[Résolu] fichier codés aprés un ransonware gendarmerie

[Résolu] fichier codés aprés un ransonware gendarmerie#28161

par LeLord - mar. 17 juil. 2012 23:56

- mar. 17 juil. 2012 23:56 #28161

bonsoir,

Alors voila mon problème, j'avais reçu un e-mail disant que j'avais achetez un article a 7200€ sur Amazon.fr . Donc je l'ai ouvert et patatra je me retrouve avec une fenêtre de la gendarmerie Nationale me demandant de verser 200€ pour débloquer le pc Windows 7.
Avec l'aide de mon portable j'ai chercher sur internet comment faire pour m'en débarrasser. Du coup j'ai réussi a débloquer grâce a Ad-Avare, qui a supprimé deux trucs . Mais Malheureusement plusieurs fichiers sont codés et je ne peux plus les ouvrir.
je pensais avoir su gérer l'infection mais je suis un peu inquiet donc si quelqu'un peut me donner un coup de main ....

merci d'avance

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28162

par 2011N2 - mar. 17 juil. 2012 23:57

- mar. 17 juil. 2012 23:57 #28162

Salut,

Sur le PC infecté, tu as accès au mode normal, ou au mode sans échec ?
Tu as accès à Internet ?

@+

Gabriel.

fichier codés aprés un ransonware gendarmerie#28166

par LeLord - mer. 18 juil. 2012 00:29

- mer. 18 juil. 2012 00:29 #28166

je lance en mode normal, et j'ai la connexion internet, tout semble fonctionner sauf que plusieurs documents sont codés

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28167

par 2011N2 - mer. 18 juil. 2012 00:30

- mer. 18 juil. 2012 00:30 #28167

Ok, tu ne peux pas les ouvrir ?

Télécharge sur le bureau RogueKiller (par tigzy).
Quitte tous les programmes en cours.
Lance RogueKiller.exe
Attends la fin du Prescan...
Clique sur Scan.
À la fin du scan, clique sur Rapport et copie/colle le contenu dans ta prochaine réponse.

Aide en vidéo : http://www.youtube.com/watch?v=YuwS6dMA ... e=youtu.be

Si tu as des questions, n'hésite pas à les poser !

@+

Gabriel.

fichier codés aprés un ransonware gendarmerie#28168

par LeLord - mer. 18 juil. 2012 00:37

- mer. 18 juil. 2012 00:37 #28168

RogueKiller V7.6.2 [02/07/2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: GRAU [Droits d'admin]
Mode: Recherche -- Date: 18/07/2012 00:36:03

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP1604N ATA Device +++++
--- User ---
[MBR] cf0122e3b11ebc3d35a70ded18fdc274
[BSP] e223450968bba4ae0b24d94594e6b727 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152632 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: SAMSUNG HD502HI ATA Device +++++
--- User ---
[MBR] 7f5972fee7025f1da8dce71a88d50462
[BSP] 6803c989f6a09c7ce92c4c59cfb6648f : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 149899 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 307200000 | Size: 326938 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[1].txt

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28169

par 2011N2 - mer. 18 juil. 2012 00:38

- mer. 18 juil. 2012 00:38 #28169

Re,

Quitte tous les programmes en cours.
Relance RogueKiller.exe.
Attends la fin du Prescan...
Clique sur Scan.
À la fin du scan, clique sur Suppression.
Patiente...
À la fin de la suppression, clique sur Rapport et copie/colle le contenu dans ta prochaine réponse.

Aide en vidéo : http://www.youtube.com/watch?v=v83OWU-F ... e=youtu.be

Si tu as des questions, n'hésite pas à les poser !

@+

Gabriel.

fichier codés aprés un ransonware gendarmerie#28170

par LeLord - mer. 18 juil. 2012 00:44

- mer. 18 juil. 2012 00:44 #28170

voici le rapport

RogueKiller V7.6.2 [02/07/2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: GRAU [Droits d'admin]
Mode: Suppression -- Date: 18/07/2012 00:43:08

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG SP1604N ATA Device +++++
--- User ---
[MBR] cf0122e3b11ebc3d35a70ded18fdc274
[BSP] e223450968bba4ae0b24d94594e6b727 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152632 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: SAMSUNG HD502HI ATA Device +++++
--- User ---
[MBR] 7f5972fee7025f1da8dce71a88d50462
[BSP] 6803c989f6a09c7ce92c4c59cfb6648f : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 149899 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 307200000 | Size: 326938 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28171

par 2011N2 - mer. 18 juil. 2012 00:45

- mer. 18 juil. 2012 00:45 #28171

Toujours les fichiers codés ?

@+

Gabriel.

fichier codés aprés un ransonware gendarmerie#28172

par LeLord - mer. 18 juil. 2012 00:47

- mer. 18 juil. 2012 00:47 #28172

oui , malheureusement

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28173

par 2011N2 - mer. 18 juil. 2012 00:48

- mer. 18 juil. 2012 00:48 #28173

On va faire un diagnostic de ton PC pour plus de renseignements ==>

Télécharge ZHPDiag sur ton bureau :

https://www.sosvirus.net/telecharger/zhpdiag/

ou :
http://www.commentcamarche.net/telechar ... 99-zhpdiag
Laisse toi guider lors de l'installation, coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag".

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag (parchemin), « Exécuter en tant qu'Administrateur » /!\
Clique sur l'icône représentant une loupe (« Lancer le diagnostic »).
Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette, s'il n'est pas déjà présent sur le bureau.
Héberge le rapport ZHPDiag.txt sur le site ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse :
http://www.cjoint.com

=Si indisponible :

http://www.toofiles.com/fr/documents-upload.html

ou :

http://pjjoint.malekal.com/

ou :

http://www.casimages.com
Tutoriel zhpdiag, si tu n'as pas tout compris :

http://www.premiumorange.com/zeb-help-p ... pdiag.html

Aide en vidéo : http://www.youtube.com/watch?v=n3o7PLTu ... e=youtu.be

Si tu as des questions, n'hésite pas à me les poser !

@+

Gabriel.

fichier codés aprés un ransonware gendarmerie#28176

par LeLord - mer. 18 juil. 2012 01:03

- mer. 18 juil. 2012 01:03 #28176

ouf !

http://cjoint.com/?BGsbcH20jgP

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28177

par 2011N2 - mer. 18 juil. 2012 01:06

- mer. 18 juil. 2012 01:06 #28177

Re,

En gros, tu ne peux pas ouvrir tes fichiers ?

@+

Gabriel.

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28178

par LeLord - mer. 18 juil. 2012 01:07

- mer. 18 juil. 2012 01:07 #28178

c'est ca , pourquoi j'en sais trop rien

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28179

par LeLord - mer. 18 juil. 2012 01:11

- mer. 18 juil. 2012 01:11 #28179

le dossier images a été touché ainsi que le dossier document car tout mes fichiers word sont désormais illisible

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28180

par 2011N2 - mer. 18 juil. 2012 01:14

- mer. 18 juil. 2012 01:14 #28180

Ok.

ATTENTION ! Plusieurs heures de scan sont probables !

Télécharge Malwarebytes'Anti-Malware : http://data-cdn.mbamupdates.com/v0/prog ... 0.1400.exe

Si problème essaie avec celui-ci : http://www.commentcamarche.net/download ... lware-free

Enregistre-le sur ton bureau
Double clique sur le fichier téléchargé pour lancer le processus d'installation
Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte.
Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
Fais le plusieurs fois jusqu'à ce qu'il te dise que tu as la dernière version de base de données.
Une fois la mise à jour terminée :
Rends-toi dans l'onglet "Recherche"
Sélectionne Exécuter un Examen complet
Sélectionne Tous les disques si proposé.
Clique sur Rechercher.
Le scan démarre
Patiente.
A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement ou autre
Clique sur "Afficher les résultats" pour afficher tous les objets trouvés
Cliques sur Ok pour poursuivre
Si des malwares ont été détectés, cliques sur Afficher les résultats
Sélectionnes tout (ou laisse coché) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse
Redemarre le pc si il le fait pas lui même.
Une fois redémarré double-clique sur Malwarebytes' AntiMalware
Rends toi dans l'onglet "rapport/log"
Tu cliques dessus pour l'afficher une fois affiché
Tu cliques sur Edition en haut du boc notes,et puis sur Sélectionner tout
Tu recliques sur Edition et puis sur Copier et tu reviens sur le forum et dans ta réponse, colle le rapport.

Si tu as besoin d'aide regarde ce tutoriel :

http://www.malekal.com/2010/11/12/tutor ... i-malware/

Aide en vidéo ici : http://www.youtube.com/watch?v=QYRwV6Z6 ... e=youtu.be

Si tu as des questions, n'hésite pas à me les poser !

@+

Gabriel.

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28182

par LeLord - mer. 18 juil. 2012 01:31

- mer. 18 juil. 2012 01:31 #28182

OK , ça va prendre quelques heures apparemment, je te poste le rapport demain matin, merci pour ta patience et dors bien ...j'en peux plus j'ai les yeux qui piquent

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28183

par 2011N2 - mer. 18 juil. 2012 01:32

- mer. 18 juil. 2012 01:32 #28183

Pas de soucis.

