Ouverture intempestive... - FORUMS 01net.

Bonsoir,

Petit cadeau de noel sur mon ordi ! J'ai très souvent depuis quelques jours des fenetres de pub qui s'ouvrent sur ie alors que j'utilise firefox. Cela ralenti énormément mon ordi qui était déjà bien lent.
Mon ado a du passer par là....
Je suis sous Vista.

Pouvez-vous secourir une maman néophite ?

Merci d'avance

Bonne soirée

Bonsoir.

Bienvenue ici Alors on se tutoie hein

Utilise ce logiciel de diagnostic :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

++

Et si tu as le moindre soucis, n'hésite pas à poser des questions, je suis là pour y répondre et te guider au mieux

Alors là ! Bravo !

C'est toujours aussi simple ????
Enfin, en apparence, car j'ai voulu parcourir le charmant texte que j'ai généré et très accessible

Voilà donc normalement ce que je suis sensée te fournir :
http://www.cijoint.fr/cjlink.php?file=cj201012/cijnVK60tW.txt

Alors ça dit quoi...

En tout cas merci de ta réponse si rapide.

N'est-ce pas que c'est accessible !

Ce sera toujours aussi simple si je continue à te donner les instructions pas à pas et que tu les suis comme tu l'as fait

Bon heu comment dire ? Tu es très infectée Il va falloir suivre ce qui suit

Ad-Remover


• Télécharge AD-Remover (de C_XX) sur ton Bureau.

:!: Ferme toutes les applications en cours :!:

• Double-clique sur l'icône AD-Remover
• Au menu principal, clique sur "Nettoyer"
• Confirme le lancement de l'analyse et laisse l'outil travailler
• Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

++

Bon ben voilà le travail !

encore une pub sur explorer à l'instant !
C'est toujours aussi grave docteur ?


======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 22/12/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:42:27 le 30/12/2010, Mode normal

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
Nathalie@PC-DE-NATHALIE (TOSHIBA *)

============== ACTION(S) ==============


Fichier supprimé: C:\Program Files\Mozilla FireFox\searchplugins\iMeshWebSearch.xml
Fichier supprimé: C:\Program Files\Mozilla FireFox\searchplugins\SearchquWebSearch.xml
Dossier supprimé: C:\Program Files\Windows Searchqu Toolbar
Dossier supprimé: C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\poyz787k.default\searchqutb
Fichier supprimé: C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\poyz787k.default\searchplugins\SearchquWebSearch.xml
Fichier supprimé: C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\poyz787k.default\searchplugins\iMeshWebSearch.xml
Dossier supprimé: C:\Users\Acces des enfants\AppData\Roaming\Mozilla\FireFox\Profiles\3ueqm1xj.default\extensions\{28D35620-51D9-11DE-9D13-2DB156D89593}
Dossier supprimé: C:\Users\Acces des enfants\AppData\Roaming\Mozilla\FireFox\Profiles\3ueqm1xj.default\iMeshMediabarTb
Dossier supprimé: C:\Users\Nathalie\Documents\Imesh
Dossier supprimé: C:\Users\Nathalie\Music\Imesh
Dossier supprimé: C:\ProgramData\GamesBar

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\poyz787k.default\Prefs.js --
Ligne supprimée:
Ligne supprimée:
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.searchqu.com/web?src=ffb&systemid=403&q=");
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{27BF8F8D-58B8-D41C-F913-B7EEB57EF6F6}
Clé supprimée: HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}
Clé supprimée: HKLM\Software\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7FF99715-3016-4381-84CE-E4E4C9673020}
Clé supprimée: HKLM\Software\Classes\CLSID\{ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F}
Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé supprimée: HKLM\Software\Classes\TypeLib\{96F7FABC-5789-EFA4-B6ED-1272F4C1D27B}
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé supprimée: HKLM\Software\bandoo
Clé supprimée: HKCU\Software\iMesh
Clé supprimée: HKCU\Software\AppDataLow\Software\searchqutb
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\imeshmediabartb
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\BHO iMesh
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A93C934-025B-4C3A-B38E-9654A7003239}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HWSetup
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{7FF99715-3016-4381-84CE-E4E4C9673020}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\poyz787k.default\Prefs.js --
browser.download.dir, C:\\Users\\Nathalie\\Downloads
browser.download.lastDir, C:\\Users\\Nathalie\\Downloads
browser.search.defaultenginename, Web Search
browser.search.selectedEngine, Web Search
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.13

