[Abandon]Cheval de Troie

par **Marlène** » 06 Sep 2011, 22:28

Bonsoir,

Avira a détecté 7 virus sur mon ordi, et bien sûr le tout après avoir fait une restauration du système qui a au moins permis de pouvoir utiliser mon ordinateur et de réinstaller Avira puisqu'il était complétement bloqué.

Par contre là je ne sais plus comment faire.

Pouvez-vous m'aider ?
Apparemment ce sont des malwares et cheval de troie Crypt Xpack gen et TR Dropper

Par avance merci :

Ci dessous le rapport après la dernière vérification d'Avira :

Avira AntiVir Personal
Report file date: mardi 6 septembre 2011 20:56

Scanning for 3338432 virus strains and unwanted programs.

The program is running as an unrestricted full version.
Online services are available:

Licensee : Avira AntiVir Personal - Free Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows Vista
Windows version : (Service Pack 1) [6.0.6001]
Boot mode : Normally booted
Username : SYSTEM
Computer name : PC-DE-MARLÈNE

Version information:
BUILD.DAT : 10.2.0.700 35934 Bytes 21/07/2011 17:12:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 06/09/2011 15:12:32
AVSCAN.DLL : 10.0.5.0 47464 Bytes 06/09/2011 15:12:31
LUKE.DLL : 10.3.0.5 45416 Bytes 06/09/2011 15:12:36
LUKERES.DLL : 10.0.0.1 12648 Bytes 10/02/2010 22:40:49
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 06/09/2011 15:12:39
AVREG.DLL : 10.3.0.9 88833 Bytes 06/09/2011 15:12:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 05:53:55
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 05:53:56
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 09:30:38
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 09:30:40
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 09:30:41
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16/08/2011 15:12:27
VBASE007.VDF : 7.11.13.61 2048 Bytes 16/08/2011 15:12:27
VBASE008.VDF : 7.11.13.62 2048 Bytes 16/08/2011 15:12:27
VBASE009.VDF : 7.11.13.63 2048 Bytes 16/08/2011 15:12:27
VBASE010.VDF : 7.11.13.64 2048 Bytes 16/08/2011 15:12:27
VBASE011.VDF : 7.11.13.65 2048 Bytes 16/08/2011 15:12:27
VBASE012.VDF : 7.11.13.66 2048 Bytes 16/08/2011 15:12:27
VBASE013.VDF : 7.11.13.95 166400 Bytes 17/08/2011 15:12:27
VBASE014.VDF : 7.11.13.125 209920 Bytes 18/08/2011 15:12:27
VBASE015.VDF : 7.11.13.157 184832 Bytes 22/08/2011 15:12:27
VBASE016.VDF : 7.11.13.201 128000 Bytes 24/08/2011 15:12:27
VBASE017.VDF : 7.11.13.234 160768 Bytes 25/08/2011 15:12:27
VBASE018.VDF : 7.11.14.16 141312 Bytes 30/08/2011 15:12:27
VBASE019.VDF : 7.11.14.48 133120 Bytes 31/08/2011 15:12:27
VBASE020.VDF : 7.11.14.78 156160 Bytes 02/09/2011 15:12:28
VBASE021.VDF : 7.11.14.109 126976 Bytes 06/09/2011 15:12:28
VBASE022.VDF : 7.11.14.110 2048 Bytes 06/09/2011 15:12:28
VBASE023.VDF : 7.11.14.111 2048 Bytes 06/09/2011 15:12:28
VBASE024.VDF : 7.11.14.112 2048 Bytes 06/09/2011 15:12:28
VBASE025.VDF : 7.11.14.113 2048 Bytes 06/09/2011 15:12:28
VBASE026.VDF : 7.11.14.114 2048 Bytes 06/09/2011 15:12:28
VBASE027.VDF : 7.11.14.115 2048 Bytes 06/09/2011 15:12:28
VBASE028.VDF : 7.11.14.116 2048 Bytes 06/09/2011 15:12:28
VBASE029.VDF : 7.11.14.117 2048 Bytes 06/09/2011 15:12:28
VBASE030.VDF : 7.11.14.118 2048 Bytes 06/09/2011 15:12:28
VBASE031.VDF : 7.11.14.120 17920 Bytes 06/09/2011 15:12:28
Engineversion : 8.2.6.54
AEVDF.DLL : 8.1.2.1 106868 Bytes 17/08/2010 12:38:53
AESCRIPT.DLL : 8.1.3.76 1626490 Bytes 06/09/2011 15:12:28
AESCN.DLL : 8.1.7.2 127349 Bytes 09/01/2011 11:17:57
AESBX.DLL : 8.2.1.34 323957 Bytes 05/06/2011 17:53:32
AERDL.DLL : 8.1.9.13 639349 Bytes 15/07/2011 09:50:01
AEPACK.DLL : 8.2.10.10 684407 Bytes 06/09/2011 15:12:28
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 06/09/2011 15:12:28
AEHEUR.DLL : 8.1.2.164 3654007 Bytes 06/09/2011 15:12:28
AEHELP.DLL : 8.1.17.7 254327 Bytes 06/09/2011 15:12:28
AEGEN.DLL : 8.1.5.9 401780 Bytes 06/09/2011 15:12:28
AEEMU.DLL : 8.1.3.0 393589 Bytes 09/01/2011 11:16:51
AECORE.DLL : 8.1.23.0 196983 Bytes 06/09/2011 15:12:28
AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 12:38:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/04/2011 05:53:36
AVPREF.DLL : 10.0.3.2 44904 Bytes 06/09/2011 15:12:31
AVREP.DLL : 10.0.0.10 174120 Bytes 06/09/2011 15:12:38
AVARKT.DLL : 10.0.26.1 255336 Bytes 06/09/2011 15:12:29
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 06/09/2011 15:12:31
SQLITE3.DLL : 3.6.19.0 355688 Bytes 20/07/2011 14:40:24
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 06/09/2011 15:12:27
RCTEXT.DLL : 10.0.64.0 97640 Bytes 06/09/2011 15:12:27