@+

Gabriel.

fichier codés aprés un ransonware gendarmerie#28188

par LeLord - mer. 18 juil. 2012 09:23

- mer. 18 juil. 2012 09:23 #28188

bonjour,
bon apres une bonnne nuit de sommeil, je m'apercois que le software malwarebytes a trouvé 45 objets voici le rapport

Malwarebytes Anti-Malware (Essai) 1.62.0.1300
http://www.malwarebytes.org

Version de la base de données: v2012.07.17.15

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
GRAU :: GRAU-PC [administrateur]

Protection: Désactivé

18/07/2012 01:18:09
mbam-log-2012-07-18 (01-18-09).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 332210
Temps écoulé: 33 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 6
HKCR\CLSID\{de4e75d3-60aa-4f02-a0e4-c8a40576574c} (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DE4E75D3-60AA-4F02-A0E4-C8A40576574C} (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{DE4E75D3-60AA-4F02-A0E4-C8A40576574C} (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DE4E75D3-60AA-4F02-A0E4-C8A40576574C} (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\facetheme (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 9
C:\Program Files (x86)\Object (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\chromeaddon (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\content (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\defaults (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\defaults\preferences (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\locale (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\locale\en-US (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\skin (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 31
C:\Program Files (x86)\Object\bho_project.dll (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\status.txt (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\ChromeAddon.pem (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\config.ini (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\enable.txt (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme_uninstall.exe (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\status2.txt (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\chromeaddon\._included.js (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\chromeaddon\background.html (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\chromeaddon\included.js (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\chromeaddon\manifest.json (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\build.sh (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\chrome.manifest (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\config_build.sh (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\files (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\install.rdf (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\readme.txt (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\content\.DS_Store (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\content\firefoxOverlay.xul (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\content\installid.js (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\content\overlay.js (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\content\sudoku.js (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\defaults\.DS_Store (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\defaults\preferences\.DS_Store (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\defaults\preferences\._sudoku.js (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\defaults\preferences\sudoku.js (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\locale\.DS_Store (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\locale\en-US\.DS_Store (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\locale\en-US\sudoku.dtd (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\locale\en-US\sudoku.properties (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Object\facetheme\skin\overlay.css (PUP.FCTPlugin) - Mis en quarantaine et supprimé avec succès.

(fin)

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28231

par 2011N2 - mer. 18 juil. 2012 14:07

- mer. 18 juil. 2012 14:07 #28231

Salut,

Oui, normal.

Utilise cet outil pour voir (RectorDecryptor) : http://support.kaspersky.com/fr/faq/?qid=208282276

@+

Gabriel.

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28344

par LeLord - mer. 18 juil. 2012 20:58

- mer. 18 juil. 2012 20:58 #28344

ben , il a rien trouvé

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28345

par 2011N2 - mer. 18 juil. 2012 21:00

- mer. 18 juil. 2012 21:00 #28345

Etrange, je vais chercher et je te tiens au courant.

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28356

par 2011N2 - mer. 18 juil. 2012 21:16

- mer. 18 juil. 2012 21:16 #28356

Juste, tu peux poster le rapport quand même ?

Merci.

fichier codés aprés un ransonware gendarmerie#28364

par LeLord - mer. 18 juil. 2012 22:20

- mer. 18 juil. 2012 22:20 #28364

je peux pas le copier !! , ??

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28365

par 2011N2 - mer. 18 juil. 2012 22:21

- mer. 18 juil. 2012 22:21 #28365

Il n'est pas à la racine de C:\ ?

@+

Gabriel.

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28366

par LeLord - mer. 18 juil. 2012 22:22

- mer. 18 juil. 2012 22:22 #28366

desole, j'avais pas regarder la.

voici donc le rapport pour le scan de mes documents
14:16:52.0523 0436 Trojan-Ransom.Win32.Rector decryptor tool 2.4.3.0 Feb 15 2012 12:55:48
14:16:52.0840 0436 ============================================================
14:16:52.0840 0436 Current date / time: 2012/07/18 14:16:52.0840
14:16:52.0841 0436 SystemInfo:
14:16:52.0841 0436
14:16:52.0841 0436 OS Version: 6.1.7601 ServicePack: 1.0
14:16:52.0841 0436 Product type: Workstation
14:16:52.0841 0436 ComputerName: GRAU-PC
14:16:52.0841 0436 UserName: GRAU
14:16:52.0841 0436 Windows directory: C:\Windows
14:16:52.0841 0436 System windows directory: C:\Windows
14:16:52.0841 0436 Running under WOW64
14:16:52.0841 0436 Processor architecture: Intel x64
14:16:52.0841 0436 Number of processors: 4
14:16:52.0841 0436 Page size: 0x1000
14:16:52.0841 0436 Boot type: Normal boot
14:16:52.0841 0436 ============================================================
14:16:52.0842 0436 Initialize success
14:17:11.0428 4324 ProcessDriveEnumEx: Drive A:\ type 2:350
14:17:11.0429 4324 ProcessDriveEnumEx: Drive C:\ type 3:0
14:17:12.0310 4324 Unknown suspicious file: C:\Program Files\Easeware\DriverEasy\Easeware.CheckingDevice.exe
14:17:12.0310 4324 Unknown suspicious file: C:\Program Files\Easeware\DriverEasy\Easeware.CheckScheduledScan.exe
14:17:12.0310 4324 Unknown suspicious file: C:\Program Files\Easeware\DriverEasy\Easeware.DriverInstall.exe
14:17:12.0932 4324 Unknown suspicious file: C:\Program Files (x86)\ATI Technologies\ATI.ACE\MOM-InstallProxy\MOM.InstallProxy.exe
14:17:13.0078 4324 Unknown suspicious file: C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\com.apple.IE.client.exe
14:17:13.0098 4324 Unknown suspicious file: C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\com.apple.Outlook.client.exe
14:17:13.0107 4324 Unknown suspicious file: C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\com.apple.Safari.client.exe
14:17:13.0122 4324 Unknown suspicious file: C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\com.apple.WindowsContacts.client.exe
14:17:13.0131 4324 Unknown suspicious file: C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\com.apple.WindowsMail.client.exe
14:17:13.0147 4324 Unknown suspicious file: C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\com.google.ContactSync.client.exe
14:17:13.0147 4324 Unknown suspicious file: C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\com.yahoo.go.sync.client.exe
14:17:14.0330 4324 Unknown suspicious file: C:\Program Files (x86)\Google\Update\Download\{4DC8B4CA-1BDA-483E-B5FA-D3C12E15B62D}\20.0.1132.57\20.0.1132.57_20.0.1132.47_chrome_updater.exe
14:17:14.0785 4324 Unknown suspicious file: C:\Program Files (x86)\LG Electronics\LG PC Suite III\USB Setup\LGBluetoothDriver_WHQL_Ver_1.0.exe
14:17:15.0305 4324 Unknown suspicious file: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\Silverlight.Configuration.exe
14:17:17.0517 4324 Unknown suspicious file: C:\Users\GRAU\AppData\Local\Temp\ubi8804.tmp.exe
14:17:18.0678 4324 Unknown suspicious file: C:\Users\GRAU\Downloads\catalyst_10.5_windows_7_vista_may21.exe
14:17:18.0680 4324 Unknown suspicious file: C:\Users\GRAU\Downloads\mbam-setup-1.62.0.1300.exe
14:17:18.0680 4324 Unknown suspicious file: C:\Users\GRAU\Downloads\RogueKiller-7.6.2.exe
14:17:19.0026 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_32\ComSvcConfig\3912b69593af13d0922279a063e5af66\ComSvcConfig.ni.exe
14:17:19.0027 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_32\dfsvc\53d03b0e238c77cf7e5ac88e02aecd2c\dfsvc.ni.exe
14:17:19.0027 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_32\ehExtHost32\a6b8eb80cfbdd927b2fa4ecb69fc0209\ehExtHost32.ni.exe
14:17:19.0050 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_32\MSBuild\74a8b6419deb005337a1e43ec2502134\MSBuild.ni.exe
14:17:19.0051 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_32\Narrator\17add09c98fa34255142d42697db53df\Narrator.ni.exe
14:17:19.0052 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_32\PresentationFontCac#\d24744f15243e28ea541a459ff7ff5d5\PresentationFontCache.ni.exe
14:17:19.0064 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_32\SMSvcHost\1b0b19607668635281fa260707f4352f\SMSvcHost.ni.exe
14:17:19.0100 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_32\WsatConfig\9d60139fdead64a892985181d663989f\WsatConfig.ni.exe
14:17:19.0101 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_64\ComSvcConfig\cc6e6febcd804604bf4d92d0eb8ec6ae\ComSvcConfig.ni.exe
14:17:19.0101 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_64\dfsvc\0811f67973c32efb2bfad62a4a2592b5\dfsvc.ni.exe
14:17:19.0102 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_64\ehExtHost\08c9aa18b306aa47ddc0ae4a63b05d04\ehExtHost.ni.exe
14:17:19.0104 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_64\LoadMxf\1569a004b1f41193818e3b3777f2c73d\LoadMxf.ni.exe
14:17:19.0105 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_64\mcupdate\4a1f9a648a3928d42b77a91666d9aa8a\mcupdate.ni.exe
14:17:19.0138 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_64\MSBuild\8f792883d0adad8c7beccf24aed65817\MSBuild.ni.exe
14:17:19.0139 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_64\Narrator\ac1ba76ed19d668ce53a74593f040453\Narrator.ni.exe
14:17:19.0140 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_64\PresentationFontCac#\78f495970511b726a0ca7b8119360e25\PresentationFontCache.ni.exe
14:17:19.0150 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_64\SMSvcHost\9fa1abf006689e262527ae50d452e97e\SMSvcHost.ni.exe
14:17:19.0179 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v2.0.50727_64\WsatConfig\ad7f43afb4f124acae4d503b40f591c1\WsatConfig.ni.exe
14:17:19.0180 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v4.0.30319_32\dfsvc\fd866b4158c3bd2a26c875f2896c5573\dfsvc.ni.exe
14:17:19.0204 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v4.0.30319_32\SMSvcHost\4847f66153121ec4ed532909f7c152be\SMSvcHost.ni.exe
14:17:19.0257 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v4.0.30319_64\dfsvc\5ea625ce2d6c08687f70cb81a003a28b\dfsvc.ni.exe
14:17:19.0278 4324 Unknown suspicious file: C:\Windows\assembly\NativeImages_v4.0.30319_64\SMSvcHost\11fc863fa4f5092fca4f2ce25a9ac361\SMSvcHost.ni.exe
14:17:19.0928 4324 Unknown suspicious file: C:\Windows\Installer\{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}\googleearth.exe1_F6A848FB884248E6A4CDCBDCF41F6A74.exe
14:17:19.0928 4324 Unknown suspicious file: C:\Windows\Installer\{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}\googleearth.exe_F6A848FB884248E6A4CDCBDCF41F6A74.exe
14:17:19.0958 4324 Unknown suspicious file: C:\Windows\Installer\{97BBECCF-B1FD-4010-8D4B-EFC9E3CCEECF}\DriverDetective.ch_571875AB094D409B841CA52363CEAF75.exe
14:17:19.0958 4324 Unknown suspicious file: C:\Windows\Installer\{97BBECCF-B1FD-4010-8D4B-EFC9E3CCEECF}\DriverDetective.es_654C8EA5162D4D4084239A5EDD67F462.exe
14:17:19.0958 4324 Unknown suspicious file: C:\Windows\Installer\{97BBECCF-B1FD-4010-8D4B-EFC9E3CCEECF}\DriverDetective.it_251B66F1CA924E82A1EE29E85D5EC5A1.exe
14:17:19.0958 4324 Unknown suspicious file: C:\Windows\Installer\{97BBECCF-B1FD-4010-8D4B-EFC9E3CCEECF}\DriverDetective.pt_6CF114D33913468CBA2AA6967939B819.exe
14:17:19.0958 4324 Unknown suspicious file: C:\Windows\Installer\{97BBECCF-B1FD-4010-8D4B-EFC9E3CCEECF}\ProductName.chm.de_D066A77819B7480BA99CC79FB02C9357.exe
14:17:19.0967 4324 Unknown suspicious file: C:\Windows\Installer\{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}\_SHCT_Sprint.exe.exe
14:17:37.0157 4324 ProcessDriveEnumEx: Drive D:\ type 3:0
14:17:46.0146 4324 Unknown suspicious file: D:\SOLVEIG\abiword-setup-2.0.12.exe
14:17:46.0366 4324 Unknown suspicious file: D:\tools\eMule0.48a-Installer2.exe
14:17:46.0366 4324 ProcessDriveEnumEx: Drive E:\ type 5:0
14:17:46.0366 4324 ProcessDriveEnumEx: Drive F:\ type 3:0
14:17:51.0261 4324 ProcessDriveEnumEx: Drive G:\ type 5:0
14:17:51.0261 4324 ProcessDriveEnumEx: Drive H:\ type 2:0
14:17:51.0280 4324 ProcessDriveEnumEx: Volume is not accessible (error 21)
14:17:51.0280 4324 ProcessDriveEnumEx: Drive I:\ type 5:0
14:17:51.0280 4324 ProcessDriveEnumEx: Drive J:\ type 5:0
14:17:51.0280 4324 ProcessDriveEnumEx: Drive K:\ type 5:0
14:17:51.0280 4324 ProcessDriveEnumEx: Drive L:\ type 5:0
14:17:51.0280 4324 ProcessDriveEnumEx: Drive M:\ type 5:0
14:17:51.0280 4324 ProcessDriveEnumEx: Drive N:\ type 5:0
14:17:51.0280 4324 ProcessDriveEnumEx: Drive O:\ type 5:0
14:17:51.0280 4324 DecryptDeffered: 0
14:17:51.0280 4324
14:17:51.0280 4324 Statistic:
14:17:51.0280 4324 Processed: 131076
14:17:51.0280 4324 Found: 0
14:17:51.0280 4324 Decrypted: 0
14:17:51.0280 4324 ================================================================================
14:17:51.0280 4324 Scan finished
14:17:51.0280 4324 ================================================================================
17:06:59.0913 4456 Can't get encrypted folder path
17:07:01.0719 2944 Deinitialize success

