[Résolu]Plusieurs trojans-besoin analyse svp merci

Salut,

On va regarder ça ensemble si tu veux bien, y a du boulot !  

Faudrait éviter les cracks à l'avenir, tu en vois les conséquences !

Utilise le moins possible ton PC pendant la procédure, afin de faciliter la désinfection.

Suis les procédures données, mais ne tente rien par toi-même : si il y a un souci pendant une procédure, fais-m'en part plutôt que de cliquer au hasard et provoquer une panne sur ton système.

Si tu suis déjà une procédure sur un autre forum, merci de le signaler, il est important de ne suivre qu'une seule désinfection à la fois.

Même si les symptômes de l'infection ont disparu, le PC n'est pas forcément clean : attends bien que l'on t'ait dit que le PC est désinfecté avant de l'utiliser à nouveau.

Même si les désinfections sont faites par des personnes ayant des connaissances approfondies dans la désinfection, il est toujours possible que ton PC plante. Pense à bien sauvegarder tes données  

__________________

1)

Vide ta corbeille, apparemment Antivir a réussi à tout supprimer sauf les fichiers présents dans ta corbeille.

2)

[#ff9000]Diagnostic :

Télécharge OTL (de OldTimer[/#ff]) sur ton Bureau.

Si tu es sous XP, double-clique dessus pour le lancer, si tu es sous Vista/7, fais un clic droit dessus et fais Exécuter en tant qu'administrateur pour le lancer.

Une fenêtre apparaît.

Coche la case : Tous les utilisateurs

Coche les cases correspondant à la Recherche LOP et à la Recherche Purity (En bleu vers le bas de la fenêtre).

Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

netsvcs
msconfig
drivers32
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
%systemroot%\System32\config\*.sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\*.dll /lockedfiles
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
iexplore.exe
/md5stop
CREATERESTOREPOINT

Enfin, clique sur le bouton Analyse. Pendant la durée du scanne, ne touche à rien. Le scan prendra quelques temps.

A la fin du scan, deux rapports s'ouvriront : OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.

Pour les rapports, qui ont tendance à être trop longs pour le forum, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

3)

--> Refais un scan complet d'Antivir et poste le rapport obtenu pour voir ce qu'il reste.

4)

--> Il y a outre l'infection Trojan des toolbars inutiles et la présence de MyWebSearch :


[#ff9000]Scan Ad-Remover

Télécharge Ad-Remover (de C_XX[/#ff]) sur ton Bureau.

[#ff0000]Déconnecte-toi et ferme toutes applications en cours[/#ff]

Double-clique sur AD-R présent sur ton bureau. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA/7)

Patiente jusqu'à l'apparition du menu principal. A partir de là, clique sur Scanner. On te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.

[#ff0000]Laisse travailler l'outil [/#ff]

Une fenêtre contenant le rapport va s'ouvrir, poste-moi le rapport dans ta prochaine réponse.
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Ensuite clique sur Quitter pour fermer Ad-Remover.

Note : Le rapport que Ad-Remover viens de générer se trouve ici : C:\Ad-Report-SCAN

[#ff9d00]Pour t'aider :

Tuto sur AD-R

bonjour, guigui

Merci pour ton implication. J'ai bien noté toutes tes remarques et en tiendrais compte désormais.
Cette étape fut longue, voici enfin les rapports demandés.

Rapport Extras
http://www.cijoint.fr/cjlink.php?file=cj201107/cijwO6AQ...
----------------------------------------------------------------------------------------------------

Rapport OTL
http://www.cijoint.fr/cjlink.php?file=cj201107/cijfTiaL...
----------------------------------------------------------------------------------------------------
Rapport avira
Il a retrouvé 58 virus

http://www.cijoint.fr/cjlink.php?file=cj201107/cijy2mkM...

-------------------------------------------------------------------------------------------
Rapport AD-R
http://www.cijoint.fr/cjlink.php?file=cj201107/cijCHSO4...

Re,

Ok, bien alors dans l'ordre :

Enlève ta clé USB jusqu'à la fin de la désinfection, car elle risque de faire freezer le PC.

