[Résolu] Un virus sur mon pc...

Bonjour,

Je suis sous vista.

Mon pc a depuis ce midi pas mal de soucis et je n'arrive pas à me défaire de la chose !
J'ai lancé un hijack this, un ccleaner, un spybot mais niet...


Merci par avance de votre aide !

Voici le log de Hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:58, on 07/07/2011
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\WINDOWS\RtHDVCpl.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\SonicWALL\SSL-VPN\NetExtender\NEGui.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\SFR\Media Center\MediaCenter.exe
C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\TechSmith\Snagit 10\Snagit32.exe
C:\Program Files\TechSmith\Snagit 10\TSCHelp.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\TechSmith\Snagit 10\SnagPriv.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\Program Files\SFR\Media Center\httpd\httpd.exe
C:\Program Files\SFR\Media Center\httpd\httpd.exe
C:\Windows\system32\conime.exe
C:\Program Files\TechSmith\Snagit 10\snagiteditor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\Ch\AppData\Local\Google\Google Talk Plugin\googletalkplugin.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wermgr.exe
C:\Users\CharlinetGuillaume\Desktop\HiJackThis.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=74&bd=Presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=74&bd=Presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=74&bd=Presario&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\Snagit 10\SnagitBHO.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [SonicWALLNetExtender] C:\Program Files\SonicWALL\SSL-VPN\NetExtender\NEGui.exe -hideGUI -clearReboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [wuheror] "rundll32" "C:\Windows\system32\refemop.dll" ,r
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Neuf Media Center] "C:\Program Files\SFR\Media Center\MediaCenter.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\CharlinetGuillaume\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe (User 'Default user')
O4 - Global Startup: Snagit 10.lnk = C:\Program Files\TechSmith\Snagit 10\Snagit32.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote K - IE 7.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote D - IE 7.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote G - IE 7.htm (HKCU)
O13 - Gopher Prefix:
O16 - DPF: {44C1E3A2-B594-401C-B27A-D1B4476E4797} (XTSAC Control) - https://ssl.prodware.fr/XTSAC.cab
O16 - DPF: {6EEFD7B1-B26C-440D-B55A-1EC677189F30} (NELaunchCtrl Class) - https://ssl.prodware.fr/NELX.cab
O16 - DPF: {79D6214F-CFCE-480F-9901-27950E78F1E6} (WebCacheCleaner Class) - https://ssl.prodware.fr/MLWebCacheCleaner.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ExtraFilm upload service (EFUploadSrv) - Textalk AB - C:\Program Files\Extrafilm Designer FR\EFUploadSrv.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: SonicWALL NetExtender Service (SONICWALL_NetExtender) - SonicWALL Inc. - C:\Program Files\SonicWALL\SSL-VPN\NetExtender\NEService.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 9664 bytes

Bonsoir,


Utilise ce logiciel de diagnostic :

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe

• Patiente durant l'analyse
  
• NB : Il est possible qu'à un certain moment, tu aies l'impression que l'outil est "bloqué" : patiente

• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

/!\ Sous Vista et Windows 7 :

• lancer le fichier téléchargé par clic droit et "Exécuter en tant qu'administrateur"
  
• Exécuter le programme en cliquant droit sur son icône et "Exécuter en tant qu'administrateur"

Puis :

• Télécharge sur le bureau RogueKiller
  
• Quitte tous tes programmes en cours
  
• Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
  
• Sinon lance simplement RogueKiller.exe
  
• Lorsque demandé, tape 1 [SCAN] et valide
  
• Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

Merci donc de me poster :

1/ le lien vers le rapport de ZHPDiag
2/ le rapport de recherche de RogueKiller

Merci pour votre aide !

Voici le lien pour le fichier :

http://www.cijoint.fr/cjlink.php?file=cj201107/cijZ3VnCao.txt

Et voici les rapports de Rogue :

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: CharlinetGuillaume [Droits d'admin]
Mode: Recherche -- Date : 07/07/2011 20:52:17

Processus malicieux: 0

Entrees de registre: 4
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: CharlinetGuillaume [Droits d'admin]
Mode: Suppression -- Date : 07/07/2011 20:52:45

Processus malicieux: 0

Entrees de registre: 4
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: CharlinetGuillaume [Droits d'admin]
Mode: Recherche -- Date : 07/07/2011 20:58:23

Processus malicieux: 0

Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt





RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: CharlinetGuillaume [Droits d'admin]
Mode: Recherche -- Date : 07/07/2011 21:37:02