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: C:\program files\avira\antivir desktop\sysscan.avp
Logging.............................: Default
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Extended process scan...............: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: Advanced

Start of the scan: mardi 6 septembre 2011 20:56

Starting search for hidden objects.
c:\windows\$ntuninstallkb32428$\468908737
c:\windows\$ntuninstallkb32428$\468908737
[NOTE] The file is not visible.
c:\windows\$ntuninstallkb32428$\2035415042
c:\windows\$ntuninstallkb32428$\2035415042
[NOTE] The directory is not visible.
c:\windows\$ntuninstallkb32428$:summaryinformation
c:\windows\$ntuninstallkb32428$:summaryinformation
[NOTE] The stream is not visible.

The scan of running processes will be started
Scan process 'googletalkplugin.exe' - '52' Module(s) have been scanned
Scan process 'plugin-container.exe' - '47' Module(s) have been scanned
Scan process 'plugin-container.exe' - '76' Module(s) have been scanned
Scan process 'firefox.exe' - '85' Module(s) have been scanned
Scan process 'svchost.exe' - '30' Module(s) have been scanned
Scan process 'vssvc.exe' - '49' Module(s) have been scanned
Scan process 'avscan.exe' - '79' Module(s) have been scanned
Scan process 'avscan.exe' - '29' Module(s) have been scanned
Scan process 'avcenter.exe' - '73' Module(s) have been scanned
Scan process 'avgnt.exe' - '54' Module(s) have been scanned
Scan process 'avshadow.exe' - '33' Module(s) have been scanned
Scan process 'avguard.exe' - '64' Module(s) have been scanned
Scan process 'sched.exe' - '56' Module(s) have been scanned
Scan process 'wuauclt.exe' - '40' Module(s) have been scanned
Scan process 'hphc_service.exe' - '28' Module(s) have been scanned
Scan process 'taskeng.exe' - '82' Module(s) have been scanned
Scan process 'Explorer.EXE' - '135' Module(s) have been scanned
Scan process 'Dwm.exe' - '38' Module(s) have been scanned
Scan process 'taskeng.exe' - '48' Module(s) have been scanned
Scan process 'SDWinSec.exe' - '47' Module(s) have been scanned
Scan process 'SearchIndexer.exe' - '62' Module(s) have been scanned
Scan process 'svchost.exe' - '9' Module(s) have been scanned
Scan process 'svchost.exe' - '44' Module(s) have been scanned
Scan process 'RichVideo.exe' - '19' Module(s) have been scanned
Scan process 'BLService.exe' - '25' Module(s) have been scanned
Scan process 'svchost.exe' - '42' Module(s) have been scanned
Scan process 'lxctcoms.exe' - '36' Module(s) have been scanned
Scan process 'LSSrvc.exe' - '23' Module(s) have been scanned
Scan process 'aestsrv.exe' - '5' Module(s) have been scanned
Scan process 'svchost.exe' - '65' Module(s) have been scanned
Scan process 'spoolsv.exe' - '95' Module(s) have been scanned
Scan process 'svchost.exe' - '91' Module(s) have been scanned
Scan process 'svchost.exe' - '81' Module(s) have been scanned
Scan process 'SLsvc.exe' - '23' Module(s) have been scanned
Scan process 'STacSV.exe' - '37' Module(s) have been scanned
Scan process 'svchost.exe' - '163' Module(s) have been scanned
Scan process 'svchost.exe' - '115' Module(s) have been scanned
Scan process 'svchost.exe' - '64' Module(s) have been scanned
Scan process 'svchost.exe' - '35' Module(s) have been scanned
Scan process 'svchost.exe' - '40' Module(s) have been scanned
Scan process 'lsm.exe' - '22' Module(s) have been scanned
Scan process 'lsass.exe' - '60' Module(s) have been scanned
Scan process 'services.exe' - '33' Module(s) have been scanned
Scan process 'winlogon.exe' - '30' Module(s) have been scanned
Scan process 'csrss.exe' - '14' Module(s) have been scanned
Scan process 'wininit.exe' - '26' Module(s) have been scanned
Scan process 'csrss.exe' - '14' Module(s) have been scanned
Scan process 'smss.exe' - '2' Module(s) have been scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '573' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\Users\Marlène\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AJ1JTJZQ\windows-update-sp4-kb69824-setup[1].exe
--> Object
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
C:\Users\Marlène\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DO2J1KNA\Firefox%20Setup%203.6.13[1].exe
--> Object
[WARNING] The file could not be read!
[WARNING] The file could not be read!
C:\Windows\System32\config\systemprofile\Sr60JS.com
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
C:\Windows\System32\config\systemprofile\AppData\Local\Sr60JS.exe
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
C:\Windows\Temp\hki1289.exe
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
C:\Windows\Temp\hki1303.exe
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
C:\Windows\Temp\hki1391.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
C:\Windows\Temp\ymytqg\setup.exe
[DETECTION] Contains recognition pattern of the W32/PatchLoad.A Windows virus
Begin scan in 'D:\' <RECOVERY>

Beginning disinfection:
C:\Windows\Temp\ymytqg\setup.exe
[DETECTION] Contains recognition pattern of the W32/PatchLoad.A Windows virus
[NOTE] The file was moved to the quarantine directory under the name '4ba62f30.qua'.
C:\Windows\Temp\hki1391.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
[NOTE] The file was moved to the quarantine directory under the name '532400ed.qua'.
C:\Windows\Temp\hki1303.exe
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
[NOTE] The file was moved to the quarantine directory under the name '017b5a05.qua'.
C:\Windows\Temp\hki1289.exe
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
[NOTE] The file was moved to the quarantine directory under the name '674c15c7.qua'.
C:\Windows\System32\config\systemprofile\AppData\Local\Sr60JS.exe
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
[NOTE] The file was moved to the quarantine directory under the name '229b38f0.qua'.
C:\Windows\System32\config\systemprofile\Sr60JS.com
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
[NOTE] The file was moved to the quarantine directory under the name '5d800a91.qua'.
C:\Users\Marlène\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AJ1JTJZQ\windows-update-sp4-kb69824-setup[1].exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to the quarantine directory under the name '117026ac.qua'.

End of the scan: mardi 6 septembre 2011 22:17
Used time: 1:20:20 Hour(s)

The scan has been done completely.