Supprime ce fichier et vide la corbeille après suppression > C:\Documents and Settings\Fred\Bureau\Nouveau dossier\SM32x_G1219.rar

Ca doit être le crack j'imagine.

Pour le reste, Antivir a détecté des virus dans tes points de restauration, c'est normal et pas grave, on s'en occupera plus tard  

Par contre : tu as The Avenger d'installé sur ton PC, pourquoi ? Ne l'utilise pas s'il te plaît, il est très puissant et donc dangereux si on l'utilise pas correctement.

Infection Bandoo qu'on va supprimer :


Fix Ad-Remover

Déconnecte-toi et ferme toutes applications en cours[/#ff]

Relance Ad-Remover. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA/7)

Patiente jusqu'à l'apparition du menu principal. A partir de là, clique sur Nettoyer. On te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.

[#ff0000]Laisse travailler l'outil [/#ff]

Une fenêtre contenant un nouveau rapport va s'ouvrir, poste-moi le rapport dans ta prochaine réponse.
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Ensuite clique sur Quitter pour fermer Ad-Remover.

Note : Le rapport que Ad-Remover viens de générer se trouve ici : C:\Ad-Report-CLEAN

[#ff9d00]Pour t'aider :

Tuto sur AD-R

Pour voir :


Analyse et suppression des logiciels malveillants

Télécharge Malwarebytes' Anti-Malware (MBAM) (de Marcin Kleczynski et Bruce Harriss).

Installe-le, puis mets bien à jour le programme à la fin de l'installation.

Une fois l'opération terminée, MBAM se lance. Vérifie que la case Examen rapide est bien cochée, puis appuye sur Rechercher (encadré en rouge dans l'image ci-dessous )

A la fin de l'analyse, un message va s'afficher :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

ou bien :

L'examen s'est terminé normalement. Aucun élément nuisible n'a été détecté.

Clique sur OK pour continuer. Si MBAM n'a rien trouvé, fais-le moi savoir et quitte le programme.

Si il a trouvé des malwares (donc si tu obtiens le message "Afficher les résultats' pour afficher tous les objets trouvés"), continue :

Ferme toutes les applications en cours (à part MBAM) [/#ff]

Clique sur Afficher les résultats.

Coche toutes les cases et clique sur Supprimer la sélection. Ainsi, les malwares vont être mis en quarantaine.

Un rapport va s'afficher. Colle ce rapport dans ta prochaine réponse stp  

[#ffb200]Pour t'aider

: Tuto sur MBAM

re,

je l'ai scanné avec avira avant de l'installer, il n'a pourtant rien détecté. Parcontre, j'ai téléchargé easyrecovery pro en p2p, que j'ai omis certainement de contrôler! Il n'est plus présent dans le pc.


Je ne m'en suis jamais servi, peut-être une erreur de téléchargement. Faut que je sois plus vigilant à l'avenir.

rapport de ad-remover
http://www.cijoint.fr/cjlink.php?file=cj201107/cijoqoJL...

MBAM n'a plus rien détecté.
Parcontre le pc s'emballe encore un peu de tps en tps!

Re,



Un comportement des plus irresponsables quand même... le P2P est le principal vecteur d'infections, et tu as eu de la chance de n'être tombé "que" sur ce virus...

Merci de supprimer TOUS les cracks de ton PC afin qu'aucun n'interfère avec la désinfection  

Est-ce que tu as pu supprimer le crack sans souci ?

Bien, on a fait le plus gros du boulot je pense.

> Refais un scan OTL (sans personnalisation) et poste le rapport s'il te plaît.

> Refais un scan Antivir, et poste le rapport obtenu pour qu'on fasse le point  

Bonne soirée  

bonjour,

Ok, j'ai pu supprimer sans soucis.
En fait, je suis loin d'être un accroc des téléchargements illégaux. Mais, pour essayer de récupérer une clé usb de 16go ( 60 euros), avec un logiciel hors de prix, ma décision a été très vite orientée.
A moi d'en tirer les leçons. Vaut mieux être pris pour être appris!

rapport otl
http://www.cijoint.fr/cjlink.php?file=cj201107/cijMB95o...