Processus malicieux: 0

Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Relance RogueKiller et choisis le mode 4
Poste le moi le rapport généré

Puis :

Fais ceci :

• Télécharge Malwarebytes'Antimalwares
  
• La mise à jour du programme va se faire directement ; si ce n'est pas le cas, clique sur Recherche de mises à jour
  
• Fais une analyse complète en cliquant sur Exécuter un examen complet
  
• Sélectionne les lecteurs à analyser et clique sur Lancer l'examen
  
• L'analyse peut durer un certain temps
  
• Lorsque l'analyse est terminée, clique sur OK puis sur Afficher les résultats
  
• Assure-toi que tout est coché et clique sur Supprimer la sélection puis sur OK
  
• Le bloc-note va s'ouvrir qui contiendra un rapport
  
• Copie (Ctrl+C)/Colle (Ctrl+V) le rapport dans ta prochaine réponse

/!\ Il est possible que certains fichiers devront être supprimés au redémarrage du PC. Il faut le faire en cliquant sur Oui à la question posée

Merci beaucoup pour votre réponse !

Voici le rapport de RogueKiller :
RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: CharlinetGuillaume [Droits d'admin]
Mode: Proxy RAZ -- Date : 08/07/2011 06:54:29

Processus malicieux: 1
[SUSP PATH] googletalkplugin.exe -- c:\users\charlinetguillaume\appdata\local\google\google talk plugin\googletalkplugin.exe -> KILLED

Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)

Termine : << RKreport[1].txt >>
RKreport[1].txt




Et celui de Malwarebytes' :

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 7045

Windows 6.0.6000
Internet Explorer 7.0.6000.16473

08/07/2011 08:43:58
mbam-log-2011-07-08 (08-43-58).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 380091
Temps écoulé: 1 heure(s), 47 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Bonsoir,

Génère une nouvelle analyse avec ZHPDiag et poste moi le lien vers le rapport.
Merci.

Merci de votre suivi !


Voici le lien pour la nouvelle analyse :
http://www.cijoint.fr/cjlink.php?file=cj201107/cijutkbwql.tx

Bonne journée,

Ps : j'ai aussi une saloperie sur firefox, il me coupe de manière intermittente la connexion en me redirigeant vers une autre page de pub pour cet antivirus...

Bonjour,

Ci-joint me dit que le fichier que tu as hébergé n'est pas accessible...

Peux-tu le ré-héberger et me donner le nouveau lien ?

Pas de soucis voilà un nouveau lien :

http://www.cijoint.fr/cjlink.php?file=cj201107/cijZWPpSqa.txt

Re,

Suis cette procédure dans l'ordre indiqué :

• Copie les lignes en gras ci-dessous, situées entre les deux traits :

_______________________________________________

M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
O42 - Logiciel: pdfforge Toolbar v4.3 - (.Spigot, Inc..) [HKLM] -- {A0B139A7-E8D5-49E8-A7BF-12421E652208}
[HKCU\Software\AppDataLow\Software\Search Settings]
[HKCU\Software\AppDataLow\Software\pdfforge]
[HKLM\Software\Application Updater]
[HKLM\Software\Search Settings]
[HKLM\Software\pdfforge]
O43 - CFD: 20/02/2011 - 18:55:12 - [85] ----D- C:\Program Files\Application Updater
O43 - CFD: 20/02/2011 - 18:55:12 - [222741] ----D- C:\Program Files\pdfforge Toolbar
O43 - CFD: 13/02/2011 - 09:24:24 - [3030] ----D- C:\Program Files\Common Files\Spigot
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}]
[HKLM\Software\Classes\Installer\Features\7A931B0A5D8E8E947AFB2124E1562280]
[HKLM\Software\Classes\Installer\Products\7A931B0A5D8E8E947AFB2124E1562280]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7A931B0A5D8E8E947AFB2124E1562280]
[HKLM\Software\Application Updater]
[HKCU\Software\AppDataLow\Software\pdfforge]
[HKLM\Software\pdfforge]
[HKCU\Software\AppDataLow\Software\Search Settings]
[HKLM\Software\Search Settings]
C:\Program Files\Application Updater
C:\Program Files\pdfforge Toolbar
C:\Program Files\Common Files\Spigot
C:\Users\CharlinetGuillaume\AppData\LocalLow\pdfforge
C:\Users\CharlinetGuillaume\AppData\LocalLow\Search Settings
[HKCU\Software\AVPlus]
[HKCU\Software\Ask.com.tmp]
[HKLM\Software\AVPlus]
[HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}]
SysRestore
EmptyTemp
EmptyFlash
FirewallRaz

________________________________________________

• Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le
• Clique sur le bouton GO pour lancer le nettoyage
• Copie/colle la totalité du rapport dans ta prochaine réponse.