27532 Scanned directories
585413 Files were scanned
7 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
7 Files were moved to quarantine
0 Files were renamed
0 Files cannot be scanned
585406 Files not concerned
3421 Archives were scanned
2 Warnings
10 Notes
553234 Objects were scanned with rootkit scan
3 Hidden objects were found

par **Apollo** » 06 Sep 2011, 23:02

Bienvenue Marlène,

ZHPDiag :

Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
Double-clique sur ZHPDiag.exe pour lancer l'installation
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
Double-clique sur ZHPDiag pour lancer l'exécution
Clique sur le tournevis.
Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%
Tu refermes ZHPDiag
Le rapport ZHPDiag.txt se trouve sur le Bureau.
Ce rapport étant trop long pour le forum, héberge le :
- soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
- soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse.
- http://www.sendspace.com/ copier/coller le tout premier lien fourni.

@++

par **Marlène** » 06 Sep 2011, 23:59

Bonsoir Apollo et merci pour ta réponse

Voici le diag :

ZHPDiag.txt: (100.83 Kio) Téléchargé 5 fois

par **Apollo** » 07 Sep 2011, 04:13

Bonjour,

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

http://www.teamxscript.org/adremoverTelechargement.html

Ferme toutes les applications ouvertes pour l'installer.

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

Clique sur scanner

Le rapport se trouve aussi sous C:\Ad-Report Scan.
Copie/colle-le dans ta réponse stp.

----------------------------------------------------

2) Relance Ad-Remover et cette fois, clique sur Nettoyer

Le bureau va disparaître, c'est normal.

Le rapport à poster sera sur C:\Ad-Report Clean.

