - Rapport créé le 10/10/2012 à 22:07:02
# Mis à jour le 06/10/2012 par Xplode
# Système d'exploitation : Windows 7 Ultimate (64 bits)
# Nom d'utilisateur : ***
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\***\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7600.16385

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v15.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\y9bqbldi.default\prefs.js

Supprimée : user_pref("extensions.skipscreen.hostMatchStr", "hxxp://www.4shared.com/(get|audio|file|document|dir[...]

-\\ Google Chrome v22.0.1229.92

Fichier : C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S3].txt - [1840 octets] - [10/10/2012 22:07:02]

########## EOF - C:\AdwCleaner[S3].txt - [1900 octets] ##########

...

Ok.

Fais ce qui suit, dans l'ordre (merci de respecter cet ordre) :

1/ Télécharge AD-R (de Cyrildu17 / C_XX) sur ton Bureau.

!! Déconnecte-toi du net et ferme toutes applications en cours !!

Double-clique sur le programme d'installation ; laisse-le s’installer par défaut (C:\Program files).

Double-clique sur l'icône AD-Remover située sur ton Bureau.
(Pour Vista et Win 7 : clique droit > "Exécuter en tant qu'administrateur")

Au menu principal, choisis l'option " Nettoyer ".

L’outil débute le nettoyage … Laisse-le travailler !

Le scan achevé, une fenêtre va s’afficher.
Poste (copie-colle) le rapport qui apparaît à la fin.

(tu trouveras aussi le rapport sous C:\Ad-report(date).log)

Note : "Process.exe", une composante de l'outil peut être détecté par certains antivirus comme une infection ; donc, ne pas en tenir compte. Il s'agit d'un faux positif.

-----
2/ Télécharge ZHPDiag (de N. Coolman) sur le bureau.

Double-clique sur le fichier téléchargé ; puis, installe-le avec les paramètres par défaut (n'oublie pas de cocher "Créer une icône sur le bureau").

(pour Vista/Win 7, clique droit sur le fichier et choisis "Exécuter en tant qu’administrateur")

Lance ZHPDiag en double cliquant sur le raccourci "ZHPDiag" présent sur le bureau.

Clique sur la Loupe (Lancer le diagnostic) en haut et à gauche et … laisse l’outil scanner.

Une fois le scan achevé, clique sur la Disquette (Sauvegarder le fichier) et … enregistre le rapport sur le bureau.

PS : le rapport se trouve, aussi, sauvegardé à la base du disque dur, dans le dossier « ZHP » (C:\ZHP\ZHPDiag.txt)

Comme le rapport est long, rends-toi sur ce site : http://cjoint.com/
puis, clique sur "Parcourir" et sélectionne ce fichier (ZHPDiag.txt) ; un lien va être créé.

Copie/colle ce lien dans ta prochaine réponse.

Aide en images

Voilà...
Je vais maintenant commencer l'étape N° 2

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:49:49 le 10/10/2012, Mode normal

Microsoft Windows 7 Édition Intégrale (X64)
Apotre@JESUSCH-CL8PI0N (MICRO-STAR INTERNATIONAL CO.,LTD MS-7345)

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\***\AppData\Roaming\Mozilla\FireFox\Profiles\y9bqbldi.default\Prefs.js --
Ligne supprimée: user_pref("extensions.enabledItems", "{b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.6.5,{CAFEEFAC-0016-00...
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{CE10648F-6152-465F-B5A1-470413910344}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{CE10648F-6152-465F-B5A1-470413910344}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [15.0.1 (fr)] ****

HKLM_MozillaPlugins\@nvidia.com/3DVision (x)
HKLM_MozillaPlugins\@nvidia.com/3DVisionStreaming (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Searchplugins\search.xml (hxxp://blekko.com/ws/?source=c3348dd4&amp;tbp=rbox&amp;toolbarid=blekkotb_031&amp;u=5111365E3B0EE2B420B42D50487DF454&amp;q={searchTerms} /)
Components\browsercomps.dll (Mozilla Foundation)
HKLM_Extensions|fmdownloader@gmail.com - C:\Program Files (x86)\Freemake\Freemake Video Downloader\BrowserPlugin\Firefox\