-- C:\Users\Acces des enfants\AppData\Roaming\Mozilla\FireFox\Profiles\3ueqm1xj.default\Prefs.js --
browser.download.dir, C:\\Users\\Acces des enfants\\Downloads
browser.download.lastDir, C:\\Users\\Acces des enfants\\Desktop
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.2

========================================

** Internet Explorer Version [7.0.6002.18005] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 316 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 30/12/2010 (6535 Octet(s))

Fin à: 20:49:55, 30/12/2010

============== E.O.F ==============

On verra sur les prochains rapports


/!\ Désactive tous tes logiciels de protection /!\

* Télécharge ComboFix (de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
* Ne touche à rien pendant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

++

Alors voici la suite du roman

:lol:

Par contre, je viens de remettre mon antivirus.

ComboFix 10-12-30.01 - Nathalie 30/12/2010 21:30:54.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2045.889 [GMT 1:00]
Lancé depuis: c:\users\Nathalie\Desktop\ComboFix.exe
AV: Norton Internet Security *Disabled/Updated* {88C95A36-8C3B-2F2C-1B8B-30FCCFDC4855}
FW: Norton Internet Security *Disabled* {B0F2DB13-C654-2E74-30D4-99C9310F0F2E}
SP: Norton Internet Security *Disabled/Updated* {33A8BBD2-AA01-20A2-213B-0B8EB45B02E8}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\xp
c:\programdata\xp\EBLib.dll
c:\programdata\xp\TPwSav.sys
c:\users\Nathalie\vlc-0.8.6c-win32.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-11-28 au 2010-12-30 ))))))))))))))))))))))))))))))))))))
.

2010-12-30 20:47 . 2010-12-30 20:51 -------- d-----w- c:\users\Nathalie\AppData\Local\temp
2010-12-30 20:47 . 2010-12-30 20:47 -------- d-----w- c:\users\TEMP\AppData\Local\temp
2010-12-30 20:47 . 2010-12-30 20:47 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-12-30 20:47 . 2010-12-30 20:47 -------- d-----w- c:\users\Acces des enfants\AppData\Local\temp
2010-12-30 19:42 . 2010-12-30 19:42 -------- d-----w- c:\program files\Ad-Remover
2010-12-30 18:54 . 2010-12-30 19:03 -------- d-----w- c:\program files\ZHPDiag
2010-12-29 13:35 . 2010-12-29 13:36 -------- d-----w- c:\users\Nathalie\AppData\Roaming\LiveCAD3
2010-12-29 13:26 . 2009-09-04 16:44 238936 ----a-w- c:\windows\system32\xactengine3_5.dll
2010-12-29 13:18 . 2010-12-29 13:18 -------- d-----w- c:\program files\Anuman Interactive
2010-12-29 12:02 . 2010-12-29 12:02 -------- d-----w- c:\users\Nathalie\AppData\Roaming\UNDEFINED
2010-12-29 12:02 . 2010-12-29 12:02 -------- d-----w- c:\users\Nathalie\AppData\Local\UNDEFINED
2010-12-29 12:02 . 2010-12-29 12:02 -------- d-----w- c:\programdata\iDeal Designer But_5
2010-12-29 12:01 . 2010-12-29 12:01 -------- d-----w- c:\program files\But iDeal Designer
2010-12-28 20:47 . 2010-12-28 20:47 69 ----a-w- c:\users\Nathalie\AppData\Local\GLF3A32.tmp
2010-12-28 20:39 . 2010-12-28 20:38 208896 ----a-w- c:\windows\Hwozya.exe
2010-12-28 20:38 . 2010-12-28 20:38 299008 ----a-w- c:\windows\system32\sshnas21.dll
2010-12-28 20:38 . 2010-12-28 20:38 -------- d-----w- c:\program files\icons
2010-12-28 18:25 . 2010-12-28 22:20 -------- d-----w- c:\users\TEMP.PC-de-Nathalie
2010-12-28 11:43 . 2010-12-28 11:43 -------- d-----w- c:\program files\Common Files\Skype
2010-12-25 14:11 . 2010-12-25 14:11 92160 ----a-r- c:\users\Nathalie\AppData\Roaming\Microsoft\Installer\{FF5B9BB2-F4C6-4BD2-AE18-CAE20099C50F}\Icon1506B0EA.exe
2010-12-25 14:10 . 2010-12-25 14:11 -------- d-----w- c:\program files\DibaNet
2010-12-16 08:37 . 2010-10-18 13:31 2038272 ----a-w- c:\windows\system32\win32k.sys
2010-12-16 08:37 . 2010-10-12 15:53 33280 ----a-w- c:\program files\Windows Mail\wabfind.dll
2010-12-16 08:37 . 2010-10-12 13:41 66048 ----a-w- c:\program files\Windows Mail\wabmig.exe
2010-12-16 08:37 . 2010-10-12 13:41 515584 ----a-w- c:\program files\Windows Mail\wab.exe
2010-12-16 08:37 . 2010-11-04 18:56 345600 ----a-w- c:\windows\system32\wmicmiplugin.dll
2010-12-16 08:37 . 2010-11-04 18:55 352768 ----a-w- c:\windows\system32\taskschd.dll
2010-12-16 08:37 . 2010-11-04 18:55 601600 ----a-w- c:\windows\system32\schedsvc.dll
2010-12-16 08:37 . 2010-11-04 18:55 270336 ----a-w- c:\windows\system32\taskcomp.dll
2010-12-16 08:37 . 2010-11-04 16:34 171520 ----a-w- c:\windows\system32\taskeng.exe
2010-12-16 08:37 . 2010-10-18 13:37 81920 ----a-w- c:\windows\system32\consent.exe
2010-12-16 08:37 . 2010-10-28 15:44 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-12-16 08:37 . 2010-10-28 13:27 292352 ----a-w- c:\windows\system32\atmfd.dll
2010-12-16 08:37 . 2010-06-16 15:30 72704 ----a-w- c:\windows\system32\fontsub.dll
2010-12-16 08:36 . 2010-10-21 20:08 834048 ----a-w- c:\windows\system32\wininet.dll
2010-12-16 08:36 . 2010-10-21 18:30 389632 ----a-w- c:\windows\system32\html.iec
2010-12-16 08:36 . 2010-10-20 17:41 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-12-16 08:36 . 2010-10-28 13:20 2048 ----a-w- c:\windows\system32\tzres.dll
2010-12-16 08:34 . 2010-11-03 10:51 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
2010-12-02 18:42 . 2010-12-02 18:51 -------- d-----w- c:\windows\system32\drivers\NIS\1201000.025
2010-12-02 14:07 . 2010-12-02 14:07 -------- d-----w- c:\users\Nathalie\AppData\Roaming\Mobipocket
2010-12-02 14:02 . 2010-12-02 14:02 -------- d-----w- c:\program files\Mobipocket.com

