[Réglé] Virus Sacem --> OTL.txt posté

nono76 · le 06 Mai 2012 17:59

Bonjour,

J'ai créé un CD avec OTLPEnet et j'ai démarré le PC infecté.
j'ai double-clické sur OTL et copier le texte dans Custom Scan/Fixes et ensuite clic sur le bouton runscan.
Un fichier OTL.txt a été généré que et j'ai j'ai posté dans http://www.1fichier.com/

Ci-joint le lien de téléchargement : http://pm3s4f.1fichier.com/OTL.Txt

Maintenant que faut-il faire ?

Merci d'avance de votre aide.

nono76 · le 06 Mai 2012 21:43

Merci de me dire si vous avez besoin d'autres informations pour traiter le sujet.

Cordialement

nono76 · le 07 Mai 2012 13:10

Bonjour,

Toujours pas de réponse, manque-t-il des informations pour que vous traitiez le sujet ?
Merci de votre aide car je suis nul en informatique.

EinsteinZero · le 07 Mai 2012 13:51

Bonjour nono76

Les helpers spécialisés, comme tout les membres du forum sont des bénévoles, aussi il ont une vie hors écran et aussi un travail (perso la je suis en pose et je passe jeter un œil au forum avant de retourner bosser :wink:

)

aussi, attends que l'un des spécialiste ait le temps de regarder ton rapport OTL et il te dira alors quoi faire

nono76 · le 07 Mai 2012 14:43

merci de ta réponse EinsteinZero.
Je pensais que vous aviez besoin d'autres éléments pour avancer.
Maintenant je suis rassuré je sais qu'il faut seulement attendre.
Dans tous les cas bravo à vous pour le temps que vous consacrez à nous tous.

bernard53 · le 07 Mai 2012 19:52

Bonsoir
Est bien il y a du monde :evil:

Fait ceci dans cet ordre s.t.p

Télécharger sur le bureau<< RogueKiller >> (by tigzy)
Quitter tous les programmes
Lancer RogueKiller.exe.
Attendre que le Prescan ait fini ...
Cliquer sur Scan. Cliquer sur Rapport et copier-coller le contenu du notepad
Cliquer sur Suppression. Cliquer sur Rapport et copier-coller le contenu du notepad

Ensuite::

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
http://general-changelog-team.fr/telech ... adwcleaner

Lance le, clique sur [Suppression]puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

ensuite :

Installe Malewarebytes' Antimalware,

http://malwarebytes.org/products/malwarebytes_free

Prends bien la version FREE
*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

Puis nouveau rapport OTL pour contrôle s.t.p

nono76 · le 08 Mai 2012 01:00

Bonsoir bernard53

J'ai lancé roguekiller
Ci-dessous le rapport

Code: Tout sélectionner: RogueKiller V7.4.3 [05/04/2012] by Tigzy mail: tigzyRK<at>gmail<dot>com Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/ Blog: http://tigzyrk.blogspot.com Operating System: Windows XP (5.1.2600 ) 32 bits version Started in : Normal mode User: SYSTEM [Admin rights] Mode: Scan -- Date: 05/08/2012 04:55:04 ¤¤¤ Bad processes: 0 ¤¤¤ ¤¤¤ Registry Entries: 1 ¤¤¤ [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Particular Files / Folders: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ HOSTS File: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Check: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] d0ee9160dd6f1eb97f0037b992a65e00 [BSP] 3ae1fb340a656b0831ea1dcec2c3e8e2 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 78164 Mo User = LL1 ... OK! User = LL2 ... OK! Finished : << RKreport[1].txt >> RKreport[1].txt

J'ai lancé AdwCleaner et cliqué sur [Suppression] et là problème ça plante.
J'ai rebouté et reitéré l'opération plantage à nouveau.

Ci-joint quand même le fichier généré sous C:\AdwCleaner[S1].txt

Code: Tout sélectionner: # AdwCleaner v1.605 - Logfile created 05/08/2012 at 04:57:20 # Updated 05/05/2012 by Xplode # Operating system : Microsoft Windows XP (32 bits) # User : SYSTEM - REATOGO # Running from : H:\adwcleaner.exe # Option [Delete]

Ensuite j'ai essayé d'installer Malewarebytes' Antimalware, mais il veut absolument installer un fichier
sous x:\i386\system32\drivers\mbam.sys alors que j'ai indiqué comme répertoire d'install "c:\Program Files\Malwarebytes' Anti-Malware" ???