-- C:\Users\***\AppData\Roaming\Mozilla\FireFox\Profiles\y9bqbldi.default --
Extensions\doudehou@gmail.com (StatusbarEx)
Prefs.js - browser.download.dir, J:\\Documentaires
Prefs.js - browser.download.lastDir, D:\\Fichiers\\Voiture 208
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.com/intl/fr/
Prefs.js - browser.startup.homepage_override.buildID, 20120905151427
Prefs.js - browser.startup.homepage_override.mstone, 15.0.1
Prefs.js - keyword.URL, hxxp://www.google.com/search?btnI=I%27m+Feeling+Lucky&ie=UTF-8&oe=UTF(...)
Prefs.js - privacy.popups.showBrowserMessage, false

========================================

**** Google Chrome Version [22.0.1229.92] ****

Extension\bpegkgagfojjbcpkihigfmkojdmmimdf (C:\Program Files (x86)\Freemake\Freemake Video Downloader\BrowserPlugin\Chrome\Freemake.Plugin.Chrome.crx) (?)

-- C:\Users\***\AppData\Local\Google\Chrome\User Data\Default --
Preferences - homepage: hxxp://www.google.com/intl/fr/
Preferences - homepage_is_newtabpage: true
Preferences - urls_to_restore_on_startup: hxxp://www.google.fr/
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.com/intl/fr/
Preferences - homepage_is_newtabpage: true
Plugin - Shockwave Flash (Activé: true) (C:\Users\***\AppData\Local\Google\Chrome\Application\21.0.1180.89\PepperFlash\pepflashplayer.dll)
Plugin - Remoting Viewer (Activé: true) (internal-remoting-viewer) (x)
Plugin - "Remoting Viewer" (Activé: true)
Plugin - Native Client (Activé: true) (C:\Users\***\AppData\Local\Google\Chrome\Application\22.0.1229.79\ppGoogleNaClPluginChrome.dll)
Plugin - "Native Client" (Activé: true)
Plugin - "Freemake np-plugin for google chrome" (Activé: true)
Plugin - "Java" (Activé: true)
Plugin - DivX VOD Helper Plug-in (Activé: true) (C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll)
Plugin - "DivX VOD Helper Plug-in" (Activé: true)
Plugin - "Silverlight" (Activé: true)
Plugin - NVIDIA 3D Vision (Activé: true) (C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll)
Plugin - NVIDIA 3D VISION (Activé: true) (C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll)
Plugin - "NVIDIA 3D" (Activé: true)
Plugin - Veetle TV Player (Activé: true) (C:\Program Files (x86)\Veetle\Player\npvlc.dll)
Plugin - "Veetle TV Player" (Activé: true)
Plugin - Veetle TV Core (Activé: true) (C:\Program Files (x86)\Veetle\plugins\npVeetle.dll)
Plugin - "Veetle TV Core" (Activé: true)
Preferences - urls_to_restore_on_startup: hxxp://www.google.fr/

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_ElevationPolicy\{6052BF20-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files (x86)\Veetle\Player\vtl_hfs.exe (?)
HKCU_ElevationPolicy\{680FA47E-AB59-46BE-B594-7358726E108B} - C:\Program Files (x86)\Veetle\Player\player.exe (?)
HKCU_ElevationPolicy\{E8BC6C2B-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files (x86)\Veetle\Player\vtl_hfax.exe (?)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{20120906-D194-4455-BAE6-4A44B9A0410B} - C:\Program Files (x86)\blekkotb_031\dtuser.exe (x)
HKLM_ElevationPolicy\{3B9A6E32-36C9-4946-B78C-3F58E3785EC1} - C:\Program Files (x86)\Java\jre7\bin\unpack200.exe (Oracle Corporation)
HKLM_ElevationPolicy\{4250488A-CB24-0893-C066-B1AEA57BCFF2} - C:\Program Files (x86)\Orbitdownloader\orbitdm.exe (x)
HKLM_ElevationPolicy\{44D1B085-E495-4b5f-9EE6-34795C46E7E7} - C:\Program Files (x86)\Java\jre7\bin\jp2launcher.exe (Oracle Corporation)
HKLM_ElevationPolicy\{5852F5ED-8BF4-11D4-A245-0080C6F74284} - C:\Program Files (x86)\Java\jre7\bin\javaws.exe (Oracle Corporation)
HKLM_ElevationPolicy\{6052BF20-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files (x86)\Veetle\Player\vtl_hfs.exe (?)
HKLM_ElevationPolicy\{680FA47E-AB59-46BE-B594-7358726E108B} - C:\Program Files (x86)\Veetle\Player\player.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{C8FE2181-CAE7-49EE-9B04-DB7EB4DA544A} - C:\Program Files (x86)\Java\jre7\bin\ssvagent.exe (Oracle Corporation)
HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files (x86)\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)
HKLM_ElevationPolicy\{E8BC6C2B-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files (x86)\Veetle\Player\vtl_hfax.exe (?)
HKLM_ElevationPolicy\{EAE3302F-BC3E-47CB-B4E8-A2FB2D0780AE} - C:\Program Files (x86)\WINDOW~2\Datamngr\ToolBar\dtUser.exe (x)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 10/10/2012 22:50:11 (7294 Octet(s))