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-02 18:43 . 2010-04-27 10:59 126512 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2008-06-30 11:44 . 2008-09-18 10:17 324976 ----a-w- c:\program files\mozilla firefox\components\coFFPlgn.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"Metropolis"="c:\windows\system32\sshnas21.dll" [2010-12-28 299008]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-25 4444160]
"KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
"SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272]
"NDSTray.exe"="NDSTray.exe" [BU]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 577536]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-03-20 1451304]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2007-05-04 571024]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"WPCUMI"="c:\windows\system32\WpcUmi.exe" [2006-11-02 176128]
"Skytel"="Skytel.exe" [2007-04-13 1822720]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"Mouse Suite 98 Daemon"="ICO.EXE" [2008-04-02 53248]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2010-05-01 202256]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]

c:\users\Acces des enfants\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [N/A]

c:\users\Nathalie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
Yahoo! Widgets.lnk - c:\program files\Yahoo!\Widgets\YahooWidgets.exe [2008-3-19 4742184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
2007-04-10 14:40 413696 ----a-w- c:\program files\Camera Assistant Software for Toshiba\traybar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Desktop SMS]
2007-01-19 11:25 1507328 ----a-w- c:\program files\IDM\Desktop SMS\DesktopSMS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EverioService]
2007-11-01 16:13 151552 ------w- c:\program files\CyberLink\PCM4Everio\EverioService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-06-15 14:33 141624 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSDMonitor]
2010-08-05 06:46 104408 ----a-w- c:\program files\Common Files\PC Tools\sMonitor\SSDMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2006-11-10 10:35 90112 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1c9ffb543374970;Service Google Update (gupdate1c9ffb543374970);c:\program files\Google\Update\GoogleUpdate.exe [2009-07-08 133104]
R3 TpChoice;Touch Pad Detection Filter driver;c:\windows\system32\DRIVERS\TpChoice.sys [x]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 PCToolsSSDMonitorSvc;PC Tools Startup and Shutdown Monitor service;c:\program files\Common Files\PC Tools\sMonitor\StartManSvc.exe [2010-08-05 583640]
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SYMDS.SYS [2010-06-13 339504]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SYMEFA.SYS [2010-07-29 666672]
S1 BHDrvx86;BHDrvx86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20101123.003\BHDrvx86.sys [2010-11-23 691248]
S1 IDSVix86;IDSVix86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20101228.001\IDSvix86.sys [2010-11-09 353912]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.SYS [2010-06-27 134704]
S1 SYMTDIv;Symantec Vista Network Dispatch Driver;c:\windows\system32\drivers\NIS\1201000.025\SYMTDIV.SYS [2010-07-13 331312]
S2 NIS;Norton Internet Security;c:\program files\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [2010-07-23 126904]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2010-05-28 102448]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-12-30 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-08 09:16]