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28370

par 2011N2 - mer. 18 juil. 2012 22:33

- mer. 18 juil. 2012 22:33 #28370

Re,

Ok. Sinon, malheureusement, c'est ce qui me semblait mais j'ai préféré me renseigner, la variante que tu as, et les fichiers cryptés, est impossible à éradiquer pour l'instant. Du moins nous n'en connaissons pas le moyen. Cela n'est pas définitif. Si j'ai du nouveau je reviendrai vers toi, promis.

Tu as d'autres infections sur ton PC, on va s'en occuper tout de même.

Télécharge AdwCleaner (d'Xplode) sur ton bureau.
Lance le, clique sur [Recherche] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

Aide en vidéo ici : http://www.youtube.com/watch?v=vOa47SdO ... e=youtu.be
Si tu as des questions, n'hésite pas à les poser !

@+

Gabriel.

fichier codés aprés un ransonware gendarmerie#28371

par LeLord - mer. 18 juil. 2012 22:37

- mer. 18 juil. 2012 22:37 #28371

je me doutais que c 'était assez compliqué, je te remercie de ton acharnement hé hé
voila le rapport:

# AdwCleaner v1.702 - Rapport créé le 18/07/2012 à 22:35:43
# Mis à jour le 13/07/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : GRAU - GRAU-PC
# Exécuté depuis : C:\Users\GRAU\Downloads\adwcleaner.exe
# Option [Recherche]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\GRAU\AppData\Local\Conduit
Dossier Présent : C:\Users\GRAU\AppData\LocalLow\Conduit
Dossier Présent : C:\Users\GRAU\AppData\LocalLow\PriceGong
Dossier Présent : C:\Users\GRAU\AppData\LocalLow\uTorrentBar_FR
Dossier Présent : C:\Users\GRAU\AppData\Roaming\Mozilla\Firefox\Profiles\tapdrm4j.default\ConduitCommon
Dossier Présent : C:\Users\GRAU\AppData\Roaming\Mozilla\Firefox\Profiles\tapdrm4j.default\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
Dossier Présent : C:\ProgramData\Babylon
Dossier Présent : C:\ProgramData\Tarma Installer
Dossier Présent : C:\Program Files (x86)\Conduit
Dossier Présent : C:\Program Files (x86)\uTorrentBar_FR
Fichier Présent : C:\Users\GRAU\AppData\Roaming\Mozilla\Firefox\Profiles\tapdrm4j.default\searchplugins\SweetIm.xml

***** [Registre] *****

[*] Clé Présente : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Présente : HKCU\Software\AppDataLow\Software\Conduit
Clé Présente : HKCU\Software\AppDataLow\Software\PriceGong
Clé Présente : HKCU\Software\AppDataLow\Software\uTorrentBar_FR
Clé Présente : HKCU\Software\AppDataLow\Toolbar
Clé Présente : HKCU\Software\Softonic
Clé Présente : HKCU\Software\SweetIm
Clé Présente : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Présente : HKLM\SOFTWARE\Conduit
Clé Présente : HKLM\SOFTWARE\Iminent
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar_FR Toolbar
Clé Présente : HKLM\SOFTWARE\SweetIM
Clé Présente : HKLM\SOFTWARE\uTorrentBar_FR
Valeur Présente : HKCU\Software\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]
Valeur Présente : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]
[x64] Clé Présente : HKCU\Software\AppDataLow\Software\Conduit
[x64] Clé Présente : HKCU\Software\AppDataLow\Software\PriceGong
[x64] Clé Présente : HKCU\Software\AppDataLow\Software\uTorrentBar_FR
[x64] Clé Présente : HKCU\Software\AppDataLow\Toolbar
[x64] Clé Présente : HKCU\Software\Softonic
[x64] Clé Présente : HKCU\Software\SweetIm
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api
[x64] Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
[x64] Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
[x64] Clé Présente : HKLM\SOFTWARE\Tarma Installer
[x64] Valeur Présente : HKCU\Software\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]

***** [Registre - GUID] *****

Clé Présente : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{20E1481B-E285-4ABC-ADC7-AE24842B81CD}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
[x64] Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
[x64] Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\GRAU\AppData\Roaming\Mozilla\Firefox\Profiles\tapdrm4j.default\prefs.js