-----------------------------------------------------------------------
rapport avira
2 virus trouvés


Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 14 juillet 2011 21:44

La recherche porte sur 2930059 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : FRED-1A1F314886

Informations de version :
BUILD.DAT : 10.0.0.135 31823 Bytes 18/04/2011 14:35:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 30/04/2011 14:37:11
AVSCAN.DLL : 10.0.3.0 56168 Bytes 17/08/2010 12:39:10
LUKE.DLL : 10.0.3.2 104296 Bytes 15/12/2010 19:52:10
LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 21:04:17
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 19:51:49
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 21:48:55
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 16:29:23
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 16:53:58
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 13:07:17
VBASE006.VDF : 7.11.10.252 2048 Bytes 07/07/2011 13:07:18
VBASE007.VDF : 7.11.10.253 2048 Bytes 07/07/2011 13:07:19
VBASE008.VDF : 7.11.10.254 2048 Bytes 07/07/2011 13:07:19
VBASE009.VDF : 7.11.10.255 2048 Bytes 07/07/2011 13:07:19
VBASE010.VDF : 7.11.11.0 2048 Bytes 07/07/2011 13:07:19
VBASE011.VDF : 7.11.11.1 2048 Bytes 07/07/2011 13:07:20
VBASE012.VDF : 7.11.11.2 2048 Bytes 07/07/2011 13:07:20
VBASE013.VDF : 7.11.11.75 688128 Bytes 12/07/2011 05:56:36
VBASE014.VDF : 7.11.11.104 978944 Bytes 13/07/2011 05:56:45
VBASE015.VDF : 7.11.11.105 2048 Bytes 13/07/2011 05:56:45
VBASE016.VDF : 7.11.11.106 2048 Bytes 13/07/2011 05:56:45
VBASE017.VDF : 7.11.11.107 2048 Bytes 13/07/2011 05:56:46
VBASE018.VDF : 7.11.11.108 2048 Bytes 13/07/2011 05:56:46
VBASE019.VDF : 7.11.11.109 2048 Bytes 13/07/2011 05:56:46
VBASE020.VDF : 7.11.11.110 2048 Bytes 13/07/2011 05:56:46
VBASE021.VDF : 7.11.11.111 2048 Bytes 13/07/2011 05:56:46
VBASE022.VDF : 7.11.11.112 2048 Bytes 13/07/2011 05:56:46
VBASE023.VDF : 7.11.11.113 2048 Bytes 13/07/2011 05:56:47
VBASE024.VDF : 7.11.11.114 2048 Bytes 13/07/2011 05:56:47
VBASE025.VDF : 7.11.11.115 2048 Bytes 13/07/2011 05:56:47
VBASE026.VDF : 7.11.11.116 2048 Bytes 13/07/2011 05:56:47
VBASE027.VDF : 7.11.11.117 2048 Bytes 13/07/2011 05:56:47
VBASE028.VDF : 7.11.11.118 2048 Bytes 13/07/2011 05:56:47
VBASE029.VDF : 7.11.11.119 2048 Bytes 13/07/2011 05:56:47
VBASE030.VDF : 7.11.11.120 2048 Bytes 13/07/2011 05:56:47
VBASE031.VDF : 7.11.11.129 22528 Bytes 14/07/2011 05:56:48
Version du moteur : 8.2.6.6
AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 18:15:15
AESCRIPT.DLL : 8.1.3.69 1614203 Bytes 04/07/2011 20:36:30
AESCN.DLL : 8.1.7.2 127349 Bytes 29/11/2010 18:32:32
AESBX.DLL : 8.2.1.34 323957 Bytes 11/06/2011 16:54:24
AERDL.DLL : 8.1.9.12 639348 Bytes 04/07/2011 20:36:25
AEPACK.DLL : 8.2.6.10 557430 Bytes 11/07/2011 13:07:56
AEOFFICE.DLL : 8.1.2.9 196985 Bytes 11/07/2011 13:07:52
AEHEUR.DLL : 8.1.2.138 3596663 Bytes 11/07/2011 13:07:48
AEHELP.DLL : 8.1.17.3 246134 Bytes 11/07/2011 13:07:26
AEGEN.DLL : 8.1.5.6 401780 Bytes 20/05/2011 05:46:54
AEEMU.DLL : 8.1.3.0 393589 Bytes 29/11/2010 18:32:12
AECORE.DLL : 8.1.21.1 196983 Bytes 25/05/2011 17:16:56
AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 17:30:27
AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56
AVPREF.DLL : 10.0.0.0 44904 Bytes 17/08/2010 12:38:55
AVREP.DLL : 10.0.0.10 174120 Bytes 18/05/2011 07:30:06
AVREG.DLL : 10.0.3.2 53096 Bytes 17/08/2010 12:38:56
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 30/04/2011 14:37:11
AVARKT.DLL : 10.0.22.6 231784 Bytes 15/12/2010 19:52:06
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 17/08/2010 12:38:55
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 11/02/2010 00:23:03
RCTEXT.DLL : 10.0.58.0 99688 Bytes 17/08/2010 12:39:11