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-08 10:16]

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-08 10:16]

2010-12-30 c:\windows\Tasks\User_Feed_Synchronization-{8D783EE3-128B-4CBA-8C97-EADBCD3D4678}.job
- c:\windows\system32\msfeedssync.exe [2008-06-24 07:33]

2010-12-17 c:\windows\Tasks\User_Feed_Synchronization-{EF13D4EE-50CF-4C31-BD07-92C847C02D6F}.job
- c:\windows\system32\msfeedssync.exe [2008-06-24 07:33]

2010-12-30 c:\windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
- c:\windows\Hwozya.exe [2010-12-28 20:38]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/709-44555-9400-3/4
IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.fr/exec/obidos/redirect-home?tag=Toshibafrbholink-21&si(...)
LSP: c:\windows\system32\wpclsp.dll
Trusted Zone: neuf.fr\televisionsurpc
FF - ProfilePath - c:\users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\poyz787k.default\
FF - prefs.js: browser.search.selectedEngine - Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Dictionnaire français «Classique»: fr-FR@dictionaries.addons.mozilla.org - %profile%\extensions\fr-FR@dictionaries.addons.mozilla.org
FF - Ext: Go Green: fzamaan@gmail.com - %profile%\extensions\fzamaan@gmail.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Html Validator: {3b56bcc7-54e5-44a2-9b44-66c3ef58c13e} - %profile%\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
FF - Ext: 20-20 3D Viewer: 2020Player@2020Technologies.com - %profile%\extensions\2020Player@2020Technologies.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\programdata\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: Norton IPS: {BBDA0591-3099-440a-AA10-41764D9DB4DB} - c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn
FF - Ext: Norton Toolbar: {2D3F3651-74B9-4795-BDEC-6DA2F431CB62} - c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn
FF - user.js: yahoo.homepage.dontask - true
.
.
------- Associations de fichier -------
.
.txt=ClPhpEd.Files
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-TOSCDSPD - TOSCDSPD.EXE
HKLM-Run-TPwrMain - %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
HKLM-Run-HSON - %ProgramFiles%\TOSHIBA\TBS\HSON.exe
HKLM-Run-SmoothView - %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
HKLM-Run-00TCrdMain - %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
HKLM-Run-ALUAlert - c:\program files\Symantec\LiveUpdate\ALuNotify.exe
HKLM-Run-CheckMedi8or - d:\program files\Mediator6\CheckNewUser.exe
MSConfigStartUp-PhilipsSA33XXDM - c:\program files\Philips\SA33XX\Philips Device Manager\Bin\LaunchDM.exe
AddRemove-Registry Mechanic_is1 - c:\program files\Registry Mechanic\unins000.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9c.exe
AddRemove-World of Warcraft Trial - c:\users\Public\Documents\Blizzard Entertainment\World of Warcraft Trial (3)\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-30 21:50
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\users\Nathalie\AppData\Roaming\Microsoft\Windows\Cookies\nathalie@ad.yieldmanager[1].txt

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\NIS]
"ImagePath"="\"c:\program files\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Heure de fin: 2010-12-30 21:59:47
ComboFix-quarantined-files.txt 2010-12-30 20:59

Avant-CF: 46 558 937 088 octets libres
Après-CF: 46 757 412 864 octets libres

- - End Of File - - 2D63AC48A967FAC9E0764CE36BDCF7F9

Bonjour

Alors, Combofix n'a pas vu ce que je voulais qu'il voie ! Tsss, faut tout leur dire à ces robots

On va donc utiliser un script pour nettoyer les bébêtes. Comme toujours, y'a qu'à suivre ce que je te dis et en cas de soucis, je suis à l'écoute !