Présente : user_pref("CT2851639..clientLogIsEnabled", false);
Présente : user_pref("CT2851639..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.as[...]
Présente : user_pref("CT2851639..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Re[...]
Présente : user_pref("CT2851639.ALLOW_SHOWING_HIDDEN_TOOLBAR", false);
Présente : user_pref("CT2851639.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Présente : user_pref("CT2851639.AppTrackingLastCheckTime", "Tue Jul 10 2012 11:26:21 GMT+0200");
Présente : user_pref("CT2851639.CTID", "CT2851639");
Présente : user_pref("CT2851639.CurrentServerDate", "18-7-2012");
Présente : user_pref("CT2851639.DSInstall", true);
Présente : user_pref("CT2851639.DialogsAlignMode", "LTR");
Présente : user_pref("CT2851639.DialogsGetterLastCheckTime", "Tue Jul 17 2012 08:20:48 GMT+0200");
Présente : user_pref("CT2851639.DownloadReferralCookieData", "");
Présente : user_pref("CT2851639.EMailNotifierPollDate", "Wed Jul 18 2012 14:15:32 GMT+0200");
Présente : user_pref("CT2851639.EnableSearchHistory", false);
Présente : user_pref("CT2851639.EnableSearchSuggest", false);
Présente : user_pref("CT2851639.FeedLastCount2548968607390276962", 501);
Présente : user_pref("CT2851639.FeedPollDate2429156812186649977", "Wed Jul 18 2012 14:15:33 GMT+0200");
Présente : user_pref("CT2851639.FeedPollDate2429156813040823546", "Wed Jul 18 2012 14:15:33 GMT+0200");
Présente : user_pref("CT2851639.FeedPollDate2429156813130095866", "Wed Jul 18 2012 14:15:32 GMT+0200");
Présente : user_pref("CT2851639.FeedPollDate2429156813224203613", "Wed Jul 18 2012 14:15:32 GMT+0200");
Présente : user_pref("CT2851639.FeedPollDate2429156813230837251", "Wed Jul 18 2012 14:15:33 GMT+0200");
Présente : user_pref("CT2851639.FeedPollDate2429156813454291735", "Wed Jul 18 2012 14:15:33 GMT+0200");
Présente : user_pref("CT2851639.FeedPollDate2429156813729834876", "Wed Jul 18 2012 14:15:32 GMT+0200");
Présente : user_pref("CT2851639.FeedPollDate2429156813860870021", "Wed Jul 18 2012 14:15:33 GMT+0200");
Présente : user_pref("CT2851639.FeedPollDate2429156814264681793", "Wed Jul 18 2012 14:15:33 GMT+0200");
Présente : user_pref("CT2851639.FeedPollDate2429156814863075366", "Wed Jul 18 2012 14:15:33 GMT+0200");
Présente : user_pref("CT2851639.FeedPollDate2429156815257761081", "Wed Jul 18 2012 14:15:32 GMT+0200");
Présente : user_pref("CT2851639.FeedTTL2429156813040823546", 15);
Présente : user_pref("CT2851639.FeedTTL2429156813130095866", 10);
Présente : user_pref("CT2851639.FeedTTL2429156813454291735", 5);
Présente : user_pref("CT2851639.FeedTTL2429156814264681793", 5);
Présente : user_pref("CT2851639.FirstServerDate", "3-10-2011");
Présente : user_pref("CT2851639.FirstTime", true);
Présente : user_pref("CT2851639.FirstTimeFF3", true);
Présente : user_pref("CT2851639.FixPageNotFoundErrors", false);
Présente : user_pref("CT2851639.GroupingServerCheckInterval", 1440);
Présente : user_pref("CT2851639.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Présente : user_pref("CT2851639.HPInstall", false);
Présente : user_pref("CT2851639.HasUserGlobalKeys", true);
Présente : user_pref("CT2851639.HomePageProtectorEnabled", false);
Présente : user_pref("CT2851639.HomepageBeforeUnload", "chrome//branding/locale/browserconfig.properties");
Présente : user_pref("CT2851639.Initialize", true);
Présente : user_pref("CT2851639.InitializeCommonPrefs", true);
Présente : user_pref("CT2851639.InstallationAndCookieDataSentCount", 3);
Présente : user_pref("CT2851639.InstallationType", "UnknownIntegration");
Présente : user_pref("CT2851639.InstalledDate", "Mon Oct 03 2011 16:56:38 GMT+0200");
Présente : user_pref("CT2851639.InvalidateCache", false);
Présente : user_pref("CT2851639.IsAlertDBUpdated", true);
Présente : user_pref("CT2851639.IsGrouping", false);
Présente : user_pref("CT2851639.IsInitSetupIni", true);
Présente : user_pref("CT2851639.IsMulticommunity", false);
Présente : user_pref("CT2851639.IsOpenThankYouPage", true);
Présente : user_pref("CT2851639.IsOpenUninstallPage", false);
Présente : user_pref("CT2851639.LanguagePackLastCheckTime", "Tue Jul 17 2012 16:29:58 GMT+0200");
Présente : user_pref("CT2851639.LanguagePackReloadIntervalMM", 1440);
Présente : user_pref("CT2851639.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Présente : user_pref("CT2851639.LastLogin_3.10.0.1", "Wed Apr 18 2012 09:28:41 GMT+0200");
Présente : user_pref("CT2851639.LastLogin_3.12.0.7", "Wed Apr 25 2012 08:52:31 GMT+0200");
Présente : user_pref("CT2851639.LastLogin_3.12.2.3", "Wed May 30 2012 07:40:06 GMT+0200");
Présente : user_pref("CT2851639.LastLogin_3.13.0.6", "Tue Jul 17 2012 16:29:54 GMT+0200");
Présente : user_pref("CT2851639.LastLogin_3.14.1.0", "Wed Jul 18 2012 13:15:59 GMT+0200");
Présente : user_pref("CT2851639.LastLogin_3.7.0.6", "Wed Nov 09 2011 08:01:49 GMT+0100");
Présente : user_pref("CT2851639.LastLogin_3.8.0.8", "Mon Jan 02 2012 09:09:59 GMT+0100");
Présente : user_pref("CT2851639.LastLogin_3.8.1.0", "Tue Apr 10 2012 08:45:28 GMT+0200");
Présente : user_pref("CT2851639.LatestVersion", "3.13.0.6");
Présente : user_pref("CT2851639.Locale", "fr");
Présente : user_pref("CT2851639.MCDetectTooltipHeight", "83");
Présente : user_pref("CT2851639.MCDetectTooltipShow", false);
Présente : user_pref("CT2851639.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Présente : user_pref("CT2851639.MCDetectTooltipWidth", "295");
Présente : user_pref("CT2851639.MyStuffEnabledAtInstallation", true);
Présente : user_pref("CT2851639.OriginalFirstVersion", "3.7.0.6");
Présente : user_pref("CT2851639.RadioIsPodcast", false);
Présente : user_pref("CT2851639.RadioLastCheckTime", "Tue Jul 17 2012 15:34:18 GMT+0200");
Présente : user_pref("CT2851639.RadioLastUpdateIPServer", "3");
Présente : user_pref("CT2851639.RadioLastUpdateServer", "0");
Présente : user_pref("CT2851639.RadioMediaID", "1664356");
Présente : user_pref("CT2851639.RadioMediaType", "Media Player");
Présente : user_pref("CT2851639.RadioMenuSelectedID", "EBRadioMenu_CT2851639_RECENT1664356");
Présente : user_pref("CT2851639.RadioShrinked", "expanded");
Présente : user_pref("CT2851639.RadioShrinkedFromSetup", false);
Présente : user_pref("CT2851639.RadioStationName", "Rock%20Alternative%20Punk");
Présente : user_pref("CT2851639.RadioStationURL", "hxxp://sjiradio.com/server3/123Player-Default/c3.asx");
Présente : user_pref("CT2851639.RadioVolume", "49");
Présente : user_pref("CT2851639.SHRINK_TOOLBAR", 1);
Présente : user_pref("CT2851639.SearchBackToDefaultEngine", false);
Présente : user_pref("CT2851639.SearchBoxWidth", 107);
Présente : user_pref("CT2851639.SearchCaption", "uTorrentBar_FR Customized Web Search");
Présente : user_pref("CT2851639.SearchEngineBeforeUnload", "chrome//browser-region/locale/region.properties");
Présente : user_pref("CT2851639.SearchFromAddressBarIsInit", true);
Présente : user_pref("CT2851639.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT285[...]
Présente : user_pref("CT2851639.SearchInNewTabEnabled", true);
Présente : user_pref("CT2851639.SearchInNewTabIntervalMM", 1440);
Présente : user_pref("CT2851639.SearchInNewTabLastCheckTime", "Wed Jul 18 2012 09:33:28 GMT+0200");
Présente : user_pref("CT2851639.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Présente : user_pref("CT2851639.SearchInNewTabUsageUrl", "hxxp://usage.hosting.toolbar.conduit-services.com/usa[...]
Présente : user_pref("CT2851639.SearchProtectorEnabled", false);
Présente : user_pref("CT2851639.SearchProtectorToolbarDisabled", false);
Présente : user_pref("CT2851639.SendProtectorDataViaLogin", true);
Présente : user_pref("CT2851639.ServiceMapLastCheckTime", "Wed Jul 18 2012 09:33:29 GMT+0200");
Présente : user_pref("CT2851639.SettingsLastCheckTime", "Wed Jul 18 2012 13:04:45 GMT+0200");
Présente : user_pref("CT2851639.SettingsLastUpdate", "1340630740");
Présente : user_pref("CT2851639.TBHomePageUrl", "hxxp://search.conduit.com/?ctid=CT2851639SearchSource=13");
Présente : user_pref("CT2851639.ThirdPartyComponentsInterval", 504);
Présente : user_pref("CT2851639.ThirdPartyComponentsLastCheck", "Wed Jul 04 2012 06:26:00 GMT+0200");
Présente : user_pref("CT2851639.ThirdPartyComponentsLastUpdate", "1331805999");
Présente : user_pref("CT2851639.ToolbarShrinkedFromSetup", false);
Présente : user_pref("CT2851639.TrusteLinkUrl", "hxxp://trust.conduit.com/CT2851639");
Présente : user_pref("CT2851639.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,clien[...]
Présente : user_pref("CT2851639.UserID", "UN15296996267070095");
Présente : user_pref("CT2851639.ValidationData_Search", 2);
Présente : user_pref("CT2851639.ValidationData_Toolbar", 2);
Présente : user_pref("CT2851639.WeatherNetwork", "");
Présente : user_pref("CT2851639.WeatherPollDate", "Wed Jul 18 2012 13:59:56 GMT+0200");
Présente : user_pref("CT2851639.WeatherUnit", "C");
Présente : user_pref("CT2851639.alertChannelId", "1243674");
Présente : user_pref("CT2851639.approveUntrustedApps", false);
Présente : user_pref("CT2851639.backendstorage.cb_firstuse0100", "31");
Présente : user_pref("CT2851639.backendstorage.cbfirsttime", "4D6F6E204F637420303320323031312031363A35363A34322[...]
Présente : user_pref("CT2851639.backendstorage.currenttorrent", "3135414644313037463532304344453943423441384339[...]
Présente : user_pref("CT2851639.backendstorage.facebbok_user_cuid_1403032565", "39336635303030312D353361302D303[...]
Présente : user_pref("CT2851639.backendstorage.facebbok_user_id", "31343033303332353635");
Présente : user_pref("CT2851639.backendstorage.facebook_conduit_social_sskey_1403032565", "49316C7E39684A756162[...]
Présente : user_pref("CT2851639.backendstorage.facebook_ctid_connect_send_n", "73656E646564");
Présente : user_pref("CT2851639.backendstorage.facebook_first_visit", "6E6F744669727374");
Présente : user_pref("CT2851639.backendstorage.facebook_last_message_choice", "756E72656164");
Présente : user_pref("CT2851639.backendstorage.facebook_loggedin", "796573");
Présente : user_pref("CT2851639.backendstorage.facebook_login_refresh", "302E37303230373034353133313132383032")[...]
Présente : user_pref("CT2851639.backendstorage.facebook_login_status", "33");
Présente : user_pref("CT2851639.backendstorage.facebook_lust_recieve", "36323835353031302C");
Présente : user_pref("CT2851639.backendstorage.facebook_lust_recievegadet", "36333236313535382C");
Présente : user_pref("CT2851639.backendstorage.facebook_mode", "32");
Présente : user_pref("CT2851639.backendstorage.facebook_permission_lastshow_1403032565", "313333383838333139303[...]
Présente : user_pref("CT2851639.backendstorage.facebook_user_locale", "6672");
Présente : user_pref("CT2851639.backendstorage.facebook_user_name", "3078303034432C3078303036312C3078303037352C[...]
Présente : user_pref("CT2851639.backendstorage.facebook_user_token", "41414141414D4E75394953674241504D334D5A417[...]
Présente : user_pref("CT2851639.backendstorage.facebooknotifications", "31");
Présente : user_pref("CT2851639.backendstorage.hxxp://facebook_conduitapps_com/v3_13.facebook_last_visit_tab", [...]
Présente : user_pref("CT2851639.backendstorage.hxxp://facebook_conduitapps_com/v3_13.facebook_permission_showsn[...]
Présente : user_pref("CT2851639.backendstorage.pairingkey", "46463545343037313941344232463734413844344130413335[...]
Présente : user_pref("CT2851639.backendstorage.scriptsource", "687474703A2F2F3132372E302E302E313A31303030302F67[...]
Présente : user_pref("CT2851639.backendstorage.url_history", "687474703A2F2F7777772E676F6F676C652E66722F7365617[...]
Présente : user_pref("CT2851639.backendstorage.url_history_time", "31333139393637363731323435");
Présente : user_pref("CT2851639.backendstorage.uttorrents", "7B226275696C64223A32373332372C226C6162656C223A5B5D[...]
Présente : user_pref("CT2851639.components.1000080", true);
Présente : user_pref("CT2851639.components.1000082", true);
Présente : user_pref("CT2851639.components.1000234", true);
Présente : user_pref("CT2851639.components.129544678881551249", false);
Présente : user_pref("CT2851639.counterAppsAdded", 1);
Présente : user_pref("CT2851639.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.c[...]
Présente : user_pref("CT2851639.globalFirstTimeInfoLastCheckTime", "Tue Jul 10 2012 23:14:02 GMT+0200");
Présente : user_pref("CT2851639.homepageProtectorEnableByLogin", true);
Présente : user_pref("CT2851639.initDone", true);
Présente : user_pref("CT2851639.isAppTrackingManagerOn", true);
Présente : user_pref("CT2851639.isFirstRadioInstallation", false);
Présente : user_pref("CT2851639.myStuffEnabled", true);
Présente : user_pref("CT2851639.myStuffPublihserMinWidth", 400);
Présente : user_pref("CT2851639.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERMSearchSourceOr[...]
Présente : user_pref("CT2851639.myStuffServiceIntervalMM", 1440);
Présente : user_pref("CT2851639.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Présente : user_pref("CT2851639.oldAppsList", "129351529700431300,129351529700743801,1000234,129791404828153723[...]
Présente : user_pref("CT2851639.revertSettingsEnabled", true);
Présente : user_pref("CT2851639.searchProtectorDialogDelayInSec", 10);
Présente : user_pref("CT2851639.searchProtectorEnableByLogin", true);
Présente : user_pref("CT2851639.testingCtid", "");
Présente : user_pref("CT2851639.toolbarAppMetaDataLastCheckTime", "Tue Jul 17 2012 19:18:44 GMT+0200");
Présente : user_pref("CT2851639.toolbarContextMenuLastCheckTime", "Wed Jul 18 2012 09:10:44 GMT+0200");
Présente : user_pref("CT2851639.usageEnabled", false);
Présente : user_pref("CT2851639.usagesFlag", 2);
Présente : user_pref("CommunityToolbar.ETag.hxxp://Settings.toolbar.search.conduit.com/root/CT2851639/CT2851639[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/1242656/1238329/FR", "\"0\"[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/1243674/1239347/FR", "\"0\"[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2851639", [...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenAppslo[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherAppsloc[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedAppslo[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbarlocal[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.10[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.12[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.12[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.13[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.7.[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.8.[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.8.[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2851639",[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=CT2851639octid=[...]
Présente : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=fr", "\"94c[...]
Présente : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\\Users\\GRAU\\AppData\\Roaming\\Mozilla\\Fi[...]
Présente : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.14.1.0");
Présente : user_pref("CommunityToolbar.MiniIPageGadgetPosition.hxxp://facebook.conduitapps.com/v3.13/gadget.htm[...]
Présente : user_pref("CommunityToolbar.MiniIPageGadgetSize.hxxp://cdn.triplegames.com/shared/apps/gamearcade/ar[...]
Présente : user_pref("CommunityToolbar.MiniIPageGadgetSize.hxxp://facebook.conduitapps.com/v3.13/gadget.html", [...]
Présente : user_pref("CommunityToolbar.MiniIPageGadgetSize.hxxp://play.appsenjoy.com/bmp.html", "725x560");
Présente : user_pref("CommunityToolbar.MiniIPageGadgetSize.hxxp://youtube.conduitapps.com/v115/gadget.php?appMo[...]
Présente : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "");
Présente : user_pref("CommunityToolbar.ToolbarsList", "CT2851639");
Présente : user_pref("CommunityToolbar.ToolbarsList2", "CT2851639");
Présente : user_pref("CommunityToolbar.ToolbarsList4", "CT2851639");
Présente : user_pref("CommunityToolbar.facebook.alerts.enabled", true);
Présente : user_pref("CommunityToolbar.facebook.alerts.eventsEnabled", true);
Présente : user_pref("CommunityToolbar.facebook.alerts.friendReqEnabled", true);
Présente : user_pref("CommunityToolbar.facebook.alerts.groupsEnabled", true);
Présente : user_pref("CommunityToolbar.facebook.alerts.inboxEnabled", true);
Présente : user_pref("CommunityToolbar.facebook.alerts.newsFeedsEnabled", false);
Présente : user_pref("CommunityToolbar.facebook.sessionKey", "2.AQBdAX8WbnW-NbPX.86400.1322895600.0-1403032565"[...]
Présente : user_pref("CommunityToolbar.facebook.sessionSecret", "YEi29T2zEz52b_ocS_QYkA__");
Présente : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Tue Apr 17 2012 07:51:38 GMT+0200");
Présente : user_pref("CommunityToolbar.facebook.userId", "1403032565");
Présente : user_pref("CommunityToolbar.globalUserId", "5527de14-603a-499d-84ea-993ac1c3d60e");
Présente : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Présente : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Présente : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Thu Jul 12 2012 05:10:5[...]
Présente : user_pref("CommunityToolbar.notifications.alertInfoInterval", 1440);
Présente : user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Tue Jul 17 2012 18:48:26 GMT+020[...]
Présente : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com");
Présente : user_pref("CommunityToolbar.notifications.firstTimeAlertShown", true);
Présente : user_pref("CommunityToolbar.notifications.locale", "en");
Présente : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
Présente : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Wed Jul 18 2012 09:33:30 GMT+0200");
Présente : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1313487611");
Présente : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
Présente : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com");
Présente : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
Présente : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
Présente : user_pref("CommunityToolbar.notifications.userId", "6a41a38a-b25a-4a71-8a59-490c54dc40da");
Présente : user_pref("CommunityToolbar.originalHomepage", "chrome//branding/locale/browserconfig.properties");
Présente : user_pref("CommunityToolbar.originalSearchEngine", "chrome//browser-region/locale/region.properties[...]