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:,
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 14 juillet 2011 21:44

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NtmsSvc\Config\Standalone\drivelist
[REMARQUE] L'entrée d'enregistrement n'est pas visible.

La recherche sur les processus démarrés commence :
Processus de recherche 'msdtc.exe' - '40' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '61' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '45' module(s) sont contrôlés
Processus de recherche 'vssvc.exe' - '48' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '67' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '63' module(s) sont contrôlés
Processus de recherche 'OTL.exe' - '47' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '139' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '29' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '45' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '33' module(s) sont contrôlés
Processus de recherche 'translateclient.exe' - '64' module(s) sont contrôlés
Processus de recherche 'PhLeAutoRun.exe' - '39' module(s) sont contrôlés
Processus de recherche 'ecbl-lbp.exe' - '67' module(s) sont contrôlés
Processus de recherche 'QWDLLS.EXE' - '64' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '25' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '68' module(s) sont contrôlés
Processus de recherche 'QTTask.exe' - '19' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '21' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '45' module(s) sont contrôlés
Processus de recherche 'LVCOMSX.EXE' - '30' module(s) sont contrôlés
Processus de recherche 'RUNDLL32.EXE' - '30' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '120' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '15' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '42' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '45' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '39' module(s) sont contrôlés
Processus de recherche 'mdm.exe' - '22' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '26' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '81' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '33' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '46' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '55' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '45' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '56' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '43' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '32' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '162' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '39' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '53' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '58' module(s) sont contrôlés
Processus de recherche 'services.exe' - '27' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '75' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '12' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '1760' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\System Volume Information\_restore{A76D7BC0-CCE7-41FE-A960-ACE78012499F}\RP98\A0019015.DLL
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{A76D7BC0-CCE7-41FE-A960-ACE78012499F}\RP98\A0019015.DLL
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
Recherche débutant dans 'D:\' <BACKUP>
Recherche débutant dans 'E:\' <RECOVER>

Début de la désinfection :
C:\System Volume Information\_restore{A76D7BC0-CCE7-41FE-A960-ACE78012499F}\RP98\A0019015.DLL
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ce000ef.qua' !


Fin de la recherche : vendredi 15 juillet 2011 04:21
Temps nécessaire: 2:42:30 Heure(s)

La recherche a été effectuée intégralement

25480 Les répertoires ont été contrôlés
606271 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
606269 Fichiers non infectés
6983 Les archives ont été contrôlées
0 Avertissements
2 Consignes
395749 Des objets ont été contrôlés lors du Rootkitscan
1 Des objets cachés ont été trouvés

Re, les 2 virus trouvés sont dans la restauration donc non dangereux. Le rapport ne montre plus d'infections.

On finalise dans l'ordre :

1)

[#ff9000]Fix OTL :[/#ff]

Relance OTL.exe.