/!\ ATTENTION /!\ Aux visiteurs : Le script qui suit a été écrit spécialement pour arbacoan, il n'est pas transposable sur un autre ordinateur !

• Télécharge ce dossier : http://sd-1.archive-host.com/membres/up/21362097671547645/CFScript.zip

• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un fichier CFScript.txt se trouve à l'intérieur et se place sur le Bureau.

• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe comme sur cette image :



• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

++

Salut !
Je ne sais pas si je te trouverai aussi tôt devant ton écran !!!
La soirée a été longue ?
Enfin je te souhaite une excellente année 2011

Bon alors j'ai suivi ta recette .... et ça bloque lors du scan de combo, j'ai le message suivant qui tourne en boucle :


C:\32788R22FWJFW/iexplore.exe
Window ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié.
Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès aux éléments.



J'ai insisté en validant plusieurs fois, ça me répète ce message, j'ai relancé le test 2 fois et idem.


Verdict ????????????????????????????

A +

Bonsoir

Heu, effectivement, il était bien trop tôt à l'heure où tu es arrivée



Bon alors, erreur de Combofix ...

Je vais donc te demander de le supprimer et le télécharger à nouveau Tu suivras ensuite les mêmes démarches que précédemment. Si ça fonctionne pas, on verra pour passer autrement.

Pour le supprimer :

Ouvre la boîte de commande ("exécuter") --> Touche "vista + r" (la touche vista c'est celle à côté de ctrl à gauche du clavier.

Dans la barre, tape : combofix /uninstall (attention à bien mettre l'espace après "combofix")

L'outil va faire comme s'il démarrait puis se supprimer.

Télécharge-le à nouveau ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

++

Même problème :hurle: quand j'essaye de supprimer combo avec ta procédure :

C:\32788R22FWJFW/n.pif
Window ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié.
Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès aux éléments.

Puis quand je valide:

C:\32788R22FWJFW/iexplore.exe
Window ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié.
Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès aux éléments.


J'ai aussi essayer en téléchargeant à nouveau combo avec écraser l'ancien. Même probleme, impossible de fermer la fenetre sans passer par le gestionnaire de tâches

Ah au juste, je viens de me rendre compte que j'ai le même probleme quand j'ai télécharger un fichier .ppt, il me refuse l'acces à la visionneuse de ppt avec le même message !
La bête se rebelle ! qu'est ce que je fais !!!!

Re.

Alors on va passer autrement pour le script, pas grave parce que je comprends pas pourquoi Combofix délivre ce message

OTM :

Télécharge OTM (de Old_Timer) sur ton Bureau

Double-clique sur OTM.exe pour le lancer.

Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

------------------------------------------------------------------------

:files
c:\program files\windows searchqu toolbar\datamngr\datamngrui.exe
c:\windows\hwozya.exe
c:\users\nathalie\appdata\local\temp\hvx.exe
c:\users\nathalie\appdata\local\temp\hwa.exe
c:\program files\wi9130~1\toolbar\searchqudx.dll
c:\windows\system32\sshnas21.dll
c:\windows\system32\adober.exe
c:\users\nathalie\appdata\local\temp\hv0.exe
c:\users\nathalie\appdata\local\temp\hv1.exe
c:\users\nathalie\appdata\local\temp\hv2.exe
c:\users\nathalie\appdata\local\temp\hv3.exe
c:\users\nathalie\appdata\local\temp\hv4.exe
c:\users\nathalie\appdata\local\temp\hv5.exe
c:\users\nathalie\appdata\local\temp\hv6.exe
c:\users\nathalie\appdata\local\temp\hv7.exe
c:\users\nathalie\appdata\local\temp\hv8.exe
c:\users\nathalie\appdata\local\temp\hv9.exe
c:\users\nathalie\appdata\local\temp\hvv.exe
c:\users\nathalie\appdata\local\temp\hvw.exe
c:\users\nathalie\appdata\local\temp\hvy.exe
c:\users\nathalie\appdata\local\temp\hvz.exe
c:\users\nathalie\appdata\local\temp\setup.exe
c:\users\nathalie\appdata\local\temp\sshnas21.dll

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}]
[-HKEY_CLASSES_ROOT\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7FF99715-3016-4381-84CE-E4E4C9673020}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Metropolis"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"JP595IR86O"=-

:commands
[emptytemp]
[reboot]

------------------------------------------------------------------------

Clique sur MoveIt! pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles.

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

++

Est ce que je debranche mon antivirus ?