* * * *
NB : Il est possible que ZHPFix ferme le processus "explorer.exe", ce qui signifie qu'il n'y aura plus d'icônes sur ton bureau ni barre des tâches après l'exécution du script.
Pas de panique, il suffira de relancer Explorer.exe.
Retiens la procédure en cas de besoin :

- appuyer simultanément sur les touches ctrl+alt+suppr pour ouvrir le gestionnaire de tâches
- dans le gestionnaire de tâches, clique sur "Fichier" puis "nouvelle tâche"
- dans la petite zone de saisie, taper explorer.exe et cliquer sur OK
- le bureau réapparaîtra
* * * *

Redémarre ton PC et génère ensuite une nouvelle analyse avec ZHPDiag et poste-moi le lien vers le rapport.

Bonne nouvelle... Une partie des éléments a disparu ; mais j'ai toujours le antivirus plus qui s'affiche au démarrage (puis plus rien...).

Le rapport avant redémarrage :
---------------------------------------------------------------------------------------------------------------------------
Rapport de ZHPFix 1.12.3336 par Nicolas Coolman, Update du 07/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-09-07-2011-17-13-48.txt
Run by CharlinetGuillaume at 09/07/2011 17:13:48
Windows Vista Home Premium Edition, 32-bit (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: {A0B139A7-E8D5-49E8-A7BF-12421E652208}

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\AppDataLow\Software\Search Settings
ABSENT Key: HKCU\Software\AppDataLow\Software\pdfforge
ABSENT Key: HKLM\Software\Application Updater
ABSENT Key: HKLM\Software\Search Settings
ABSENT Key: HKLM\Software\pdfforge
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}
ABSENT Key: HKLM\Software\Classes\Installer\Features\7A931B0A5D8E8E947AFB2124E1562280
ABSENT Key: HKLM\Software\Classes\Installer\Products\7A931B0A5D8E8E947AFB2124E1562280
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7A931B0A5D8E8E947AFB2124E1562280
SUPPRIME Key: HKCU\Software\AVPlus
SUPPRIME Key: HKCU\Software\Ask.com.tmp
SUPPRIME Key: HKLM\Software\AVPlus
SUPPRIME Key: HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Private) : TCP Query User{7B6A48D6-0893-4567-AA34-EEEA5F778C51}C:\windows\temp\navbrowser.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{4DFD1606-2F5D-4D1F-AB9D-116092CB5BD6}C:\windows\temp\navbrowser.exe
SUPPRIME FirewallRaz (Private) : {28799F38-685A-4080-A0E5-8D14F6930E8E}
SUPPRIME FirewallRaz (Private) : {BB6B2AD7-CB9A-47D5-908C-C1FA26E8C32F}
SUPPRIME FirewallRaz (Private) : TCP Query User{230B2F6C-F786-4875-8450-4F6FB3BF401D}C:\program files\ares\ares.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{D933DBAF-F6C8-4020-891E-61ED8D269EF0}C:\program files\ares\ares.exe

========== Dossier(s) ==========
ABSENT C:\Program Files\Application Updater
ABSENT C:\Program Files\pdfforge Toolbar
ABSENT C:\Program Files\Common Files\Spigot
SUPPRIME Temporaires Windows: : 103
SUPPRIME Flash Cookies: 496

========== Fichier(s) ==========
ABSENT File: c:\program files\mozilla firefox\extensions\pdfforge@mybrowserbar.com
ABSENT Folder/File: c:\program files\application updater
ABSENT Folder/File: c:\program files\pdfforge toolbar
ABSENT Folder/File: c:\program files\common files\spigot
ABSENT Folder/File: c:\users\charlinetguillaume\appdata\locallow\pdfforge
ABSENT Folder/File: c:\users\charlinetguillaume\appdata\locallow\search settings
SUPPRIME Temporaires Windows: : 482
SUPPRIME Flash Cookies: 244

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
13 : Clé(s) du Registre // 8 : Valeur(s) du Registre // 5 : Dossier(s) // 8 : Fichier(s)
1 : Logiciel(s) // 1 : Restauration Système

========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt

End of the scan in 01mn 14s

-------------------------------------------------------------------------------------------------------

Le lien pour le rapport après démarrage :
http://www.cijoint.fr/cjlink.php?file=cj201107/cij5AjfPVz.txt


Merci !