Copie exactement le texte ci-dessous :

:OTL
FF - prefs.js..browser.search.selectedEngine: "My Web Search"
FF - prefs.js..extensions.enabledItems: ffox@bandoo.com:5.1
[2011/06/28 13:47:32 | 000,000,000 | ---D | M] (Bandoo for Firefox) -- C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\ffox@bandoo.com
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1757981266-776561741-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O20 - AppInit_DLLs: (c:\progra~1\bandoo\bndhook.dll) - File not found

:Files
C:\Documents and Settings\Fred\Application Data\Bandoo
C:\Documents and Settings\Fred\Application Data\searchquband
C:\Documents and Settings\Fred\Application Data\searchqutoolbar
C:\Documents and Settings\All Users\Application Data\boost_interprocess


:Commands
[purity]
[emptytemp]
[emptyflash]
[createrestorepoint]

Colle-le dans le cadre Personnalisation en bas à gauche.

Clique sur le bouton [#ff9000]Correction[/#ff] en haut à gauche.

Si le pc te demande de redémarrer, confirme l'opération.

Un rapport après le redémarrage va apparaître, copie/colle-le dans ta prochaine réponse.

2)

Est-ce toi qui a mis ustart en page d'accueil de ton navigateur ?

3)

> Fais un dernier scan OTL et poste-moi le rapport  

4)

Comment se comporte le PC ? Mieux ?

re,

1) rapport après correction otl

All processes killed
========== OTL ==========
Prefs.js: "My Web Search" removed from browser.search.selectedEngine
Prefs.js: ffox@bandoo.com:5.1 removed from extensions.enabledItems
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\ffox@bandoo.com\content\creatives folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\ffox@bandoo.com\content folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\ffox@bandoo.com\components folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\ffox@bandoo.com folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{2318C2B1-4965-11d4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11d4-9B18-009027A5CD4F}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{99079a25-328f-4bd4-be04-00955acaa0a7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1757981266-776561741-1801674531-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:c:\progra~1\bandoo\bndhook.dll deleted successfully.
========== FILES ==========
C:\Documents and Settings\Fred\Application Data\Bandoo folder moved successfully.
C:\Documents and Settings\Fred\Application Data\searchquband folder moved successfully.
C:\Documents and Settings\Fred\Application Data\searchqutoolbar\weather folder moved successfully.
C:\Documents and Settings\Fred\Application Data\searchqutoolbar\coupons folder moved successfully.
C:\Documents and Settings\Fred\Application Data\searchqutoolbar folder moved successfully.
C:\Documents and Settings\All Users\Application Data\boost_interprocess\705CA303A735CC01 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\boost_interprocess folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Fred
->Temp folder emptied: 67108 bytes
->Temporary Internet Files folder emptied: 410002 bytes
->Java cache emptied: 2521941 bytes
->FireFox cache emptied: 73042226 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 487 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Propriétaire

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 38734653 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 110,00 mb


[EMPTYFLASH]

User: Administrateur

User: All Users

User: Default User
->Flash cache emptied: 0 bytes

User: Fred
->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService

User: Propriétaire

Total Flash Files Cleaned = 0,00 mb

Restore point Set: OTL Restore Point (0)

OTL by OldTimer - Version 3.2.26.1 log created on 07152011_131728

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

-------------------------------------------------------------------------
2) Ce n'est pas moi qui est mis la page d'accueil ustart.

3) http://www.cijoint.fr/cjlink.php?file=cj201107/cijPJ0Xc...

4) C'est beaucoup mieux, à voir si le ventilo ne s'emballe pas trop!

Yop,

Suite et fin dans l'ordre :



Ok donc on va aussi le virer :

1)

Fix OTL :[/#ff]

Relance OTL.exe.

Copie exactement le texte ci-dessous :

:OTL
FF - prefs.js..browser.search.defaultenginename: "uStart"
FF - prefs.js..browser.search.order.1: "uStart"
FF - prefs.js..extensions.enabledItems: team.ustart.2@gmail.com:0.1.8
FF - prefs.js..extensions.enabledItems: team.ustart@gmail.com:0.1.18
[2011/07/07 11:07:34 | 000,000,000 | ---D | M] ("uStart Toolbar") -- C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com
[2011/07/07 11:07:34 | 000,000,000 | ---D | M] ("Add to uStart") -- C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com
[2011/07/07 11:07:33 | 000,005,261 | ---- | M] () -- C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\searchplugins\ustart.xml
O3 - HKLM\..\Toolbar: (uStart Toolbar) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Documents and Settings\Fred\Application Data\uStart\uStart Toolbar.dll ()
[2011/07/07 11:07:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fred\Application Data\uStart

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bandoo]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu 101 MediaBar]

:Commands
[emptytemp]

Colle-le dans le cadre Personnalisation en bas à gauche.