Oui ça vaut mieux avant tout passage d'outil J'ai oublié de préciser

Je ne vois pas la case Unregister Dll's and Ocx's.
J'ai des boutons clean up, move it et exit
et 2 sections "paste...." et "results".
Où est cette case ?

Heu ben elle n'existe plus Mon petit discours pré-enregistré commence à dater (je n'utilise presque plus cet outil). Au moins, ça m'aurait permis de le mettre à jour

Donc tu peux coller les lignes, cliquer sur MoveIt! et me poster le rapport.

Au moins, mon dépannage te servira

Alors voilà le rapport stocké dans le fichier 01012011_230847.log du répertoire C:\_OTM\MovedFiles :

All processes killed
========== FILES ==========
File/Folder c:\program files\windows searchqu toolbar\datamngr\datamngrui.exe not found.
c:\windows\Hwozya.exe moved successfully.
File/Folder c:\users\nathalie\appdata\local\temp\hvx.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hwa.exe not found.
File/Folder c:\program files\wi9130~1\toolbar\searchqudx.dll not found.
c:\windows\system32\sshnas21.dll moved successfully.
File/Folder c:\windows\system32\adober.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hv0.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hv1.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hv2.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hv3.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hv4.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hv5.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hv6.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hv7.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hv8.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hv9.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hvv.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hvw.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hvy.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\hvz.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\setup.exe not found.
File/Folder c:\users\nathalie\appdata\local\temp\sshnas21.dll not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
Registry key HKEY_CLASSES_ROOT\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{7FF99715-3016-4381-84CE-E4E4C9673020} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Metropolis not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\JP595IR86O not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Acces des enfants
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 469 bytes
->FireFox cache emptied: 4495755 bytes
->Flash cache emptied: 6962 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 41 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Nathalie
->Temp folder emptied: 9274641 bytes
->Temporary Internet Files folder emptied: 295769846 bytes
->Java cache emptied: 81871373 bytes
->FireFox cache emptied: 111878518 bytes
->Google Chrome cache emptied: 121426276 bytes
->Flash cache emptied: 5056127 bytes

User: Public
->Temp folder emptied: 0 bytes

User: TEMP
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 10916699 bytes

User: TEMP.PC-de-Nathalie
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 32527 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 257268 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 1422 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 611,00 mb


OTM by OldTimer - Version 3.1.17.2 log created on 01012011_230847

Files moved on Reboot...

Registry entries deleted on Reboot...

Re.

Tu pourras me renvoyer un nouveau ZHPDiag comme plus haut stp ?

Merci

Oups ! Dur ce dernier dimanche matin ! Vive les enfants et leurs réveils depuis 8h !!!

Un peu de sorcellerie sur l'ordi et voilà :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijfGI5jME.txt

Bonjour.

Ah oui, les enfants !

Moi aussi levé assez tôt mais pour la bonne cause, j'ai peut-être trouvé ma première voiture !

Bon pour la suite

• Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)

• Copie les lignes suivantes :

----------------------------------------------------------

O4 - Global Startup: C:\Documents And Settings\Nathalie\Desktop\VpnPca06 - Raccourci.lnk - Clé orpheline
O4 - Global Startup: C:\Users\Nathalie\Desktop\VpnPca06 - Raccourci.lnk - Clé orpheline
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[HKCU\Software\JP595IR86O]
[HKCU\Software\NtWqIVLZEWZU]
[HKLM\Software\Trad-FR]
[HKCU\Software\WHMDNR9LKK]


----------------------------------------------------------

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

===========================

Comment va ton pc ? Où en est le problème principal ?

Bon courage ++

Première voiture !!!! Vive le père noel....

Bon par contre l'ordi a pas du tout mais alors pas du tout aimer ce que je viens de lui faire. Impossible de lancer ta procédure, plantage window quelques secondes apres le lancement du nettoyage. J'ai essayé 2 fois, rien à faire.
Comme tu me l'as appris j'avais coupé l'antivirus avant.

Sinon, en dehors de ça, les pubs ont l'air d'avoir disparu et j'ai l'impression que le micro rame moins (mais bon ....)


A +

Tu peux regarder mon précédent message ?

J'ai édité en supprimant une ligne, peux-tu retenter sans cette ligne s'il te plaît ?

++

ça passe vraiment pas aujourd'hui !
Idem, même resultat

Roooh tu fais exprès hein ?