Autre précision, depuis le problème du virus je n'ai plus de connection internet donc je télécharge les logiciels sur un pc portable et les sauvegarde sur une clé USB.
Donc même si j'avais pû installer Malewarebytes' Antimalware comment aurais-je fait pour mettre à jour la version ?

Bonne nuit et merci déjà pour ton aide...

bernard53 · le 08 Mai 2012 08:27

ok alors on va faire autrement.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL
SRV - [2012/04/06 07:34:23 | 000,055,808 | ---- | M] () [Auto] -- C:\Windows\TEMP\kpgiaa\setup.exe -- (AMService)
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?barid={5D62140A-07FE-11E1-8C16-001D7D44D9DF}
IE - HKLM\..\URLSearchHook: {53903846-3fb3-467b-a1bb-f3049e1a89a9} - C:\Program Files\BMFTV_bar\prxtbBMFT.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {9b53772a-8259-495d-a6b2-fa5966fe52e1} - C:\Program Files\Video_Clip_Grab\prxtbVide.dll (Conduit Ltd.)
IE - HKU\ilyes_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = http://cloud-search.linkury.com/results ... ORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
IE - HKU\ilyes_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.linkury.com/newtab.html
IE - HKU\ilyes_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = fr-FR
IE - HKU\ilyes_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = D3 9D D9 36 B9 8D CC 01 [binary data]
IE - HKU\ilyes_ON_C\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://cloud-search.linkury.com/results ... ORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
IE - HKU\ilyes_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cloud-search.linkury.com/results ... ORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
IE - HKU\ilyes_ON_C\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaulturl: ""
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:7317400059&cof=FORID:11&sa=Search&siteurl=search.linkury.com&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Linkury Smartbar Search"
FF - prefs.js..browser.startup.homepage: "http://search.linkury.com"
FF - prefs.js..browser.startup.homepage: "http://search.linkury.com"
FF - prefs.js..browser.search.selectedEngine: "Linkury Smartbar Search"
FF - prefs.js..browser.search.defaultenginename: "Search"
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{9CD2384C-143B-4790-A075-E7FEFE2A554B}: C:\Program Files\Boxore\BoxoreClient\BoxoreExtension\MozillaFirefox\
[2012/03/17 16:41:44 | 000,000,000 | ---D | M] (PriceGong) -- C:\Users\ilyes\AppData\Roaming\Mozilla\Firefox\Profiles\2p8ct26w.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}
[2011/11/21 03:52:52 | 000,000,000 | ---D | M] (No name found) -- C:\Users\ilyes\AppData\Roaming\Mozilla\Firefox\Profiles\h94yteeq.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}
[2011/11/21 03:53:06 | 000,000,000 | ---D | M] (No name found) -- C:\Users\ilyes\AppData\Roaming\Mozilla\Firefox\Profiles\h94yteeq.default\extensions\{ef62e1ce-d2a4-4cdd-b7ec-92b120366b66}
[2012/04/11 09:08:22 | 000,001,798 | ---- | M] () -- C:\Users\ilyes\AppData\Roaming\Mozilla\Firefox\Profiles\2p8ct26w.default\searchplugins\funmoods.xml
[2012/04/22 05:42:37 | 000,002,412 | ---- | M] () -- C:\Users\ilyes\AppData\Roaming\Mozilla\Firefox\Profiles\2p8ct26w.default\searchplugins\Linkury Smartbar Search.xml
[2012/03/17 16:42:17 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com
File not found (No name found) --
[2012/04/09 06:15:03 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\ilyes\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
O2 - BHO: (2YourFace Addon) - {1185823F-F22F-4027-80E5-4F68ACD5DE5E} - C:\Program Files\2YourFace\bho.dll ()
O2 - BHO: (Shopping Assistant Plugin) - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files\PriceGong\2.6.2\PriceGongIE.dll (PriceGong)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (extrafind) - {4be0986a-b9ed-d1f1-30da-43ef8389dde5} - C:\Windows\System32\4d60b17c.dll ()