*** Poste les deux rapports stp. (En clair).

-------------------------------------------
Seulement après avoir posté les rapports:
3) Relance Ad-Remover et clique sur Désinstaller.

~~~~~~~~~~~~~~~~~~~~~~~~~
4) Télécharge TFC par OldTimer et enregistre-le sur le bureau.

Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
5) Télécharge Malwarebytes' Anti-Malware (MBAM).

http://malwarebytes.org/products/malwarebytes_free clique pour la version FREE et enregistre l'exécutable sur le bureau.

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++

par **Marlène** » 07 Sep 2011, 07:45

Bonjour,

Je viens de lancer le scan et le nettoyage dont voici les deux rapports :

Pour le premier scan :
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 08:34:19 le 07/09/2011, Mode normal

Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1 (X86)
Marlène@PC-DE-MARLÈNE (Hewlett-Packard Compaq Presario CQ71 Notebook PC)

============== RECHERCHE ==============

Dossier trouvé: C:\ProgramData\PopCap Games
Dossier trouvé: C:\Users\Marlène\AppData\Roaming\OfferBox
Dossier trouvé: C:\Users\Dame Lulu\AppData\Roaming\OfferBox
Dossier trouvé: C:\Users\Invité\AppData\Roaming\OfferBox
Dossier trouvé: C:\Program Files\FreeCompressor

Clé trouvée: HKLM\Software\Classes\CLSID\{132EB4EA-FB56-428F-87E2-3B47CAD25C0A}
Clé trouvée: HKLM\Software\Classes\Interface\{132EB4EA-FB56-428F-87E2-3B47CAD25C0A}
Clé trouvée: HKLM\Software\Classes\CLSID\{1c408c08-5fa2-48ad-9a85-966176a70b85}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1c408c08-5fa2-48ad-9a85-966176a70b85}
Clé trouvée: HKLM\Software\Classes\CLSID\{1DE22812-0E3D-4FFF-BBD9-6254ECE207A5}
Clé trouvée: HKLM\Software\Classes\Interface\{1DE22812-0E3D-4FFF-BBD9-6254ECE207A5}
Clé trouvée: HKLM\Software\Classes\CLSID\{2bd60d4e-c3a2-412b-96bb-06d45a11b014}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2bd60d4e-c3a2-412b-96bb-06d45a11b014}
Clé trouvée: HKLM\Software\Classes\CLSID\{73c18c58-e092-4530-8467-b18a7ad60290}
Clé trouvée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé trouvée: HKLM\Software\Classes\CLSID\{d9fc24df-b4ab-493a-8f33-52f6fcc536c1}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d9fc24df-b4ab-493a-8f33-52f6fcc536c1}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{d9fc24df-b4ab-493a-8f33-52f6fcc536c1}
Clé trouvée: HKLM\Software\Classes\Interface\{51FE833C-E90A-44A8-81D1-745B95097E0F}
Clé trouvée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé trouvée: HKLM\Software\Classes\Interface\{CF55C92A-A5ED-429D-8C7F-7AD7BD63B357}
Clé trouvée: HKLM\Software\Classes\Interface\{D9D4DC30-9005-4008-A314-3EC553893349}
Clé trouvée: HKLM\Software\Classes\Interface\{E67767AD-D253-404C-9719-06381AD85C00}
Clé trouvée: HKLM\Software\Classes\TypeLib\{068C78CA-3593-433F-8DB7-3021962725BD}
Clé trouvée: HKLM\Software\Classes\TypeLib\{84F3A4EB-09D5-4389-8B34-61A3E49AE6C0}
Clé trouvée: HKLM\Software\Classes\TypeLib\{B9A7747E-8E5A-4CAC-912F-F76DBF5CE0E5}
Clé trouvée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé trouvée: HKLM\Software\freeCompressor
Clé trouvée: HKLM\Software\OfferBox
Clé trouvée: HKCU\Software\freeCompressor
Clé trouvée: HKCU\Software\OfferBox
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9d005c0b-330f-47b9-a2ca-684e573d8afb}
Clé trouvée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|freecompressor@spointer.com

============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [6.0 (fr)] ****

Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Searchplugins\fcmdSrchAdj.xml (hxxp://start.facemoods.com/?f=4&a=adj&q={searchTerms}/)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{B13721C7-F507-4982-B2E5-502A71474FED} (Skype extension for Firefox )