-\\ Google Chrome v20.0.1132.57

Fichier : C:\Users\GRAU\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [27939 octets] - [18/07/2012 22:35:43]

########## EOF - C:\AdwCleaner[R1].txt - [28068 octets] ##########

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28372

par 2011N2 - mer. 18 juil. 2012 22:39

- mer. 18 juil. 2012 22:39 #28372

Je t'en prie, j'espère que ce n'est pas trop gênant.

Relance AdwCleaner, puis clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse, comme la fois précédente.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

PS : Je ne sais pas si je pourrai repasser avant demain, demain soir peut-être même.

@+

Gabriel.

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28373

par LeLord - mer. 18 juil. 2012 22:46

- mer. 18 juil. 2012 22:46 #28373

pas de probleme, je touche a rien pour le moment. j'attendrais tes conseils.

voila le rapport
# AdwCleaner v1.702 - Rapport créé le 18/07/2012 à 22:41:15
# Mis à jour le 13/07/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : GRAU - GRAU-PC
# Exécuté depuis : C:\Users\GRAU\Downloads\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\GRAU\AppData\Local\Conduit
Dossier Supprimé : C:\Users\GRAU\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\GRAU\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\GRAU\AppData\LocalLow\uTorrentBar_FR
Dossier Supprimé : C:\Users\GRAU\AppData\Roaming\Mozilla\Firefox\Profiles\tapdrm4j.default\ConduitCommon
Dossier Supprimé : C:\Users\GRAU\AppData\Roaming\Mozilla\Firefox\Profiles\tapdrm4j.default\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\uTorrentBar_FR
Fichier Supprimé : C:\Users\GRAU\AppData\Roaming\Mozilla\Firefox\Profiles\tapdrm4j.default\searchplugins\SweetIm.xml

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\uTorrentBar_FR
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Iminent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar_FR Toolbar
Clé Supprimée : HKLM\SOFTWARE\SweetIM
Clé Supprimée : HKLM\SOFTWARE\uTorrentBar_FR
Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]
[x64] Clé Supprimée : HKLM\SOFTWARE\Tarma Installer

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{20E1481B-E285-4ABC-ADC7-AE24842B81CD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\GRAU\AppData\Roaming\Mozilla\Firefox\Profiles\tapdrm4j.default\prefs.js

C:\Users\GRAU\AppData\Roaming\Mozilla\Firefox\Profiles\tapdrm4j.default\user.js ... Supprimé !