O2 - BHO: (BMFTV bar Toolbar) - {53903846-3fb3-467b-a1bb-f3049e1a89a9} - C:\Program Files\BMFTV_bar\prxtbBMFT.dll (Conduit Ltd.)
O2 - BHO: (TBSB01620 Class) - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - C:\Program Files\IMinent Toolbar\tbcore3.dll ()
O2 - BHO: (no name) - {66D8FBA6-D90F-40A9-AC55-84896F79CA69} - No CLSID value found.
O2 - BHO: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No CLSID value found.
O2 - BHO: (no name) - {9193fbaf-bdaf-4751-a99a-1f5ef255c35b} - No CLSID value found.
O2 - BHO: (Video Clip Grab Toolbar) - {9b53772a-8259-495d-a6b2-fa5966fe52e1} - C:\Program Files\Video_Clip_Grab\prxtbVide.dll (Conduit Ltd.)
O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files\Iminent\Iminent.WebBooster.InternetExplorer.dll (Iminent)
O2 - BHO: (Wajam) - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files\Wajam\IE\priam_bho.dll (Wajam)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) => Ask.com Toolbar
O3 - HKLM\..\Toolbar: (BMFTV bar Toolbar) - {53903846-3fb3-467b-a1bb-f3049e1a89a9} - C:\Program Files\BMFTV_bar\prxtbBMFT.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.) => Microsoft Corporation - BingBar
O3 - HKLM\..\Toolbar: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Program Files\IMinent Toolbar\tbcore3.dll () => Infection PUP (Adware.IMBooster)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.) => Infection BT (Toolbar.Babylon)
O3 - HKLM\..\Toolbar: (Video Clip Grab Toolbar) - {9b53772a-8259-495d-a6b2-fa5966fe52e1} - C:\Program Files\Video_Clip_Grab\prxtbVide.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) => Ask.com Toolbar
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (BMFTV bar Toolbar) - {53903846-3FB3-467B-A1BB-F3049E1A89A9} - C:\Program Files\BMFTV_bar\prxtbBMFT.dll (Conduit Ltd.)
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Program Files\IMinent Toolbar\tbcore3.dll () => Infection PUP (Adware.IMBooster)
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Video Clip Grab Toolbar) - {9B53772A-8259-495D-A6B2-FA5966FE52E1} - C:\Program Files\Video_Clip_Grab\prxtbVide.dll (Conduit Ltd.)
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) => Ask.com Toolbar
O3 - HKU\ilyes_ON_C\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found. => Toolbar.Agent
O3 - HKU\ilyes_ON_C\..\Toolbar\WebBrowser: (BMFTV bar Toolbar) - {53903846-3FB3-467B-A1BB-F3049E1A89A9} - C:\Program Files\BMFTV_bar\prxtbBMFT.dll (Conduit Ltd.)
O3 - HKU\ilyes_ON_C\..\Toolbar\WebBrowser: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Program Files\IMinent Toolbar\tbcore3.dll () => Infection PUP (Adware.IMBooster)
O3 - HKU\ilyes_ON_C\..\Toolbar\WebBrowser: (Video Clip Grab Toolbar) - {9B53772A-8259-495D-A6B2-FA5966FE52E1} - C:\Program Files\Video_Clip_Grab\prxtbVide.dll (Conduit Ltd.)
O3 - HKU\ilyes_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [QJa8hs7QNbxt4uL] C:\Windows\System32\config\systemprofile\AppData\Roaming\ram_reserver64.exe ()
O4 - HKU\.DEFAULT..\Run: [PC Health Status] C:\Windows\System32\config\systemprofile\AppData\Roaming\sqskqdpq.exe (Eugene Roshal & FAR Group)
O4 - HKU\.DEFAULT..\Run: [QJa8hs7QNbxt4uL] C:\Windows\System32\config\systemprofile\AppData\Roaming\ram_reserver64.exe ()
O4 - HKU\ilyes_ON_C..\Run: [QJa8hs7QNbxt4uL] C:\Users\ilyes\AppData\Roaming\ram_reserver64.exe ()
O4 - HKU\ilyes_ON_C..\Run: [uTorrent] C:\Program Files\uTorrent\uTorrent.exe (BitTorrent, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Windows\system32\System32\sv_chosts.exe (Microsoft Corporation)
O7 - HKU\ilyes_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Windows\system32\System32\sv_chosts.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Windows\system32\config\systemprofile\AppData\Roaming\ram_reserver64.exe) - C:\Windows\System32\config\systemprofile\AppData\Roaming\ram_reserver64.exe (
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\config\systemprofile\AppData\Roaming\ram_reserver64.exe) - C:\Windows\System32\config\systemprofile\AppData\Roaming\ram_reserver64.exe ()