Re,

Suis cette procédure dans l'ordre indiqué :

Ce script va cibler certains éléments à supprimer :

• Copie les lignes en gras ci-après :

_____________________________________________
O64 - Services: CurCS - ??/??/???? - C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys (.not file.) - esgiguard (esgiguard) .(...) - LEGACY_ESGIGUARD
O4 - HKLM\..\Run: [wuheror] rundll32" "C:\Windows\system32\refemop.dll (.not file.)
C:\Program Files\Enigma Software Group\SpyHunter
[HKCU\Software\AppDataLow\Software\Search Settings]
[HKCU\Software\AppDataLow\Software\pdfforge]
[HKCU\Software\med_scangnrlst]
[HKCU\Software\Ask.com.tmp]
[MD5.016B4CB0F363E8563AE9D4C97189AE5D] [SPRF][20/04/2011] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\CharlinetGuillaume\AppData\Local\Temp\AskSLib.dll [178568]
________________________________________________
• Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le
• Clique sur le bouton GO pour lancer le nettoyage
• Copie/colle la totalité du rapport dans ta prochaine réponse.

Génère ensuite une nouvelle analyze avec ZHPDiag et poste-moi le lien vers le rapport.

Rapport de ZHPFix 1.12.3336 par Nicolas Coolman, Update du 07/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-09-07-2011-20-05-28.txt
Run by CharlinetGuillaume at 09/07/2011 20:05:28
Windows Vista Home Premium Edition, 32-bit (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\CharlinetGuillaume\AppData\Local\Temp\AskSLib.dll

========== Clé(s) du Registre ==========
SUPPRIME Key: Service Legacy: LEGACY_ESGIGUARD
ABSENT Key: HKCU\Software\AppDataLow\Software\Search Settings
ABSENT Key: HKCU\Software\AppDataLow\Software\pdfforge
SUPPRIME Key: HKCU\Software\med_scangnrlst
SUPPRIME Key: HKCU\Software\Ask.com.tmp

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: wuheror

========== Dossier(s) ==========
SUPPRIME Folder*: c:\program files\enigma software group\spyhunter

========== Fichier(s) ==========
SUPPRIME c:\windows\system32\refemop.dll


========== Récapitulatif ==========
1 : Module(s) mémoire
5 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 50s


Merci pour l'aide !

Après un redémarrage plus aucune trace de 'Antivirus plus' !!!

Merci beaucoup de votre aide !

Pensez vous qu'il en reste encore ?

Citation :

Après un redémarrage plus aucune trace de 'Antivirus plus' !!! cheers

Tant mieux

Selon ce que je vois, il ne reste rien.

Je vérifie quand même une dernière fois le dernier rapport que tu m'as posté et te prépare la procédure de fin de désinfection.
Je te la poste tout à l'heure.

Voici la procédure pour finaliser la désinfection


Désinstallation des outils :

• Télécharge DelFix (de Xplode ) sur ton bureau.
  
• Lance le et clique sur Suppression.
  
• Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Une fois le rapport posté sur le forum et après que je l'aurai validé, relance DelFix en sélectionnant Désinstallation.

Puis :

Télécharge ATFcleaner sur ton Bureau.

• Double-clique sur ATFcleaner.exe (Clic droit -> "Exécuter en tant qu'administrateur" si sous Vista ou Windows 7).
  
• Dans l'onglet Main, coche simplement la case Select All (toutes les cases vont se cocher) puis sur le bouton Empty Selected.
  
• Si tu possèdes Firefox ou Opera comme navigateur, pense à choisir ton navigateur en haut a gauche avant de sélectionner Select All puis Empty Selected.
  
• Puis réponds Non au message qui s'affiche, si tu ne souhaites pas perdre tes mots de passe.

Ce programme est à conserver et à utiliser régulièrement.

Désactiver la restauration du système pour supprimer les points de restauration anciens infectés :

Créer un point de restauration neuf

• Télécharge OneClick2RestorePoint de Laddy sur ton Bureau

Miroirs si non accessible :

• OneClick2RP.exe]Miroir1
  
• OneClick2RP.exe]Miroir2

• Double clique sur l'icône de l'outil sur ton bureau pour l'exécuter (Sous Vista/7, fais un clic droit et choisir Exécuter en tant qu'administrateur)
  
• Entre la description suivante : Après désinfection 09072011
  
• Clique sur le bouton Créer
  
• Patiente le temps de la création du point
  
• Lorsqu'il sera créé, son nom apparaîtra dans la fenêtre de l'outil

Purger les points de restauration système:
Cela va permettre de supprimer les points de restauration antérieurs à la désinfection et de ne conserver que le celui que tu viens de créer.