Bon on va tenter petit à petit, essaie déjà avec ces lignes seulement :

[HKCU\Software\JP595IR86O]
[HKCU\Software\NtWqIVLZEWZU]
[HKLM\Software\Trad-FR]
[HKCU\Software\WHMDNR9LKK]

Non c'est pas moi , c'est ma bête qui se rebelle !

Mais....ce coup-ci c'est bon , voila le rapport :

Rapport de ZHPFix 1.12.3233 par Nicolas Coolman, Update du 30/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-02-01-2011-15-30-43.txt
Run by Nathalie at 02/01/2011 15:30:43
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\JP595IR86O => Clé supprimée avec succès
HKCU\Software\NtWqIVLZEWZU => Clé supprimée avec succès
HKLM\Software\Trad-FR => Clé supprimée avec succès
HKCU\Software\WHMDNR9LKK => Clé supprimée avec succès


========== Récapitulatif ==========
4 : Clé(s) du Registre


End of the scan

Avec celle-ci :

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job

Et voilà !


Rapport de ZHPFix 1.12.3233 par Nicolas Coolman, Update du 30/12/2010
Fichier d'export Registre :
Run by Nathalie at 02/01/2011 15:40:18
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier(s) ==========
c:\windows\tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Fichier(s)


End of the scan

T'as vu, un smiley excité à la fin de mon rapport ! comme quoi je ne le maitrise plus cet ordi

Tu me tires la langue maintenant !

Télécharge ensuite Malwarebytes Anti-Malware (MBAM): ---> Malwarebytes Anti-Malware <---

Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.

Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".

Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".

Poste le rapport généré.

++

Bon heureusement que je suis là , mets à jour ton lien avec je crois
http://www.malwarebytes.org/mbam.php
car erreur sur ton lien actuel

Premier log :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5443

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

02/01/2011 17:11:45
mbam-log-2011-01-02 (17-11-45).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 178164
Temps écoulé: 10 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


J'ai relancé l'examen car je n'étais pas sur de la suppression des menaces car il y a eu un message d'erreur durant la suppression.
Mais la suppression a été faite car aucune menace distinguées.

Voici le deuxième log :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5443

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

02/01/2011 17:22:30
mbam-log-2011-01-02 (17-22-30).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 178241
Temps écoulé: 8 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Rooh ben c'est pas vrai, mes canneds sont tous à refaire !

Bon un tout dernier ZHPDiag et je pense que pour les infections c'est ok Par contre, il y aura des mises à jour à effectuer.

Ton pc rame toujours ? On pourra tenter un petit nettoyage ensuite

Alors voilà le dernier log !

http://www.cijoint.fr/cjlink.php?file=cj201101/cijwJV8CBl.txt

Pour le pc qui rame, si tu as un peu de temps, ce serait avec plaisir car mon vieux pc doit trainer pas mal de trucs inutiles.

Bonsoir.

J'espère que la rentrée s'est bien déroulée Pas trop dure avec les enfants ?

Mets à jour IE il faut le garder à jour même si Firefox est ton navigateur par défaut car IE sert aux mises à jour) : http://www.microsoft.com/france/windows/internet-explorer/telecharger-ie8.asp(...)

Mets à jour Java : http://www.java.com/fr/download/windows_xpi.jsp?locale=fr&host=www.java.c(...)

==============

Utilise ce programme pour nettoyer un peu ton ordinateur :

• Télécharge CCleaner slim.
• Installe le puis lance le.
• Clique sur Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
• Enfin, clique sur Registre → corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).

=============

• Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag) pour une optimisation cette fois
• Copie les lignes suivantes :

----------------------------------------------------------

OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard Co. - Hewlett-Packard Product Assistant.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - Global Startup: C:\Users\Nathalie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk . (.Pas de propriétaire.) -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe

----------------------------------------------------------

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

===============

DelFix - Option Suppression

Télécharge DelFix (d'Xplode) sur ton bureau.

Lance-le puis sélectionne l'option n°2 et valide en appuyant sur la touche [Entrée]

Patiente quelques secondes puis copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

---->>> Relance ensuite DelFix et clique sur le bouton "Désinstaller".

===============


Redémarre le pc après tout ça et dis-moi comment se comporte-t-il ? Toujours lent ?

++

Je t'avais posté une réponse avec les rapports avant de relancer le micro et elle est pas passée !!!!
Bon, alors pas de rapport zhpdiag d'origine et pour delfix, j'ai eu beaucoup de mal, norton refusait de le télécharger, trop risqué ! Je te fais confiance donc j'ai bloqué norton et utiliser delfix.
Par contre, pas d'option 2 proposée, seulement 3 boutons suppression, desinstaller et un autre (je crois rechercher) que j'ai utilisé.
Probleme c'est que plus de rapport car pas trouvé ton fichier C:\DelFixSuppr.txt à la racine.
Je fais quoi ?