Fin à: 22:50:56, 10/10/2012

============== E.O.F ==============

L'étape N° 2 est faites.

Voici : http://cjoint.com/?3JkxmuUwQ8G

...

Lance ZHPFix via le raccourci sur ton Bureau (sous Vista/Windows 7, lance-le par un clic-droit dessus > Exécuter en temps qu'administrateur).

Ou télécharge-le sur ton Bureau à cette adresse

Sélectionne et clique droit puis, copie toutes les lignes suivantes, en gras (il est très important de sélectionner toutes ces lignes en partant de la 1ère lettre et/ou chiffre jusqu'à la dernière lettre) :

O2 - BHO: (no name) [64Bits] - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Clé orpheline
O2 - BHO: (no name) [64Bits] - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} Clé orpheline
O2 - BHO: (no name) [64Bits] - {9030D464-4C02-4ABF-8ECC-5164760863C6} Clé orpheline
O2 - BHO: (no name) [64Bits] - {DBC80044-A445-435b-BC74-9C25C1C588A9} Clé orpheline
O4 - HKLM\..\Wow6432Node\Run: [Freecorder FLV Service] C:\Program Files (x86)\Freecorder\FLVSrvc.exe (.not file.)
O4 - HKLM\..\policies\Explorer\Run: [50257] C:\ProgramData\LOCALS~1\Temp\msbadukzd.exe (.not file.)
O4 - Global Startup: C:\Users\Apotre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\eBay.lnk . (...) -- C:\Users\Apotre\AppData\Roaming\Desktopicon\eBayShortcuts.exe (.not file.)
O20 - AppInit_DLLs: . (...) - C:\Program Files (x86)\WINDOW~2\Datamngr\x64\datamngr.dll (.not file.)
[MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{017AB008-81A9-45F9-B290-F3C3C74728B7}] (...) -- F:\setup.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{11592ADF-D1EA-477C-BB16-5C77FFD075E9}] (...) -- D:\Download\LogitechHarmonyRemote7.7.0-WIN-x86.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{17207248-0A6E-4A6A-A7BC-C895B0B89352}] (...) -- D:\Creative ES-1373 Sound Driver\es1373_9x\SBSETUP.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{777E8347-4B95-4ADC-9AEF-69B851DB8419}] (...) -- D:\epson324702eu.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C37EBF43-AD0E-4AD3-B40B-A0B80F86C14A}] (...) -- D:\xvid-codec_xvid_codec_1.2.2_stable_anglais_12459.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{D5C75CA5-05F7-4257-9D02-6585A65B0BE6}] (...) -- D:\epson324780eu.exe (.not file.)
[HKLM\Software\Wow6432Node\McAfee.com]
[HKLM\Software\Wow6432Node\Symantec]
[HKLM\Software\Wow6432Node\Uniblue]
O43 - CFD: 07/10/2010 - 02:30:01 - [0] ----D C:\ProgramData\McAfee
O43 - CFD: 08/05/2012 - 02:44:14 - [0] ----D C:\ProgramData\Uniblue
[HKLM\Software\Wow6432Node\Classes\CLSID\{ea551c00-2ae5-11d3-8592-00a0c98e9ea4}] =>Toolbar.Agent
[HKLM\Software\CrazyLoader] =>Adware.SPointer
C:\Users\Apotre\AppData\Local\Crazyloader Air =>Adware.SPointer
C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar =>Toolbar.AskTBar

Emptytemp
EmptyFlash
FirewallRAZ

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).