Clique sur le bouton [#ff9000]Correction[/#ff] en haut à gauche.

Si le pc te demande de redémarrer, confirme l'opération.

Un rapport après le redémarrage va apparaître, copie/colle-le dans ta prochaine réponse.

2)

[#ff0000]Important : purge de la restauration du système[/#ff]

--> Il y a toujours des virus dans tes points de restauration. Suis ce tuto pour la purger.

N'oublie pas de créer un nouveau point de restauration une fois l'opération effectuée (en appuyant sur le bouton créer)

3)

[#0033ff]
Prévention

Les menaces diverses sur Internet étant de plus en plus nombreuses, je te conseille vivement de consulter ces liens, afin de mieux te protéger sur le Net :

Les dangers du P2P (comme emule, limewire...) : http://forum.zebulon.fr/index.php?showtopic=85544

Pour télécharger gratuitement et légalement, je te conseille Beezik , qui a pour avantages :

Une meilleure qualité de son

Pas de virus !

Les dangers des cracks, des keygens : http://forum.malekal.com/danger-des-cracks-t893.html

Rappels sur les OS piratés : http://redirectingat.com/?id=1402X522807&xs=1&url=http%...

********************************

Logiciels de sécurité conseillés :

Anti-virus : Avast 6.0

Pour scanner tes fichiers : MBAM

********************************

Attention, contrairement aux idées reçues :

Ne jamais avoir deux anti-virus avec la protection en temps réelle activée, c'est la meilleure façon de créer des conflits. Plusieurs anti-virus actifs peuvent s'entraver, et, au final, le PC que l'on croyait plus sécurisé devient une vraie passoire...

Les anti-spywares ne servent à rien !!

Je te conseille fortement de ne pas installer des packs de "transformation', qui donnent par exemple l'allure de Windows Vista à un Windows XP. Ce genre de programmes posent beaucoup de problèmes !!!

Enfin, n'oublie pas que la meilleure manière de protéger ton ordinateur c'est toi !


4)

Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre de ton sujet :

Clique, dans ton premier message, sur le bouton Editer .

Ajoute [Résolu] devant le titre.

Clique ensuite sur Valider votre message.

Sois plus vigilant(e) sur Internet !  

Pour ta clé USB, tu peux poster un message en Systèmes d'exploitation pour qu'on t'aide à la réparer avec de vrais outils  

A+ sur Tom's Guide  

1) rapport otl

All processes killed
========== OTL ==========
Prefs.js: "uStart" removed from browser.search.defaultenginename
Prefs.js: "uStart" removed from browser.search.order.1
Prefs.js: team.ustart.2@gmail.com:0.1.8 removed from extensions.enabledItems
Prefs.js: team.ustart@gmail.com:0.1.18 removed from extensions.enabledItems
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com\skin folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com\locale\fr-FR folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com\locale\en-US folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com\locale folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com\content folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com\skin folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com\locale\fr-FR folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com\locale\en-US folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com\locale folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com\content folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com folder moved successfully.
C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\searchplugins\ustart.xml moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\ deleted successfully.
C:\Documents and Settings\Fred\Application Data\uStart\uStart Toolbar.dll moved successfully.
C:\Documents and Settings\Fred\Application Data\uStart folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bandoo\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu 101 MediaBar\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Fred
->Temp folder emptied: 1038215 bytes
->Temporary Internet Files folder emptied: 284521 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 24446256 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 456 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Propriétaire

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 25,00 mb


OTL by OldTimer - Version 3.2.26.1 log created on 07152011_195853

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

2)points de restauration désactivés et réactivés

3) C'est bien de conseiller comme tu le fais, car on est trop souvent dans le doute quant aux diverses manipulations hasardeuses. On est vite désarmé lorsque on ne possède pas de compétences informatiques.
Merci pour tout, c'est vraiment super, tout fonctionne convenablement.
Milles mercis.
bonne continuation