HKLM_Extensions|freecompressor@spointer.com - C:\Program Files\FreeCompressor\spointer\extensions\freecompressor@spointer.com

-- C:\Users\Marlène\AppData\Roaming\Mozilla\FireFox\Profiles\sbcrdv5e.default --
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Prefs.js - browser.download.lastDir, C:\\Users\\Marlène\\Pictures(45)
Prefs.js - browser.search.defaultenginename, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.buildID, 20110811165603
Prefs.js - browser.startup.homepage_override.mstone, rv:6.0
Prefs.js - keyword.URL, hxxp://www.google.com/search?sourceid=n ... t&hl=fr&q=

-- C:\Users\Dame Lulu\AppData\Roaming\Mozilla\FireFox\Profiles\bo2u0cnf.default --
Prefs.js - browser.startup.homepage_override.buildID, 20110615151330
Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

-- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\tfgnqp1w.default --
Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1

========================================

**** Internet Explorer Version [7.0.6001.18000] ****

HKCU_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE= ... io&pf=cnnb
HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKCU_Main|Start Page - hxxp://www.google.com/
HKLM_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE= ... io&pf=cnnb
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://ie.redirect.hp.com/svs/rdr?TYPE= ... io&pf=cnnb
HKCU_SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A} - "Search" (hxxp://start.facemoods.com/?a=adj&s={searchTerms}&f=4)
HKCU_SearchScopes\{72117684-08BF-4CFD-ABE6-5F7D82EE81AF} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/sea ... archQuery={searchTerms}&fromfor...)
HKLM_SearchScopes\{72117684-08BF-4CFD-ABE6-5F7D82EE81AF} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/sea ... archQuery={searchTerms}&fromfor...)
HKLM_ElevationPolicy\{9d005c0b-330f-47b9-a2ca-684e573d8afb} - C:\Program Files\FreeCompressor\spointer\freecompressor_air.exe (Freecompressor)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{d9fc24df-b4ab-493a-8f33-52f6fcc536c1} - "Interest recogniser for Freecompressor (powered by Spointer)" (C:\Program Files\FreeCompressor\spointer\extensions\freecompressor_air_ie.dll)
BHO\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 07/09/2011 08:34:44 (6580 Octet(s))

Fin à: 08:35:20, 07/09/2011

============== E.O.F ==============

Pour le nettoyage :
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 08:36:48 le 07/09/2011, Mode normal

Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1 (X86)
Marlène@PC-DE-MARLÈNE (Hewlett-Packard Compaq Presario CQ71 Notebook PC)

============== ACTION(S) ==============

Dossier supprimé: C:\ProgramData\PopCap Games
Dossier supprimé: C:\Users\Marlène\AppData\Roaming\OfferBox
Dossier supprimé: C:\Users\Dame Lulu\AppData\Roaming\OfferBox
Dossier supprimé: C:\Users\Invité\AppData\Roaming\OfferBox
Dossier supprimé: C:\Program Files\FreeCompressor

(!) -- Fichiers temporaires supprimés.

Clé supprimée: HKLM\Software\Classes\CLSID\{132EB4EA-FB56-428F-87E2-3B47CAD25C0A}
Clé supprimée: HKLM\Software\Classes\Interface\{132EB4EA-FB56-428F-87E2-3B47CAD25C0A}
Clé supprimée: HKLM\Software\Classes\CLSID\{1c408c08-5fa2-48ad-9a85-966176a70b85}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1c408c08-5fa2-48ad-9a85-966176a70b85}
Clé supprimée: HKLM\Software\Classes\CLSID\{1DE22812-0E3D-4FFF-BBD9-6254ECE207A5}
Clé supprimée: HKLM\Software\Classes\Interface\{1DE22812-0E3D-4FFF-BBD9-6254ECE207A5}
Clé supprimée: HKLM\Software\Classes\CLSID\{2bd60d4e-c3a2-412b-96bb-06d45a11b014}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2bd60d4e-c3a2-412b-96bb-06d45a11b014}
Clé supprimée: HKLM\Software\Classes\CLSID\{73c18c58-e092-4530-8467-b18a7ad60290}
Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé supprimée: HKLM\Software\Classes\CLSID\{d9fc24df-b4ab-493a-8f33-52f6fcc536c1}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d9fc24df-b4ab-493a-8f33-52f6fcc536c1}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{d9fc24df-b4ab-493a-8f33-52f6fcc536c1}
Clé supprimée: HKLM\Software\Classes\Interface\{51FE833C-E90A-44A8-81D1-745B95097E0F}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\Interface\{CF55C92A-A5ED-429D-8C7F-7AD7BD63B357}
Clé supprimée: HKLM\Software\Classes\Interface\{D9D4DC30-9005-4008-A314-3EC553893349}
Clé supprimée: HKLM\Software\Classes\Interface\{E67767AD-D253-404C-9719-06381AD85C00}
Clé supprimée: HKLM\Software\Classes\TypeLib\{068C78CA-3593-433F-8DB7-3021962725BD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{84F3A4EB-09D5-4389-8B34-61A3E49AE6C0}
Clé supprimée: HKLM\Software\Classes\TypeLib\{B9A7747E-8E5A-4CAC-912F-F76DBF5CE0E5}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé supprimée: HKLM\Software\freeCompressor
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\freeCompressor
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9d005c0b-330f-47b9-a2ca-684e573d8afb}
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|freecompressor@spointer.com

============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [6.0 (fr)] ****

Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Searchplugins\fcmdSrchAdj.xml (hxxp://start.facemoods.com/?f=4&a=adj&q={searchTerms}/)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{B13721C7-F507-4982-B2E5-502A71474FED} (Skype extension for Firefox )

-- C:\Users\Marlène\AppData\Roaming\Mozilla\FireFox\Profiles\sbcrdv5e.default --
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Prefs.js - browser.download.lastDir, C:\\Users\\Marlène\\Pictures(45)
Prefs.js - browser.search.defaultenginename, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.buildID, 20110811165603
Prefs.js - browser.startup.homepage_override.mstone, rv:6.0
Prefs.js - keyword.URL, hxxp://www.google.com/search?sourceid=n ... t&hl=fr&q=

-- C:\Users\Dame Lulu\AppData\Roaming\Mozilla\FireFox\Profiles\bo2u0cnf.default --
Prefs.js - browser.startup.homepage_override.buildID, 20110615151330
Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

-- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\tfgnqp1w.default --
Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1

========================================

**** Internet Explorer Version [7.0.6001.18000] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dl ... ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A} - "Search" (hxxp://start.facemoods.com/?a=adj&s={searchTerms}&f=4)
HKCU_SearchScopes\{72117684-08BF-4CFD-ABE6-5F7D82EE81AF} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/sea ... archQuery={searchTerms}&fromfor...)
HKLM_SearchScopes\{72117684-08BF-4CFD-ABE6-5F7D82EE81AF} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/sea ... archQuery={searchTerms}&fromfor...)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 73 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 07/09/2011 08:36:52 (6277 Octet(s))
C:\Ad-Report-SCAN[1].txt - 07/09/2011 08:34:44 (6718 Octet(s))

Fin à: 08:37:40, 07/09/2011

============== E.O.F ==============

Bonne journée et merci encore, je fais le reste de al manipulation que vous avez expliqué dessus.

Marlène

par **Marlène** » 07 Sep 2011, 07:51

Bonjour,

Aïe, nouveau problème je n'arrive pas désinstaller le programme AD-R
message d'erreur, ERROR : UNINSTALLER_NOT_FOUND

J'ai essayé de passer par le panneau de configuration et c'est pareil

Deux questions :
Comment faire pour le désinstaller ?
Puis-je continuer la manipulation que vous m'avez expliqué sans l'avoir désinstaller ?

Par avance, merci

Marlène

par **Apollo** » 07 Sep 2011, 09:05

Bonjour Lili Marlène, euh non c'est pas toi :lol:

Puis-je continuer la manipulation que vous m'avez expliqué sans l'avoir désinstaller ?

Sans aucun problème et pour Ad-Remover, on le désinstallera en fin de procédures avec les autres outils spéciaux.

@++

par **Marlène** » 07 Sep 2011, 09:51

Apollo Au secours !!!!

Je ne peux plus redémarrer mon ordinateur
Etape n°4, il n'a pas redémarrer automatiquement donc, j'ai redémarrer manuellement et là c'est plus possible

J'ai essayé de réparer selon ce qu'il se présentait, cela n'a pas marché, j'ai essayé de lancer une restauration au dernier démarrage valide, ça n'a pas marché non plus.

Là je viens de le démarrer en mode sans échec avec réseau.

Qu'est-ce que j'ai fait??? Qu'est-ce que je dois faire ???

par **Apollo** » 07 Sep 2011, 10:45

Donc c'est quand tu as exécuté TFC que tu as eu ce problème?

Je dois dire que c'est la première fois que je vois ce problème car TFC n'est qu'un nettoyeur de fichiers temporaires, que je fais souvent passer avant une analyse et ceci pour éviter d'analyser des fichiers inutiles.

Tu es en mode sans échec avec prise de réseau? Est-ce que tu peux lancer MalwareBytes anti-malware?
Si oui, fais d'abord une analyse rapide; on verra pour le reste après.

ne t'affole pas, on trouvera toujours comment te sortir du pétrin, même si on doit s'y mettre à plusieurs.

@++

par **Marie** » 07 Sep 2011, 12:57

Bonjour à vous 2 :sourire:

Etape n°4, il n'a pas redémarrer automatiquement donc, j'ai redémarrer manuellement et là c'est plus possible

Décris nous exactement ce qu'il se passe quand tu tentes de démarrer ton ordinateur normalement.
Si tu as des messages d'erreur donne nous les dans leur intégralité.

par **Marlène** » 07 Sep 2011, 14:46

Bonjour Marie,

Il y a bien un message d'erreur sauf que j'ai pas le temps de le lire. :-(
Lorsque je démarre mon ordinateur, la petite musique retentit et se met à bugger. Là l'écran devient tout bleu électrique avec un message que je n'ai pas le temps de lire puis il redémarre et ainsi de suite

Marlène

@ Apollo je tente le reste !

par **Marie** » 07 Sep 2011, 21:16

Pour pouvoir lire l'écran bleu et nous donner les informations fais ce qui suit:

Le PC étant démarré en mode sans échec avec prise en charge réseau

Clique sur Démarrer/Panneau de Configuration/Système, clique sur le lien Paramètres système avancés.
Sous la rubrique Démarrage et récupération clique sur Paramètres.
Dans la nouvelle fenêtre qui s'ouvre, sous Défaillance du système, décoche la case Démarrer automatiquement.

Cette manip ne réparera pas. Elle empêchera simplement le PC de redémarrer lorsque la panne surviendra. Tu pourras alors lire tranquillement l'écran bleu de la mort et relever les informations qui pourront aider à réparer. Redémarre alors le PC en mode normal.

Tu dois relever dans l'écran bleu le code erreur (de la forme 0xYYYYYYYY) et le libellé de l'erreur.
Et si le nom d'un fichier est mentionné (genre xxxxx.sys) note le également.

Poste tout cela dans ta prochaine réponse.

par **Marlène** » 10 Sep 2011, 19:35

Bonjour à vous deux

J'ai finalement remis mon PC a un informaticien qui après l'avoir gardé 48h me l'as enfin rendu en état de marche et sans virus !

Merci quand même