Les lignes se collent automatiquement dans ZHPFix ; sinon, coll-les.

Clique sur "GO" pour lancer le nettoyage.

Poste le rapport ZHPFix, stp.

Tuto : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Excuse mon inexpérience mais je ne vois pas l'icone représentant la lettre H.
Voici une capture écran de ce que j'ai :
http://cjoint.com/?3Jkx4oxHuIk

Il n'y a pas de bouton "GO" non plus.

....

Apparemment, les lignes sont déjà collées dans ZHPFix.

Tu n'as plus qu'à lancer le nettoyage en cliquant sur "GO".

"Go" est symbolisé par la Lettre "A" (Nettoyeur de Tools) ?
Parce que je ne vois pas de "Go".

...

Il faut que tu cliques ur l'icone du milieu ; celui ou il est indiqué (quand tu survoles avec la souris) "Coller le presse-papier"

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement celles-ci) sont dans la fenêtre (important) !

Là, tu verras l'icone "GO" appararaître au bas de l'outil, à gauche.

Voici le rapport de ZHPFix :

Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-11-10-2012-00-23-52.txt
Run by Apotre at 11/10/2012 00:23:45
Windows 7 Ultimate Edition, 64-bit (Build 7600)
Web site : http://nicolascoolman.skyrock.com/



========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
SUPPRIME Key: CLSID BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
SUPPRIME Key: CLSID BHO: {9030D464-4C02-4ABF-8ECC-5164760863C6}
SUPPRIME Key: CLSID BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}
SUPPRIME Key: HKLM\Software\Wow6432Node\McAfee.com
SUPPRIME Key: HKLM\Software\Wow6432Node\Symantec
SUPPRIME Key: HKLM\Software\Wow6432Node\Uniblue
SUPPRIME Key: HKLM\Software\Wow6432Node\Classes\CLSID\{ea551c00-2ae5-11d3-8592-00a0c98e9ea4}
SUPPRIME Key*: HKLM\Software\CrazyLoader

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: Freecorder FLV Service
ABSENT RunValue: 50257
SUPPRIME FirewallRaz (Public) : {2CC1ECC4-53DB-4D26-8EB6-D2AC85840C21}
SUPPRIME FirewallRaz (Public) : {26B527F5-21FB-42E5-A59E-3915362F0DA9}
SUPPRIME FirewallRaz (Public) : {4DCED564-BCC4-4B36-978F-58CAA1B3B64D}
SUPPRIME FirewallRaz (Public) : {5B594729-DBBD-4CAB-A75C-774C37A46087}
SUPPRIME FirewallRaz (Private) : {E0E2A459-060B-4920-9C8B-5054BFDECFDC}
SUPPRIME FirewallRaz (Private) : {8081023A-A5F8-47A8-A35F-90D21E9A61E9}

========== Elément(s) de donnée du Registre ==========
SUPPRIME AppInit: \Program Files (x86)\WINDOW~2\Datamngr\x64\datamngr.dll

========== Dossier(s) ==========
SUPPRIME Folder: C:\ProgramData\McAfee
SUPPRIME Folder: C:\ProgramData\Uniblue
SUPPRIME Folder: c:\users\apotre\appdata\local\crazyloader air
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
ABSENT File: c:\program files (x86)\freecorder\flvsrvc.exe
ABSENT File: c:\programdata\locals~1\temp\msbadukzd.exe
SUPPRIME File: c:\users\apotre\appdata\roaming\microsoft\internet explorer\quick launch\ebay.lnk
ABSENT File: c:\users\apotre\appdata\roaming\desktopicon\ebayshortcuts.exe
ABSENT File: \program files (x86)\window~2\datamngr\x64\datamngr.dll
ABSENT Folder/File: c:\windows\system32\tasks\scheduled update for ask toolbar
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Tache planifiée ==========
SUPPRIME Task: Scheduled Update for Ask Toolbar
SUPPRIME Task: {017AB008-81A9-45F9-B290-F3C3C74728B7}
SUPPRIME Task: {11592ADF-D1EA-477C-BB16-5C77FFD075E9}
SUPPRIME Task: {17207248-0A6E-4A6A-A7BC-C895B0B89352}
SUPPRIME Task: {777E8347-4B95-4ADC-9AEF-69B851DB8419}
SUPPRIME Task: {C37EBF43-AD0E-4AD3-B40B-A0B80F86C14A}
SUPPRIME Task: {D5C75CA5-05F7-4257-9D02-6585A65B0BE6}


========== Récapitulatif ==========
9 : Clé(s) du Registre
8 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
5 : Dossier(s)
8 : Fichier(s)
7 : Tache planifiée


End of clean in 00mn 14s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 11/10/2012 00:23:52 [2963]

...