• Double clic sur l'icône OneClick2RP qui se trouve sur ton bureau pour l'exécuter (Sous Vista/7, clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur")
  
• Clique sur le bouton "Purger"
  
• L'outil de nettoyage de Windows va s'ouvrir
  
• Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
  
• Rends toi dans l'onglet "Autres options"
  
• Dans la zone restauration système, clic sur le bouton Nettoyer puis sur le bouton Supprimer.
  
• Les points de restauration système seront purgés sauf le dernier créé.
  

Beaucoup de programmes sont logiciels sur ton PC, ainsi que ton système d'exploitation. Il est très vulnérable.

Mettre à jour Windows :

Il te faut passer au SP1 puis au SP2 de Vista.
Voici les liens :
- pour le SP1 : http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=b0c7136d-5ebb-413b-89c9-cb3d06d12674
- pour le SP2 : http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=a4dd31d5-f907-4406-9012-a5c3199ea2b3


Mettre à jour Adobe Reader :

• Clique sur ce lien
  
• Décoche "Installer également McAfee Security Scan Plus Gratuit"
  
• Clique sur télécharger

Abode te proposera ensuite les mises à jour automatiquement.
Il faudra les faire à chaque fois qu'elles seront proposées

Java n'est pas à jour :

• Clique sur ce lien : http://www.java.com/fr/download/installed.jsp
  
• Clique sur le bouton rouge Vérifier la version de Java
  
• Patiente quelques instants durant la détection
  
• Un message indiquera qu'il existe une nouvelle version de Java et proposera le téléchargement
  
• Télécharge cette nouvelle version

Ta version d'Internet Explorer n'est pas à jour : Il faut passer à la version 9

• Rends-toi sur cette page pour télécharger cette version

Divers---------------------------------------------------------------

a)Tu peux garder Malwarebytes'Antimalware pour faire une analyse de temps à autre.
N'oublie pas de le mettre à jour avant chaque analyse

b) Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille les extensions de sécurité suivantes pour bloquer les publicités :

pour Firefox: AdBlockPlus

Pour tous les navigateurs, pour t'avertir des sites dangereux : WOT (Web Of Trust)

http://www.mywot.com/fr

c)Si tu veux vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

d) Naviguer en sécurité :

Un peu de lecture :

Pourquoi et comment je me fais infecter
La sécurité de son PC, c'est quoi ? (par Malekal)
http://www.malekal.com/2010/11/12/securiser-son-ordinateur-et-connaitre-les-menaces-2/
http://forum.malekal.com/ie6-pourquoi-maintenir-son-navigateur-jour-t12405.html
http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf

e) Lectures sur le P2P :

Le P2P (par Tesgaz)
Les dangers des cracks (par Malekal)
http://forum.malekal.com/les-dangers-peer-peer-emule-etc-t3208.html
http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

Si tu as des questions, je suis à ta disposition.

# DelFix v8.1 - Rapport créé le 10/07/2011 à 09:41
# Mis à jour le 20/06/11 à 19h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6000]
# Nom d'utilisateur : CharlinetGuillaume - CHARLINETGUI (Administrateur)
# Exécuté depuis : C:\Users\CharlinetGuillaume\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Users\CharlinetGuillaume\Desktop\RK_Quarantine
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\ZHPExportRegistry-09-07-2011-17-13-48.txt
Supprimé : C:\ZHPExportRegistry-09-07-2011-20-05-28.txt
Supprimé : C:\Users\CharlinetGuillaume\Desktop\RogueKiller.exe
Supprimé : C:\Users\CharlinetGuillaume\Desktop\ZHPDiag.txt
Supprimé : C:\Users\CharlinetGuillaume\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\CharlinetGuillaume\Desktop\ZHPDiag2.Txt
Supprimé : C:\Users\CharlinetGuillaume\Desktop\ZHPDiag4.Txt
Supprimé : C:\Users\CharlinetGuillaume\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1744 octets] ##########

Bonjour,

Tu peux poursuivre la procédure

Le sujet semble résolu, je le verrouille. Si pour une raison ou une autre, vous avez besoin de le réouvrir, faites en la demande par Messagerie Privée en précisant la raison et le lien vers ce sujet.
Ceci ne s'applique qu'à Gpcanto.
Pour les autres, créez votre propre sujet svp.