Supprimée : user_pref("CT2851639..clientLogIsEnabled", false);
Supprimée : user_pref("CT2851639..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.as[...]
Supprimée : user_pref("CT2851639..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Re[...]
Supprimée : user_pref("CT2851639.ALLOW_SHOWING_HIDDEN_TOOLBAR", false);
Supprimée : user_pref("CT2851639.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Supprimée : user_pref("CT2851639.AppTrackingLastCheckTime", "Tue Jul 10 2012 11:26:21 GMT+0200");
Supprimée : user_pref("CT2851639.CTID", "CT2851639");
Supprimée : user_pref("CT2851639.CurrentServerDate", "18-7-2012");
Supprimée : user_pref("CT2851639.DSInstall", true);
Supprimée : user_pref("CT2851639.DialogsAlignMode", "LTR");
Supprimée : user_pref("CT2851639.DialogsGetterLastCheckTime", "Tue Jul 17 2012 08:20:48 GMT+0200");
Supprimée : user_pref("CT2851639.DownloadReferralCookieData", "");
Supprimée : user_pref("CT2851639.EMailNotifierPollDate", "Wed Jul 18 2012 14:15:32 GMT+0200");
Supprimée : user_pref("CT2851639.EnableSearchHistory", false);
Supprimée : user_pref("CT2851639.EnableSearchSuggest", false);
Supprimée : user_pref("CT2851639.FeedLastCount2548968607390276962", 501);
Supprimée : user_pref("CT2851639.FeedPollDate2429156812186649977", "Wed Jul 18 2012 14:15:33 GMT+0200");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813040823546", "Wed Jul 18 2012 14:15:33 GMT+0200");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813130095866", "Wed Jul 18 2012 14:15:32 GMT+0200");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813224203613", "Wed Jul 18 2012 14:15:32 GMT+0200");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813230837251", "Wed Jul 18 2012 14:15:33 GMT+0200");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813454291735", "Wed Jul 18 2012 14:15:33 GMT+0200");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813729834876", "Wed Jul 18 2012 14:15:32 GMT+0200");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813860870021", "Wed Jul 18 2012 14:15:33 GMT+0200");
Supprimée : user_pref("CT2851639.FeedPollDate2429156814264681793", "Wed Jul 18 2012 14:15:33 GMT+0200");
Supprimée : user_pref("CT2851639.FeedPollDate2429156814863075366", "Wed Jul 18 2012 14:15:33 GMT+0200");
Supprimée : user_pref("CT2851639.FeedPollDate2429156815257761081", "Wed Jul 18 2012 14:15:32 GMT+0200");
Supprimée : user_pref("CT2851639.FeedTTL2429156813040823546", 15);
Supprimée : user_pref("CT2851639.FeedTTL2429156813130095866", 10);
Supprimée : user_pref("CT2851639.FeedTTL2429156813454291735", 5);
Supprimée : user_pref("CT2851639.FeedTTL2429156814264681793", 5);
Supprimée : user_pref("CT2851639.FirstServerDate", "3-10-2011");
Supprimée : user_pref("CT2851639.FirstTime", true);
Supprimée : user_pref("CT2851639.FirstTimeFF3", true);
Supprimée : user_pref("CT2851639.FixPageNotFoundErrors", false);
Supprimée : user_pref("CT2851639.GroupingServerCheckInterval", 1440);
Supprimée : user_pref("CT2851639.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Supprimée : user_pref("CT2851639.HPInstall", false);
Supprimée : user_pref("CT2851639.HasUserGlobalKeys", true);
Supprimée : user_pref("CT2851639.HomePageProtectorEnabled", false);
Supprimée : user_pref("CT2851639.HomepageBeforeUnload", "chrome//branding/locale/browserconfig.properties");
Supprimée : user_pref("CT2851639.Initialize", true);
Supprimée : user_pref("CT2851639.InitializeCommonPrefs", true);
Supprimée : user_pref("CT2851639.InstallationAndCookieDataSentCount", 3);
Supprimée : user_pref("CT2851639.InstallationType", "UnknownIntegration");
Supprimée : user_pref("CT2851639.InstalledDate", "Mon Oct 03 2011 16:56:38 GMT+0200");
Supprimée : user_pref("CT2851639.InvalidateCache", false);
Supprimée : user_pref("CT2851639.IsAlertDBUpdated", true);
Supprimée : user_pref("CT2851639.IsGrouping", false);
Supprimée : user_pref("CT2851639.IsInitSetupIni", true);
Supprimée : user_pref("CT2851639.IsMulticommunity", false);
Supprimée : user_pref("CT2851639.IsOpenThankYouPage", true);
Supprimée : user_pref("CT2851639.IsOpenUninstallPage", false);
Supprimée : user_pref("CT2851639.LanguagePackLastCheckTime", "Tue Jul 17 2012 16:29:58 GMT+0200");
Supprimée : user_pref("CT2851639.LanguagePackReloadIntervalMM", 1440);
Supprimée : user_pref("CT2851639.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Supprimée : user_pref("CT2851639.LastLogin_3.10.0.1", "Wed Apr 18 2012 09:28:41 GMT+0200");
Supprimée : user_pref("CT2851639.LastLogin_3.12.0.7", "Wed Apr 25 2012 08:52:31 GMT+0200");
Supprimée : user_pref("CT2851639.LastLogin_3.12.2.3", "Wed May 30 2012 07:40:06 GMT+0200");
Supprimée : user_pref("CT2851639.LastLogin_3.13.0.6", "Tue Jul 17 2012 16:29:54 GMT+0200");
Supprimée : user_pref("CT2851639.LastLogin_3.14.1.0", "Wed Jul 18 2012 13:15:59 GMT+0200");
Supprimée : user_pref("CT2851639.LastLogin_3.7.0.6", "Wed Nov 09 2011 08:01:49 GMT+0100");
Supprimée : user_pref("CT2851639.LastLogin_3.8.0.8", "Mon Jan 02 2012 09:09:59 GMT+0100");
Supprimée : user_pref("CT2851639.LastLogin_3.8.1.0", "Tue Apr 10 2012 08:45:28 GMT+0200");
Supprimée : user_pref("CT2851639.LatestVersion", "3.13.0.6");
Supprimée : user_pref("CT2851639.Locale", "fr");
Supprimée : user_pref("CT2851639.MCDetectTooltipHeight", "83");
Supprimée : user_pref("CT2851639.MCDetectTooltipShow", false);
Supprimée : user_pref("CT2851639.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Supprimée : user_pref("CT2851639.MCDetectTooltipWidth", "295");
Supprimée : user_pref("CT2851639.MyStuffEnabledAtInstallation", true);
Supprimée : user_pref("CT2851639.OriginalFirstVersion", "3.7.0.6");
Supprimée : user_pref("CT2851639.RadioIsPodcast", false);
Supprimée : user_pref("CT2851639.RadioLastCheckTime", "Tue Jul 17 2012 15:34:18 GMT+0200");
Supprimée : user_pref("CT2851639.RadioLastUpdateIPServer", "3");
Supprimée : user_pref("CT2851639.RadioLastUpdateServer", "0");
Supprimée : user_pref("CT2851639.RadioMediaID", "1664356");
Supprimée : user_pref("CT2851639.RadioMediaType", "Media Player");
Supprimée : user_pref("CT2851639.RadioMenuSelectedID", "EBRadioMenu_CT2851639_RECENT1664356");
Supprimée : user_pref("CT2851639.RadioShrinked", "expanded");
Supprimée : user_pref("CT2851639.RadioShrinkedFromSetup", false);
Supprimée : user_pref("CT2851639.RadioStationName", "Rock%20Alternative%20Punk");
Supprimée : user_pref("CT2851639.RadioStationURL", "hxxp://sjiradio.com/server3/123Player-Default/c3.asx");
Supprimée : user_pref("CT2851639.RadioVolume", "49");
Supprimée : user_pref("CT2851639.SHRINK_TOOLBAR", 1);
Supprimée : user_pref("CT2851639.SearchBackToDefaultEngine", false);
Supprimée : user_pref("CT2851639.SearchBoxWidth", 107);
Supprimée : user_pref("CT2851639.SearchCaption", "uTorrentBar_FR Customized Web Search");
Supprimée : user_pref("CT2851639.SearchEngineBeforeUnload", "chrome//browser-region/locale/region.properties");
Supprimée : user_pref("CT2851639.SearchFromAddressBarIsInit", true);
Supprimée : user_pref("CT2851639.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT285[...]
Supprimée : user_pref("CT2851639.SearchInNewTabEnabled", true);
Supprimée : user_pref("CT2851639.SearchInNewTabIntervalMM", 1440);
Supprimée : user_pref("CT2851639.SearchInNewTabLastCheckTime", "Wed Jul 18 2012 09:33:28 GMT+0200");
Supprimée : user_pref("CT2851639.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Supprimée : user_pref("CT2851639.SearchInNewTabUsageUrl", "hxxp://usage.hosting.toolbar.conduit-services.com/usa[...]
Supprimée : user_pref("CT2851639.SearchProtectorEnabled", false);
Supprimée : user_pref("CT2851639.SearchProtectorToolbarDisabled", false);
Supprimée : user_pref("CT2851639.SendProtectorDataViaLogin", true);
Supprimée : user_pref("CT2851639.ServiceMapLastCheckTime", "Wed Jul 18 2012 09:33:29 GMT+0200");
Supprimée : user_pref("CT2851639.SettingsLastCheckTime", "Wed Jul 18 2012 13:04:45 GMT+0200");
Supprimée : user_pref("CT2851639.SettingsLastUpdate", "1340630740");
Supprimée : user_pref("CT2851639.TBHomePageUrl", "hxxp://search.conduit.com/?ctid=CT2851639SearchSource=13");
Supprimée : user_pref("CT2851639.ThirdPartyComponentsInterval", 504);
Supprimée : user_pref("CT2851639.ThirdPartyComponentsLastCheck", "Wed Jul 04 2012 06:26:00 GMT+0200");
Supprimée : user_pref("CT2851639.ThirdPartyComponentsLastUpdate", "1331805999");
Supprimée : user_pref("CT2851639.ToolbarShrinkedFromSetup", false);
Supprimée : user_pref("CT2851639.TrusteLinkUrl", "hxxp://trust.conduit.com/CT2851639");
Supprimée : user_pref("CT2851639.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,clien[...]
Supprimée : user_pref("CT2851639.UserID", "UN15296996267070095");
Supprimée : user_pref("CT2851639.ValidationData_Search", 2);
Supprimée : user_pref("CT2851639.ValidationData_Toolbar", 2);
Supprimée : user_pref("CT2851639.WeatherNetwork", "");
Supprimée : user_pref("CT2851639.WeatherPollDate", "Wed Jul 18 2012 13:59:56 GMT+0200");
Supprimée : user_pref("CT2851639.WeatherUnit", "C");
Supprimée : user_pref("CT2851639.alertChannelId", "1243674");
Supprimée : user_pref("CT2851639.approveUntrustedApps", false);
Supprimée : user_pref("CT2851639.backendstorage.cb_firstuse0100", "31");
Supprimée : user_pref("CT2851639.backendstorage.cbfirsttime", "4D6F6E204F637420303320323031312031363A35363A34322[...]