Ok.

Dans l'ordre :

1. Supprime AdwCleaner comme indiqué dans mon premier message.

Supprime, aussi, tous les fichiers texte comme indiqué dans mon (premier) message.

-----
2. Réinstalle AdwCleaner comme indiqué.

Lance un scan et choisis l'option "Suppression".

Puis, poste le rapport.

-----
3. Lance Malwarebytes et mets-le à jour (important).

Puis, exécute un scan "complet".

Une fois le scan achevé, si MalwareByte's a détecté des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.

-----
Bonne nuit ...

# AdwCleaner v2.004 - Rapport créé le 11/10/2012 à 00:58:09
# Mis à jour le 06/10/2012 par Xplode
# Système d'exploitation : Windows 7 Ultimate (64 bits)
# Nom d'utilisateur : ***
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\***\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7600.16385

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v15.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\y9bqbldi.default\prefs.js

Supprimée : user_pref("extensions.skipscreen.hostMatchStr", "hxxp://www.4shared.com/(get|audio|file|document|dir[...]

-\\ Google Chrome v22.0.1229.92

Fichier : C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R8].txt - [1159 octets] - [11/10/2012 00:57:33]
AdwCleaner[S4].txt - [1093 octets] - [11/10/2012 00:58:09]

########## EOF - C:\AdwCleaner[S4].txt - [1153 octets] ##########

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.10.10.10

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Apotre :: *** [administrateur]

11/10/2012 01:10:45
mbam-log-2012-10-11 (01-10-45).txt

Type d'examen: Examen complet (C:\|D:\|I:\|J:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 351986
Temps écoulé: 34 minute(s), 34 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|50257 (Trojan.Agent) -> Données: C:\ProgramData\LOCALS~1\Temp\msbadukzd.exe -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

J'ai procédé à un 2ème session de Malwarebytes Anti-Malware et le Trojan est toujours là.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|50257 (Trojan.Agent)

Hello !

Redémarre le PC en mode sans echec …
-> méthode F8 (ou F5/F11 sur certains PC) de préférence

Puis, lance MBAM pour un scan ...

Sauvegarde le rapport.

Redémarre le PC en mode normal.

Poste le rapport.

Hello Kmisol,
Voici :

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.10.10.10

Windows 7 x64 NTFS (Mode sans échec)
Internet Explorer 8.0.7600.16385
*** [administrateur]

11/10/2012 09:41:35
mbam-log-2012-10-11 (09-41-35).txt

Type d'examen: Examen complet (C:\|D:\|I:\|J:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 350881
Temps écoulé: 18 minute(s), 50 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|50257 (Trojan.Agent) -> Données: C:\ProgramData\LOCALS~1\Temp\msbadukzd.exe -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

J'en ai profité pour refaire un MBAM en mode normal et il est toujours là le bougre. Il persiste

Hello !

Tu avais redémarré le PC comme demandé par MBAM ?

-----
Sinon, via Démarrer > Exécuter ... tape regedit dans la fenêtre et valide par OK ou Entrée.

Tu vas découvrir l'éditeur du registre et son arborescence ...

Remonte les clés en cliquant successivement sur les + jusqu' à ... 50257



Tu cliques droit dessus et tu supprimes le fichier en gras, ci-dessus.

Ensuite, tu relanceras un scan MBAM pour voir ce qu'il en est.

Il n'y est pas lorsque je cherche en manuel et lorsque je colle le lien sur "Executer" eh bien Windows ne le trouve pas non plus.
On a faire à du lourd je crois.

Autant pour moi, je t'ai écrit une bêtise. Je l'ai finalement trouvé en manuel mais je ne peux pas le supprimer. J'ai essayer de faire la même chose en mode sans échecs et pareil Windows ne m'autorise pas à le supprimer.

J'ai trouvé la solution comme un grand : RogueKiller

Merci à Kmisol pour sa patience.

Hello !


C'est vrai ... j'aurais pu y penser plus tôt

-----