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKU\.DEFAULT Winlogon: Shell - (C:\Windows\system32\config\systemprofile\AppData\Roaming\ram_reserver64.exe) - C:\Windows\System32\config\systemprofile\AppData\Roaming\ram_reserver64.exe ()
O20 - HKU\.DEFAULT Winlogon: UserInit - (C:\Windows\system32\config\systemprofile\AppData\Roaming\ram_reserver64.exe) - C:\Windows\System32\config\systemprofile\AppData\Roaming\ram_reserver64.exe ()
O20 - HKU\ilyes_ON_C Winlogon: Shell - (C:\Users\ilyes\AppData\Roaming\ram_reserver64.exe) - C:\Users\ilyes\AppData\Roaming\ram_reserver64.exe ()
O20 - HKU\ilyes_ON_C Winlogon: UserInit - (C:\Users\ilyes\AppData\Roaming\ram_reserver64.exe) - C:\Users\ilyes\AppData\Roaming\ram_reserver64.exe ()
O20 - Winlogon\Notify\primkhi: DllName - C:\Windows\system32\config\systemprofile\AppData\Local\primkhi.dll - C:\Windows\System32\config\systemprofile\AppData\Local\primkhi.dll ()
MsConfig - StartUpReg: Iminent - hkey= - key= - C:\Program Files\Iminent\Iminent.exe (Iminent)
MsConfig - StartUpReg: IminentMessenger - hkey= - key= - C:\Program Files\Iminent\Iminent.Messengers.exe (Iminent)
MsConfig - StartUpReg: Kujytuo - hkey= - key= - C:\Users\ilyes\AppData\Roaming\kujytuo.exe ()
MsConfig - StartUpReg: offerbox - hkey= - key= - C:\Program Files\OfferBox\OfferBox.exe (Aedge Performance BCN SL)
MsConfig - StartUpReg: Sweetpacks Communicator - hkey= - key= - C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)
ActiveX: {4406WM8P-BQ7J-2315-U415-HRIETL255EUF} - C:\Windows\system32\System32\sv_chosts.exe Restart
ActiveX: {tlMe4VA9-8LXI-r4nq-LmM7-2PRL0gJFErMy} -
ActiveX: {2E5368F6-B73A-A4AF-73BB-E9F5E242CA1A} - Internet Explorer
ActiveX: {FB3D0904-49D1-8C68-764E-36F8B250E822} - Internet Explorer
[2012/04/09 06:22:39 | 000,000,000 | ---D | C] -- C:\Users\ilyes\AppData\Local\freetvradio Air
[2012/04/09 06:22:31 | 000,000,000 | ---D | C] -- C:\Users\ilyes\AppData\Roaming\freeTVRadio
[2012/04/09 06:22:19 | 000,000,000 | ---D | C] -- C:\Program Files\freeTVRadio
[2012/04/09 06:22:01 | 000,000,000 | ---D | C] -- C:\Users\ilyes\AppData\Roaming\OfferBox
[2012/04/09 06:21:55 | 000,000,000 | ---D | C] -- C:\Program Files\OfferBox
[2012/04/09 06:17:40 | 000,000,000 | ---D | C] -- C:\Users\ilyes\AppData\Roaming\WebPlayerBdd
[2012/04/09 06:15:00 | 000,000,000 | ---D | C] -- C:\Users\ilyes\AppData\Local\Babylon
[2012/04/09 06:14:59 | 000,000,000 | ---D | C] -- C:\Users\ilyes\AppData\Roaming\Babylon
[2012/04/09 06:14:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
[2012/04/06 15:25:56 | 000,000,000 | ---D | C] -- C:\Users\ilyes\Documents\GlobalStar
[2011/10/19 19:32:02 | 000,094,208 | ---- | C] (ujgaspNiHN) -- C:\Users\ilyes\AppData\Roaming\Svchost.exe
[2012/04/25 08:49:32 | 000,182,784 | ---- | M] () -- C:\Users\ilyes\AppData\Roaming\ram_reserver64.exe
[2012/04/09 06:14:59 | 000,391,520 | ---- | C] () -- C:\Users\ilyes\AppData\Roaming\kujytuo.exe
[2011/12/27 02:41:12 | 000,155,648 | ---- | C] () -- C:\Users\ilyes\AppData\Roaming\chrtmp
[2011/12/27 02:41:09 | 000,020,480 | ---- | C] () -- C:\Users\ilyes\AppData\Roaming\trilu.exe
[2011/10/11 09:16:29 | 000,005,028 | ---- | C] () -- C:\ProgramData\cgatmfqq.mbd
[2012/03/06 12:14:31 | 000,094,208 | ---- | M] (ujgaspNiHN) MD5=04EC5BE676AF3B7787D60E77B99B9709 -- C:\Documents and Settings\ilyes\AppData\Roaming\Svchost.exe
[2012/03/06 12:14:31 | 000,094,208 | ---- | M] (ujgaspNiHN) MD5=04EC5BE676AF3B7787D60E77B99B9709 -- C:\Documents and Settings\ilyes\Application Data\Svchost.exe
[2012/03/06 12:14:31 | 000,094,208 | ---- | M] (ujgaspNiHN) MD5=04EC5BE676AF3B7787D60E77B99B9709 -- C:\Users\ilyes\AppData\Roaming\Svchost.exe
:Files
C:\Windows\tasks\At*
[2012/04/05 13:44:31 | 000,119,808 | ---- | C] () -- C:\ProgramData\mx18y1i1.exe
[2012/03/17 16:44:59 | 000,075,562 | ---- | C] () -- C:\Windows\System32\e056c9c4.exe
[2012/03/17 16:44:56 | 002,551,808 | ---- | C] () -- C:\Windows\System32\4d60b17c.dll

:Commands
[resethosts]
[emptytemp]
[purity]
[createrestorepoint]
[reboot]

* Cliques sur l'icône Correction (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.

http://cjoint.com/

ensuite fait un nouvel essai d"AdwCleaner en mode suppression et de Malwaresbytes s.t.p même s"il n'est pas à jour.
tu peux le mettre à jour manuellement comme ceci.
http://www.bibou0007.com/t4577-tutoriel ... ti-malware

et nouveau rapport OTL.

nono76 · le 08 Mai 2012 13:17

Bonjour bernard53,

Merci pour test instructions claires.

Tu trouveras ci-dessous le lien du fichier généré aprés avoir collé ta citation et fait correction:

http://cjoint.com/?0Eioem0DByo

Même chose qu'hier quand je lance AdwCleaner en mode [Suppression], plantage avec écran bleu.
j'ai recopié une partie du message:

Code: Tout sélectionner: A problem has been detected and windows has been shut down to prevent damage to your computer. ... ... ... Technical information: *** STOP: 0xOOOOOOF4 (0x00000003,0x8B147668,0x8B1477DC,0x805237A8)

Même problème qu'hier quand je tente d'installer Malewarebytes' Antimalware, il veut toujours installer le fichier mbam.sys sous x:\i386\system32\drivers\.
X correspond au lecteur où se trouve le CD de boot avec OTLPEnet.

Cordialement
Nono76

bernard53 · le 08 Mai 2012 14:18

ok maintenant peux tu redémarrer ton pc normalement et faire ceci.

Télécharges << ZHPDiag>> (de Nicolas Coolman)

dezzipes le fichier sur ton bureau...
Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

A la fin de l'installation ZHPDiag va se lancer....

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.
Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

Mets le rapport ici car il prend bien de la place.
http://cjoint.com/

Ne t'occupes plus des deux autres outils .AdwCleaner et MalwaresBytes.

nono76 · le 08 Mai 2012 15:04

Le PC a pu redémarré et j'ai la connexion internet active

Par contre mon bureau est tout noir.
Je suis passé par le menu pour exécuter tes instructions.

Voici le rapport de ZHPdiag: http://cjoint.com/?0Eip1qeRuww.

Remarque: pendant le diagnostique j'ai eût un message, j'ai fait une copie d'écran: http://cjoint.com/?3Eip6Ow72G0