Supprimée : user_pref("CT2851639.backendstorage.currenttorrent", "3135414644313037463532304344453943423441384339[...]
Supprimée : user_pref("CT2851639.backendstorage.facebbok_user_cuid_1403032565", "39336635303030312D353361302D303[...]
Supprimée : user_pref("CT2851639.backendstorage.facebbok_user_id", "31343033303332353635");
Supprimée : user_pref("CT2851639.backendstorage.facebook_conduit_social_sskey_1403032565", "49316C7E39684A756162[...]
Supprimée : user_pref("CT2851639.backendstorage.facebook_ctid_connect_send_n", "73656E646564");
Supprimée : user_pref("CT2851639.backendstorage.facebook_first_visit", "6E6F744669727374");
Supprimée : user_pref("CT2851639.backendstorage.facebook_last_message_choice", "756E72656164");
Supprimée : user_pref("CT2851639.backendstorage.facebook_loggedin", "796573");
Supprimée : user_pref("CT2851639.backendstorage.facebook_login_refresh", "302E37303230373034353133313132383032")[...]
Supprimée : user_pref("CT2851639.backendstorage.facebook_login_status", "33");
Supprimée : user_pref("CT2851639.backendstorage.facebook_lust_recieve", "36323835353031302C");
Supprimée : user_pref("CT2851639.backendstorage.facebook_lust_recievegadet", "36333236313535382C");
Supprimée : user_pref("CT2851639.backendstorage.facebook_mode", "32");
Supprimée : user_pref("CT2851639.backendstorage.facebook_permission_lastshow_1403032565", "313333383838333139303[...]
Supprimée : user_pref("CT2851639.backendstorage.facebook_user_locale", "6672");
Supprimée : user_pref("CT2851639.backendstorage.facebook_user_name", "3078303034432C3078303036312C3078303037352C[...]
Supprimée : user_pref("CT2851639.backendstorage.facebook_user_token", "41414141414D4E75394953674241504D334D5A417[...]
Supprimée : user_pref("CT2851639.backendstorage.facebooknotifications", "31");
Supprimée : user_pref("CT2851639.backendstorage.hxxp://facebook_conduitapps_com/v3_13.facebook_last_visit_tab", [...]
Supprimée : user_pref("CT2851639.backendstorage.hxxp://facebook_conduitapps_com/v3_13.facebook_permission_showsn[...]
Supprimée : user_pref("CT2851639.backendstorage.pairingkey", "46463545343037313941344232463734413844344130413335[...]
Supprimée : user_pref("CT2851639.backendstorage.scriptsource", "687474703A2F2F3132372E302E302E313A31303030302F67[...]
Supprimée : user_pref("CT2851639.backendstorage.url_history", "687474703A2F2F7777772E676F6F676C652E66722F7365617[...]
Supprimée : user_pref("CT2851639.backendstorage.url_history_time", "31333139393637363731323435");
Supprimée : user_pref("CT2851639.backendstorage.uttorrents", "7B226275696C64223A32373332372C226C6162656C223A5B5D[...]
Supprimée : user_pref("CT2851639.components.1000080", true);
Supprimée : user_pref("CT2851639.components.1000082", true);
Supprimée : user_pref("CT2851639.components.1000234", true);
Supprimée : user_pref("CT2851639.components.129544678881551249", false);
Supprimée : user_pref("CT2851639.counterAppsAdded", 1);
Supprimée : user_pref("CT2851639.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.c[...]
Supprimée : user_pref("CT2851639.globalFirstTimeInfoLastCheckTime", "Tue Jul 10 2012 23:14:02 GMT+0200");
Supprimée : user_pref("CT2851639.homepageProtectorEnableByLogin", true);
Supprimée : user_pref("CT2851639.initDone", true);
Supprimée : user_pref("CT2851639.isAppTrackingManagerOn", true);
Supprimée : user_pref("CT2851639.isFirstRadioInstallation", false);
Supprimée : user_pref("CT2851639.myStuffEnabled", true);
Supprimée : user_pref("CT2851639.myStuffPublihserMinWidth", 400);
Supprimée : user_pref("CT2851639.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERMSearchSourceOr[...]
Supprimée : user_pref("CT2851639.myStuffServiceIntervalMM", 1440);
Supprimée : user_pref("CT2851639.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Supprimée : user_pref("CT2851639.oldAppsList", "129351529700431300,129351529700743801,1000234,129791404828153723[...]
Supprimée : user_pref("CT2851639.revertSettingsEnabled", true);
Supprimée : user_pref("CT2851639.searchProtectorDialogDelayInSec", 10);
Supprimée : user_pref("CT2851639.searchProtectorEnableByLogin", true);
Supprimée : user_pref("CT2851639.testingCtid", "");
Supprimée : user_pref("CT2851639.toolbarAppMetaDataLastCheckTime", "Tue Jul 17 2012 19:18:44 GMT+0200");
Supprimée : user_pref("CT2851639.toolbarContextMenuLastCheckTime", "Wed Jul 18 2012 09:10:44 GMT+0200");
Supprimée : user_pref("CT2851639.usageEnabled", false);
Supprimée : user_pref("CT2851639.usagesFlag", 2);
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://Settings.toolbar.search.conduit.com/root/CT2851639/CT2851639[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/1242656/1238329/FR", "\"0\"[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/1243674/1239347/FR", "\"0\"[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2851639", [...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenAppslo[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherAppsloc[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedAppslo[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbarlocal[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.10[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.12[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.12[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.13[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.7.[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.8.[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.8.[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2851639",[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=CT2851639octid=[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=fr", "\"94c[...]
Supprimée : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\\Users\\GRAU\\AppData\\Roaming\\Mozilla\\Fi[...]
Supprimée : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.14.1.0");
Supprimée : user_pref("CommunityToolbar.MiniIPageGadgetPosition.hxxp://facebook.conduitapps.com/v3.13/gadget.htm[...]
Supprimée : user_pref("CommunityToolbar.MiniIPageGadgetSize.hxxp://cdn.triplegames.com/shared/apps/gamearcade/ar[...]
Supprimée : user_pref("CommunityToolbar.MiniIPageGadgetSize.hxxp://facebook.conduitapps.com/v3.13/gadget.html", [...]
Supprimée : user_pref("CommunityToolbar.MiniIPageGadgetSize.hxxp://play.appsenjoy.com/bmp.html", "725x560");
Supprimée : user_pref("CommunityToolbar.MiniIPageGadgetSize.hxxp://youtube.conduitapps.com/v115/gadget.php?appMo[...]
Supprimée : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "");
Supprimée : user_pref("CommunityToolbar.ToolbarsList", "CT2851639");
Supprimée : user_pref("CommunityToolbar.ToolbarsList2", "CT2851639");
Supprimée : user_pref("CommunityToolbar.ToolbarsList4", "CT2851639");
Supprimée : user_pref("CommunityToolbar.facebook.alerts.enabled", true);
Supprimée : user_pref("CommunityToolbar.facebook.alerts.eventsEnabled", true);
Supprimée : user_pref("CommunityToolbar.facebook.alerts.friendReqEnabled", true);
Supprimée : user_pref("CommunityToolbar.facebook.alerts.groupsEnabled", true);
Supprimée : user_pref("CommunityToolbar.facebook.alerts.inboxEnabled", true);
Supprimée : user_pref("CommunityToolbar.facebook.alerts.newsFeedsEnabled", false);
Supprimée : user_pref("CommunityToolbar.facebook.sessionKey", "2.AQBdAX8WbnW-NbPX.86400.1322895600.0-1403032565"[...]
Supprimée : user_pref("CommunityToolbar.facebook.sessionSecret", "YEi29T2zEz52b_ocS_QYkA__");
Supprimée : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Tue Apr 17 2012 07:51:38 GMT+0200");
Supprimée : user_pref("CommunityToolbar.facebook.userId", "1403032565");
Supprimée : user_pref("CommunityToolbar.globalUserId", "5527de14-603a-499d-84ea-993ac1c3d60e");
Supprimée : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Supprimée : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Supprimée : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Thu Jul 12 2012 05:10:5[...]
Supprimée : user_pref("CommunityToolbar.notifications.alertInfoInterval", 1440);
Supprimée : user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Tue Jul 17 2012 18:48:26 GMT+020[...]
Supprimée : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com");
Supprimée : user_pref("CommunityToolbar.notifications.firstTimeAlertShown", true);
Supprimée : user_pref("CommunityToolbar.notifications.locale", "en");
Supprimée : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
Supprimée : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Wed Jul 18 2012 09:33:30 GMT+0200");
Supprimée : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1313487611");
Supprimée : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
Supprimée : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com");
Supprimée : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
Supprimée : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
Supprimée : user_pref("CommunityToolbar.notifications.userId", "6a41a38a-b25a-4a71-8a59-490c54dc40da");
Supprimée : user_pref("CommunityToolbar.originalHomepage", "chrome//branding/locale/browserconfig.properties");
Supprimée : user_pref("CommunityToolbar.originalSearchEngine", "chrome//browser-region/locale/region.properties[...]