Je n'ai pas trop vu de progrès.... c'est normal ?

Bonjour.

Tu peux relancer DelFix et choisir maintenant "Suppression"

Il te fournira un rapport

Je l'avais dejà supprimer
donc je viens de refaire la procedure de delfix et voila le log apres recherche:

########## DelFix - Nettoyeur d'outils de désinfection ##########
#
# DelFix v6.9 - Rapport créé le 05/01/2011 à 11:29
# Mis à jour le 19/12/10 à 16h40 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : Nathalie - PC-DE-NATHALIE (Administrateur)
# Exécuté depuis : C:\Users\Nathalie\Downloads\DelFix.exe
# Option [Recherche]


~~~~~~ Dossier(s) ~~~~~~

Présent : C:\Qoobox
Présent : C:\_OTM
Présent : C:\32788R22FWJFW
Présent : C:\Combofix
Présent : C:\Program Files\Ad-Remover
Présent : C:\Program Files\ZHPDiag
Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Présent : C:\ComboFix.txt
Présent : C:\Ad-Report-CLEAN[1].txt
Présent : C:\ZHPExportRegistry-02-01-2011-15-30-43.txt
Présent : C:\ZHPExportRegistry-04-01-2011-11-01-21.txt
Présent : C:\Windows\grep.exe
Présent : C:\Windows\PEV.exe
Présent : C:\Windows\NIRCMD.exe
Présent : C:\Windows\MBR.exe
Présent : C:\Windows\sed.exe
Présent : C:\Windows\SWREG.exe
Présent : C:\Windows\SWSC.exe
Présent : C:\Windows\SWXCACLS.exe
Présent : C:\Windows\zip.exe
Présent : C:\Users\Nathalie\Desktop\ComboFix.exe

~~~~~~ Registre ~~~~~~

Clé Présente : HKCU\SOFTWARE\Ad-Remover
Clé Présente : HKLM\Software\swearware
Clé Présente : HKLM\Software\OldTimer Tools
Clé Présente : HKLM\Software\Classes\.cfxxe
Clé Présente : HKLM\Software\Classes\cfxxefile
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSearch.txt" - [1862 octets] ##########



et le log apres suppression :




########## DelFix - Nettoyeur d'outils de désinfection ##########
#
# DelFix v6.9 - Rapport créé le 05/01/2011 à 11:31
# Mis à jour le 19/12/10 à 16h40 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : Nathalie - PC-DE-NATHALIE (Administrateur)
# Exécuté depuis : C:\Users\Nathalie\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\_OTM
Supprimé : C:\32788R22FWJFW
Supprimé : C:\Combofix
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\ZHPExportRegistry-02-01-2011-15-30-43.txt
Supprimé : C:\ZHPExportRegistry-04-01-2011-11-01-21.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\Nathalie\Desktop\ComboFix.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [1944 octets] ##########

Salut.

Ton pc n'est plus infecté donc.

!! TRES IMPORTANT !!

Supprimer les anciens points de restauration:

Procédure sous Vista: /!\Désactive la restauration puis réactive-la /!\ Cela purgera la restauration du système.

http://www.commentcamarche.net/faq/sujet-13214-desactiver-reactiver-la-restau(...)

Les points sont supprimés.

Création d'un nouveau point:

Procédure de création d'un point de restauration "sain" sous Vista: http://www.pcentraide.com/index.php?showtopic=86401

Nomme-le par exemple: "Après désinfection ..." pour te rappeler.

========================

Pour une navigation plus sûre :

Addon à ajouter à firefox pour le sécuriser:

▶ Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/3456
▶ Explications/Demo ici : http://www.mywot.com/fr/demo

+ ceux-ci: http://www.malekal.com/securiser_Firefox.php

========================

Utile, à lire absolument, quelques minutes de prévention (fais passer à tes enfants les grandes lignes, notamment sur les cracks ! :)) : http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf

Si tu n'as plus de soucis et/ou question, pour moi, c'est ok.

++

Bon pas mal de lecture en perspective... et d'éducation de mes zozos...

En tout cas, un grand merci tu as sauvé des milliers d'élèves qui grâce à toi pourront continuer à bénéficier de mes cours enregistrés sur l'ordi

A bientôt