Félicitations pour le boulot déjà effectué

bernard53 · le 08 Mai 2012 15:20

ok commence par ceci et remets moi un nouveau rapport Zhpdiag ensuite s.t.p
* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoDesktop: Modified => EXPLORER : Cache les raccourcis du Bureau
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] DisableRegistryTools: Modified => Infection Diverse
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell: Modified => Infection DNS (Trojan.AutoIt)
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:56847 => Infection DNS (Détournement Proxy)
[MD5.00000000000000000000000000000000] [APT] [OfferBoxUpdateTask] (...) -- C:\Program Files\OfferBox\OfferBox.exe (.not file.) => Infection PUP (PUP.OfferBox)
O42 - Logiciel: 2YourFace 1.0 - (.2YourFace.com.) [HKLM] -- 2YourFace => Infection BT (Adware.Agent)
O42 - Logiciel: Babylon toolbar on IE - (.Pas de propriétaire.) [HKLM] -- BabylonToolbar => Infection BT (Toolbar.Babylon)
O42 - Logiciel: IMinent Toolbar - (.IMinent.) [HKLM] -- {A76AA284-E52D-47E6-9E4F-B85DBF8E35C3} => Infection PUP (Adware.IMBooster)
O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- IMBoosterARP => Infection PUP (Adware.IMBooster)
O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- {4BD8E034-E0F4-4509-A753-467A8E854CD8} => Infection PUP (Adware.IMBooster)
O42 - Logiciel: OfferBox - (.Aedge Performance BCN SL.) [HKLM] -- OfferBox => Infection PUP (PUP.OfferBox)
O42 - Logiciel: PriceGong 2.6.2 - (.PriceGong.) [HKLM] -- PriceGong => Infection BT (Adware.PriceGong)
[HKCU\Software\2YourFace] => Infection BT (Adware.Agent)
[HKCU\Software\AppDataLow\Software\PriceGong] => Infection BT (Adware.PriceGong)
[HKCU\Software\BabylonToolbar] => Infection BT (Toolbar.Babylon)
[HKCU\Software\Iminent] => Infection PUP (Adware.IMBooster)
[HKCU\Software\OfferBox] => Infection PUP (PUP.OfferBox)
[HKCU\Software\freeTVRadio] => Infection BT (Adware.SPointer)
[HKLM\Software\Babylon] => Infection BT (Toolbar.Babylon)
[HKLM\Software\Boxore] => Infection Diverse (Spyware.Boxore)
[HKLM\Software\Iminent] => Infection PUP (Adware.IMBooster)
[HKLM\Software\Trymedia Systems] => Infection BT (Adware.Trymedia)
O43 - CFD: 17/03/2012 - 22:44:08 - [0,546] ----D C:\Program Files\2YourFace => Infection BT (Adware.Agent)
O43 - CFD: 17/03/2012 - 22:42:24 - [1,240] ----D C:\Program Files\BabylonToolbar => Infection BT (Toolbar.Babylon)
O43 - CFD: 25/01/2012 - 17:29:52 - [17,618] ----D C:\Program Files\Iminent => Infection PUP (Adware.IMBooster)
O43 - CFD: 09/05/2012 - 02:27:11 - [0,875] ----D C:\Program Files\IMinent Toolbar => Infection PUP (Adware.IMBooster)
O43 - CFD: 17/03/2012 - 22:41:44 - [0,102] ----D C:\Program Files\PriceGong => Infection BT (Adware.PriceGong)
O43 - CFD: 11/11/2011 - 19:19:28 - [2,456] ----D C:\ProgramData\Iminent => Infection PUP (Adware.IMBooster)
O43 - CFD: 18/12/2011 - 16:10:01 - [0,556] ----D C:\ProgramData\Trymedia => Infection BT (Adware.Trymedia)
O43 - CFD: 25/01/2012 - 17:30:21 - [1,969] ----D C:\Users\ilyes\AppData\Roaming\Iminent => Infection PUP (Adware.IMBooster)
O43 - CFD: 15/03/2012 - 15:31:43 - [12,315] ----D C:\Users\ilyes\AppData\Roaming\OpenCandy => Infection PUP (Adware.OpenCandy)
O53 - SMSR:HKLM\...\startupreg\Babylon Client [Key] . (...) -- C:\Program Files\Babylon\Babylon-Pro\Babylon.exe (.not file.) => Infection BT (Toolbar.Babylon)
O53 - SMSR:HKLM\...\startupreg\Boxore Client [Key] . (...) -- C:\Program Files\Boxore\BoxoreClient\boxore.exe (.not file.) => Infection Diverse (Spyware.Boxore)
O53 - SMSR:HKLM\...\startupreg\Microsoft_Updater [Key] . (...) -- C:\Windows\system32\System32\sv_chosts.exe (.not file.) => Infection Diverse (Backdoor.Bifrose)
O53 - SMSR:HKLM\...\startupreg\PC Health Status [Key] . (...) -- C:\Windows\system32\config\systemprofile\AppData\Roaming\sqskqdpq.exe (.not file.) => Infection FakeAlert (Possible)
O53 - SMSR:HKLM\...\startupreg\Sv_chosts [Key] . (...) -- C:\Windows\system32\System32\sv_chosts.exe (.not file.) => Infection Diverse (Backdoor.Bifrose)
O69 - SBI: prefs.js [ilyes - 2p8ct26w.default] user_pref("browser.babylon.HPOnNewTab", "search.babylon.com"); => Infection BT (Toolbar.Babylon)
O69 - SBI: prefs.js [ilyes - 2p8ct26w.default] user_pref("browser.search.order.1", "Search the web (Babylon)"); => Infection BT (Toolbar.Babylon)
O69 - SBI: prefs.js [ilyes - 2p8ct26w.default] user_pref("extensions.BabylonToolbar_i.newTab", true); => Infection BT (Toolbar.Babylon)
O69 - SBI: prefs.js [ilyes - 2p8ct26w.default] user_pref("extensions.BabylonToolbar_i.newTabUrl", "http://search.babylon.com/?AF=108988&tt=290312_bexdll&babsrc=NT_ss&mntrId=8a0a[...] => Infection BT (Toolbar.Babylon)
O69 - SBI: prefs.js [ilyes - 2p8ct26w.default] user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "Search the web (Babylon)"); => Infection BT (Toolbar.Babylon)
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Search the web (Babylon)) - http://search.babylon.com => Infection BT (Toolbar.Babylon)
O69 - SBI: SearchScopes [HKCU] {BFFED5CA-8BDF-47CC-AED0-23F4E6D77732} - (SearchTheWeb) - http://search.iminent.com => Infection BT (Adware.IMBooster)
C:\Users\ilyes\Desktop\keygen.exe => Infection Diverse (Trojan.Agent.CK)
C:\Users\ilyes\Desktop\keygen.exe => Infection Diverse (Trojan.Agent.CK)
[MD5.D6F61DDF704414F9AFCA3E26BFB4AF38] [SPRF][19/01/2010] (...) -- C:\Users\ilyes\Desktop\keygen.exe [250880] => Infection Diverse (Trojan.Agent.CK)
O87 - FAEL: "{8CAB9FD0-6A2F-4B94-99C4-9F828B4A2E78}" | In - None - P6 - TRUE | .(.Iminent - Iminent.) -- C:\Program Files\Iminent\Iminent.exe => Infection PUP (Adware.IMBooster)
O87 - FAEL: "{65512E30-092E-45CE-B39E-363069A690D9}" | In - None - P6 - TRUE | .(.Iminent - Iminent.) -- C:\Program Files\Iminent\Iminent.Messengers.exe => Infection PUP (Adware.IMBooster)
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]:Shell => Infection FakeAlert (Trojan.FakeAlert)
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}] => Infection BT (Adware.MyWebSearch)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}] => Infection BT (Adware.PredictAd)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}] => Infection BT (Adware.PredictAd)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1185823F-F22F-4027-80E5-4F68ACD5DE5E}] => Infection BT (Adware.Agent)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1185823F-F22F-4027-80E5-4F68ACD5DE5E}] => Infection BT (Adware.Agent)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}] => Infection BT (Adware.PriceGong)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}] => Infection BT (Adware.PriceGong)
[HKLM\Software\Classes\CLSID\{1C950DE5-D31E-42FB-AFB9-91B0161633D8}] => Infection BT (Adware.SocialSkinz)
[HKLM\Software\Classes\CLSID\{291BCCC1-6890-484a-89D3-318C928DAC1B}] => Infection BT (Toolbar.Babylon)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}] => Infection BT (Toolbar.Babylon)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}] => Infection BT (Toolbar.Babylon)
[HKLM\Software\Classes\CLSID\{3BDF4CE9-E81D-432B-A55E-9F0570CE811F}] => Infection BT (Adware.SocialSkinz)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}] => Infection PUP (Adware.IMBooster)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}] => Infection PUP (Adware.IMBooster)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}] => Infection BT (Toolbar.Babylon)
[HKLM\Software\Classes\CLSID\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}] => Infection BT (Toolbar.Babylon)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}] => Infection BT (Toolbar.Babylon)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}] => Infection BT (Toolbar.Babylon)
[HKLM\Software\Classes\CLSID\{9F34B17E-FF0D-4FAB-97C4-9713FEE79052}] => Infection BT (Adware.SocialSkinz)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}] => Infection PUP (Adware.IMBooster)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}] => Infection PUP (Adware.IMBooster)
[HKLM\Software\Classes\CLSID\{A9A56B8E-2DEB-4ED3-BC92-1FA450BCE1A5}] => Infection BT (Adware.SocialSkinz)
[HKLM\Software\Classes\CLSID\{AE338F6D-5A7C-4D1D-86E3-C618532079B5}] => Infection BT (Adware.SocialSkinz)
[HKLM\Software\Classes\CLSID\{B8276A94-891D-453C-9FF3-715C042A2575}] => Infection BT (Toolbar.Babylon)
[HKLM\Software\Classes\CLSID\{C339D489-FABC-41DD-B39D-276101667C70}] => Infection BT (Adware.SocialSkinz)
[HKLM\Software\Classes\CLSID\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}] => Infection BT (Adware.PriceGong)
[HKLM\Software\Classes\CLSID\{D565B35E-B787-40FA-95E3-E3562F8FC1A0}] => Infection BT (Adware.SocialSkinz)
[HKLM\Software\Classes\CLSID\{D89031C2-10DA-4C90-9A62-FCED012BC46B}] => Infection BT (Adware.SocialSkinz)
[HKLM\Software\Classes\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1}] => Infection BT (Toolbar.Babylon)
[HKLM\Software\Classes\CLSID\{FFB9ADCB-8C79-4C29-81D3-74D46A93D370}] => Infection BT (Toolbar.Babylon)
[HKCU\Software\2YourFace] => Infection BT (Adware.Agent)
[HKCU\Software\BabylonToolbar] => Infection BT (Toolbar.Babylon)
[HKCU\Software\freetvradio] => Infection BT (Adware.SPointer)
[HKCU\Software\Iminent] => Infection PUP (Adware.IMBooster)
[HKCU\Software\OfferBox] => Infection PUP (PUP.OfferBox)
[HKCU\Software\AppDataLow\Software\PriceGong] => Infection BT (Adware.PriceGong)
C:\Program Files\BabylonToolbar => Infection BT (Toolbar.Babylon)
C:\Program Files\IMinent Toolbar => Infection PUP (Adware.IMBooster)
C:\Program Files\Iminent => Infection PUP (Adware.IMBooster)
C:\Program Files\PriceGong => Infection BT (Adware.PriceGong)
C:\ProgramData\Iminent => Infection PUP (Adware.IMBooster)
C:\ProgramData\Trymedia => Infection BT (Adware.Trymedia)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent => Infection PUP (Adware.IMBooster)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong => Infection BT (Adware.PriceGong)
C:\Users\ilyes\AppData\Roaming\Iminent => Infection PUP (Adware.IMBooster)
C:\Users\ilyes\AppData\Roaming\OpenCandy => Infection PUP (Adware.OpenCandy)
C:\Users\ilyes\AppData\LocalLow\BabylonToolbar => Infection BT (Toolbar.Babylon)
C:\Users\ilyes\AppData\LocalLow\PriceGong => Infection BT (Adware.PriceGong)
C:\Users\ilyes\AppData\LocalLow\Toolbar4 => Infection BT (Adware.SocialSkinz)
C:\Users\ilyes\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda => Infection BT (Adware.PredictAd)

FirewallRaz
EmptyFlash
Emptytemp

Puis Lance ZHPFix depuis le raccourci du bureau.

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

-> laisse travailler l'outil et ne touche à rien ...

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !.

nono76 · le 08 Mai 2012 15:44

Je n'ai pas trouvé de fichier sous le chemin indiqué mais sur c:\ZHP\ZHPFix[R1].txt (j'espère que c'est le bon):

http://cjoint.com/?3EiqL3MVemN

Merci encore une fois

bernard53 · le 08 Mai 2012 15:52

Très bien c'est le bon fichier :wink:

nouveau rapport Zhpdiag maintenant pour finir cette désinfection.

nono76 · le 08 Mai 2012 16:06

Ci-joint le nouveau rapport: http://cjoint.com/?BEiq7Qo2q5X

Le bureau est toujours noir et aucun icône.
Quand je passe par l'explorateur de fichiers je vois dans favoris\windows tous mes fichiers, les icones..

[Réglé] Virus Sacem --> OTL.txt posté

[Réglé] Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Re: Virus Sacem --> OTL.txt posté

Sujets similaires

Qui est en ligne