-\\ Google Chrome v20.0.1132.57

Fichier : C:\Users\GRAU\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [28014 octets] - [18/07/2012 22:35:43]
AdwCleaner[S1].txt - [26266 octets] - [18/07/2012 22:41:15]

########## EOF - C:\AdwCleaner[S1].txt - [26395 octets] ##########

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28374

par 2011N2 - mer. 18 juil. 2012 22:48

- mer. 18 juil. 2012 22:48 #28374

Re,

Toujours là.

Fais moi un nouveau ZHPdiag.

@+

Gabriel.

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28375

par LeLord - mer. 18 juil. 2012 22:51

- mer. 18 juil. 2012 22:51 #28375

voila

Rapport supprimé par l'administrateur (voir plus bas)

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28376

par 2011N2 - mer. 18 juil. 2012 22:52

- mer. 18 juil. 2012 22:52 #28376

Héberge le ici STP : http://www.cjoint.com/

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28377

par LeLord - mer. 18 juil. 2012 22:54

- mer. 18 juil. 2012 22:54 #28377

http://cjoint.com/?BGsw1IuKLSb

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28378

par 2011N2 - mer. 18 juil. 2012 22:56

- mer. 18 juil. 2012 22:56 #28378

Re,

Télécharge UsbFix (créé par El Desaparecido C_XX) sur ton Bureau : http://eldesaparecido.com/usbfix.html Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement.
Clique sur "Recherche".
Laisse travailler l'outil.
À la fin du scan, un rapport va s'afficher : post-le dans ta prochaine réponse sur le forum (il est aussi sauvegardé a la racine du disque dur).

Si tu as des questions, n'hésite pas à me les poser !

@+

Gabriel.

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28380

par LeLord - mer. 18 juil. 2012 23:00

- mer. 18 juil. 2012 23:00 #28380

j'ai fait une capture d'ecran de mon dossier images, tu veux voir a quoi cela ressemble ?

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28381

par 2011N2 - mer. 18 juil. 2012 23:04

- mer. 18 juil. 2012 23:04 #28381

Pourquoi pas vas-y

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28382

par LeLord - mer. 18 juil. 2012 23:07

- mer. 18 juil. 2012 23:07 #28382

en fait je fais comment pour te l'envoyer ? car copier ne ne veut rien savoir

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28383

par LeLord - mer. 18 juil. 2012 23:08

- mer. 18 juil. 2012 23:08 #28383

voila le rapport de usbfix

############################## | UsbFix V 7.093 | [Recherche]

Utilisateur: GRAU (Administrateur) # GRAU-PC
Mis à jour le 08/07/2012 par El Desaparecido
Lancé à 23:03:36 | 18/07/2012

Site Web: http://eldesaparecido.com
Forum: http://forum.eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.php
Contact: contact@eldesaparecido.com

PC: System manufacturer (P5QL PRO) (x64-based PC) # Desktop Computer
CPU: Intel(R) Core(TM)2 Quad CPU Q9400 @ 2.66GHz (2670)
RAM - [Total : 4095 | Free : 2621]
BIOS: BIOS Date: 07/01/09 17:37:27 Ver: 08.00.14
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Lavasoft Ad-Watch Live! Anti-Virus [(!) Disabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) - Disque fixe # 146 Go (51 Go libre(s) - 35%) [] # NTFS
D:\ - Disque fixe # 149 Go (5 Go libre(s) - 3%) [Lord Rom] # NTFS
E:\ - CD-ROM
F:\ - Disque fixe # 319 Go (59 Go libre(s) - 18%) [Données] # NTFS
G:\ - CD-ROM
H:\ - Disque fixe # 298 Go (218 Go libre(s) - 73%) [wd scorpio] # NTFS
I:\ - CD-ROM
J:\ - CD-ROM
K:\ - CD-ROM
L:\ - CD-ROM
M:\ - CD-ROM
N:\ - CD-ROM
O:\ - CD-ROM
P:\ - Disque amovible # 15 Go (3 Go libre(s) - 20%) [] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (452)
C:\Windows\system32\wininit.exe (524)
C:\Windows\system32\csrss.exe (548)
C:\Windows\system32\services.exe (584)
C:\Windows\system32\lsass.exe (600)
C:\Windows\system32\lsm.exe (608)
C:\Windows\system32\svchost.exe (740)
C:\Windows\system32\winlogon.exe (748)
C:\Windows\system32\svchost.exe (852)
C:\Windows\system32\atiesrxx.exe (916)
C:\Windows\System32\svchost.exe (984)
C:\Windows\System32\svchost.exe (124)
C:\Windows\system32\svchost.exe (400)
C:\Windows\system32\svchost.exe (1036)
C:\Windows\system32\svchost.exe (1128)
C:\Windows\system32\atieclxx.exe (1212)
C:\Windows\System32\spoolsv.exe (1404)
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (1440)
C:\Windows\system32\svchost.exe (1460)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (1564)
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (1604)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1656)
C:\Program Files\Bonjour\mDNSResponder.exe (1704)
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (1732)
f:\MSSQL.1\MSSQL\Binn\sqlservr.exe (1744)
C:\Windows\system32\conhost.exe (1764)
C:\Windows\SysWOW64\PnkBstrA.exe (1928)
C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe (1952)
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (1976)
C:\Windows\system32\svchost.exe (1324)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (1272)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2312)
C:\Windows\system32\taskhost.exe (2384)
C:\Windows\system32\Dwm.exe (2544)
C:\Windows\Explorer.EXE (2692)
C:\Windows\system32\wbem\wmiprvse.exe (2724)
C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe (2996)
C:\Windows\system32\NOTEPAD.EXE (3032)
C:\Program Files (x86)\Common Files\Apple\Apple Application Support\distnoted.exe (2684)
C:\Windows\system32\SearchIndexer.exe (2712)
C:\Windows\system32\conhost.exe (2860)
C:\Windows\system32\WUDFHost.exe (2256)
C:\Program Files\Windows Media Player\wmpnetwk.exe (3472)
C:\Windows\system32\svchost.exe (3584)
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (3708)
F:\VirtualCloneDrive\VCDDaemon.exe (3716)
F:\Itunes\iTunesHelper.exe (3792)
C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe (3800)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (3912)
C:\Program Files\iPod\bin\iPodService.exe (3204)
C:\Windows\System32\svchost.exe (3508)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (3972)
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (1396)
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (3576)
C:\Windows\System32\svchost.exe (2656)
C:\Program Files (x86)\ZHPDiag\ZHPDiag.exe (428)
C:\UsbFix\Go.exe (5040)
C:\Windows\system32\wbem\wmiprvse.exe (4048)

################## | Éléments infectieux |

################## | Registre |

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{7216d889-8786-11e1-9335-90e6ba065d4e}
Shell\AutoRun\Command = L:\Autorun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{a7eee79b-f0d9-11e0-b390-90e6ba065d4e}
Shell\AutoRun\Command = G:\Installer.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{c27042c6-fc32-11e0-9368-90e6ba065d4e}
Shell\AutoRun\Command = L:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{d873595f-f314-11e0-ae93-90e6ba065d4e}
Shell\AutoRun\Command = I:\Installer.exe

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28384

par 2011N2 - mer. 18 juil. 2012 23:09

- mer. 18 juil. 2012 23:09 #28384

Ok

Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement.
Clique sur "Suppression".
Laisse travailler l'outil.
À la fin du scan, un rapport va s'afficher : post-le dans ta prochaine réponse sur le forum (il est aussi sauvegardé a la racine du disque dur).

Si tu as des questions, n'hésite pas à me les poser !

@+

Gabriel.

Re: [Résolu] fichier codés aprés un ransonware gendarmerie#28385

par 2011N2 - mer. 18 juil. 2012 23:10

- mer. 18 juil. 2012 23:10 #28385

Héberge via la disquette dans les réponses sur le forum

Sujet verrouillé

Page 1 sur 2
53 messages

1
2

FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

Forum d'Entraide Informatique (FEI)

FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique