Allo ici Troie, détectons cheval de Troie... Fermé

Question

Allo, ici Troie, détectons cheval de Troie et requérons support pour élimination totale de l'élément indésirable :-)

Bonsoir, j'essaye de prendre avec humour mon premier torjan en plusieurs années de surf... fallait bien que ca arrive.

Je pense que le plus intéressant est un rapport Hijackthis :

(si besoin de plus d'info, n'hésitez pas :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:24, on 28/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
G:\Jeux\Steam\Steam.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32
tdll64.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Steam] "G:\Jeux\Steam\Steam.exe" -silent
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\2461675048.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &d&ownload &with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &d&ownload all video with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &d&ownload all with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: ajouter à kaspersky anti-banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: (no name) - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - (no file)
O10 - Unknown file in Winsock LSP: c:\windows	emp
tdll64.dll
O10 - Unknown file in Winsock LSP: c:\windows	emp
tdll64.dll
O11 - Options group: [java_sun] Java (Sun)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: __c00f61c0 - C:\WINDOWS\system32\__c00F61C0.dat
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

Lyonnais92 · Answer

Bonjour,

 Bonjour,

je suis Lyonnais92 et je t'accompagnerai jusqu'à ce que ton ordi soit désinfecté.

J'ai besoin de certaines informations afin de te faire faire les meilleures manipulations, au moindre risque.


 -  il s'agit d'un ordi personnel ou  professionnel ?
 
 - ta session a les droits  d'administrateur ?
 
 - ton Windows est légitime ?
 
 - tu as un CD (ou DVD)  d'installation ou seulement de  restauration en l'état neuf ?
 
 - tu as une sauvegarde de tes  données personnelles (sur un  support externe) ?
  
 - tu as (ou peut avoir) l'usage  d'un autre ordi sain ? avec un  graveur de CD ?


===============

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Pelusse · Answer

Bonjour Lyonnais92

Merci pour ton aide.

Il s'agit de mon PC perso fixe que j'ai récupéré de mon frère en remplacement de mon vieil athlon. Je ne connais pas la license d'installée sur le PC récupéré mais j'ai mon vieux Windows XP sur CD.

Oui je devrai avoir les droits admin sur le PC infecté.

Là j'écris de mon laptop avec Windows Vista. Je ne suis pas certain qu'il soit encore sain car je transfère souvent des fichiers d'un PC à un autre via clé USB ou disque externe. L'usage me semble normal, pas de message bizarres style spyware, trojan... mais la connection internet est particulièrement lente, digne d'un vieux 56K. J'essaye de télécharger spybot mais n'y parviens pas... même en éteignant l'autre PC. 

Non je n'ai pas de sauvegarde de mes données personnelles, elles se trouvent sur un disque interne sur mon PC fixe.

Le graveur de mon laptop ne semble pas marcher... je ne l'ai jamais utilisé d'ailleurs mais je viens de vérifier, le logiciel gratuit que j'ai installé ne repère pas le graveur.

Merci encore de ton aide,
Pelusse

PS: désolé du temps de ma réponse (et du mail précédent non fini, c'est un click involontaire...)

Pelusse · Answer

Ok, je viens de rebooté mon modem routeur avec l'autre PC éteint et la connexion est rapide sur mon laptop. Je pense qu'il est sain finalement... Kaspersky (officiel et mis à jour, présent sur mes 2 PCs) ne repère rien dans l'analyse de ma mémoire de mon laptop, ce qui n'est pas le cas sur mon fixe (il repère le trojan suivant : trojan clicker Win32 costra gb).

Sinon je viens de télécharger spybot et cccleaner afin d'avoir quelques outils en espérant que ca va marcher et que mon disque ne va pas être infécté. En cas de besoin...

(Gros ouf mon laptop fonctionne... pour l'instant... pour info mon fixe est sur XP et mon laptop sur Vista installé d'office).

Lyonnais92 · Answer

Re,

pour MBAM, tu as un problème ?

Lyonnais92 · Answer

Re,

normalement, MBAM devrait venir à bout de tout ce que j'ai vu.

Pelusse · Answer

Merci Lyonnais92.
Je suis en train d'essayer ceci, je scanne tous mes disques en ce moment même.

Je vais faire de même avec mes 2 disques externes.

Je mettrai le log hijackthis une fois le scan et nettoyage effectué par MBAM, mais ca va prendre un peu de temps je suppose.

Merci encore de ton aide,
Bonne soirée
Pelusse

Lyonnais92 · Answer

Re,

si tu as choisi l'option "scan rapide", ça ne devrait pas trop durer.

Sinon  ....

Lyonnais92 · Answer

Re,

quel est le fichier qui revient ?

================
Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)

NB : Les rapports sont sauvegardés dans le dossier C:\rsit  

=============

Je regarderai ça au jour.

Pelusse · Answer

Merci encore de ton aide Lyonnais92.

Voici ce que repère encore MBAM (lancé encore une fois) / 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

Je viens de vérifier, le fichier existe encore...

Sinon voici le log de RSIT :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Pelusse at 2009-04-29 00:08:02
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 20 GB (65%) free of 30 GB
Total RAM: 2047 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:08:04, on 29/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\system32\svchost.exe
G:\Jeux\Steam\Steam.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\FlashGet\flashget.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
E:\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Pelusse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Steam] "G:\Jeux\Steam\Steam.exe" -silent
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\2461675048.exe (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &d&ownload &with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &d&ownload all video with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &d&ownload all with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: ajouter à kaspersky anti-banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: (no name) - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - (no file)
O11 - Options group: [java_sun] Java (Sun)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

Lyonnais92 · Answer

Bonjour,

sauvegarde tes données personelles les plus importantes.

Ne sauvegarde aucun fichier .exe ou .scr

===========

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O4 - HKUS\.DEFAULT\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\2461675048.exe (User 'Default user') 

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis. 

============

Via l'explorateur Windows, supprime :

C:\WINDOWS\TEMP\2461675048.exe
C:\WINDOWS\system32\loader49.exe

et (si tu ne sais pas ce que c'est) 

C:\WINDOWS\system32	ftysqer.txt

Vide ta Corbeille.

===============

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\userinit.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant  


On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.


========

Pense-bête (pour moi)

http://www.prevx.com/filenames/X5876809952841623-X1/LOADER49.EXE.html

https://www.symantec.com?md5=1a983e8262f1ef943452e8b8be6926ac

Lyonnais92 · Answer

Bonjour,

le formatage ne devrait concerner qaue ta partition système.

pour les autres, si nécessaire, on vérifiera qu'il n'y a pas de fichiers infectés.

On va attendre le résultat de VirusTotal pour voir si tu as un FileInfector (ennuyeux) ou un bête trojan.

Pelusse · Answer

Bonsoir Lyonnais92,

Bon j'ai suivi tes instructions :
O4 - HKUS\.DEFAULT\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\2461675048.exe (User 'Default user')
Fix checked OK

C:\WINDOWS\TEMP\2461675048.exe 
pas trouvé, probablement déjà supprimé

C:\WINDOWS\system32\loader49.exe 
supprimé

C:\WINDOWS\system32	ftysqer.txt
je n'ai pas retrouvé ce fichier...

J'ai analysé le fichier userinit.exe via virus total (je crois que 14/30 ont détecté ce fichier comme dangereux... mais je ne puis affiché le log car l'étape suivante est bloquée.
En effet, j'ai poursuivi avec ComboFix comme détaillé sur le site dont tu m'as indiqué l'URL. J'ai coupé tous mes logiciels de protections (Kaspersky et SpyBot). Je l'ai lancé... il a coincé sur l'installation de la console de récupération. Il a néanmoins poursuiv, a redémarré tout seul et là après le redémarrage (lors duquel la plupart de mes applications se sont lancées) il est bloqué sur la phase de préparation du compte rendu. Cela fait déjà 20-25 minutes qu'il y est.
Dois je faire quelque chose ?

Merci,

Pelusse · Answer

J'ai oublié de préciser que je n'ai lancé aucune application. J'écris en ce moment même de mon laptop, raison pour laquelle je ne puis copier le log de VirusTotal.

Lyonnais92 · Answer

Re,

on attend encore un peu.

Lyonnais92 · Answer

Re,

essaye de lancer le Gestionnaire des tâches (Ctrl Alt et Suppr) et de terminer Combofix.

Pelusse · Answer

Re,
Je n'arrive pas à terminer l'application. La fermeture de la tâche ne fonctionne pas et je ne connais pas le processus à killer.

Lyonnais92 · Answer

Re,

est ce toujours avec le gestionnaire, la fonction Arreter puis fermer la session fonctionne ?

sinon, Arreter et redémarrer

Pelusse · Answer

Euuhhh en fait je viens de rouvrir ma session et il y a toujours la fenêtre ComboFix (compte rendu en cours de préparation). Je ne sais pas si c'est la même que tout à l'heure mais ce coup ci, aucune autre applicationne semble lancée. Je ne vois même pas la barre des tâches. Je laisse tourner ?

Lyonnais92 · Answer

Re,

Gestionnaire des taches, Arrêter et Redémarrer.

Pelusse · Answer

Re, Redémarrage effectué. Au reboot, j'ai fait un MBAM juste pour vérifier et ca a nettoyé encore des trucs infectés (dont un Worm en plus du trojan). Je suis à nouveau sur mon PC fixe. J'en profite pour mettre le log de VirusTotal (pas de ComboFix.txt dans le C: je viens de vérifier) : Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.101 2009.04.29 Trojan.Crypt!IK AhnLab-V3 5.0.0.2 2009.04.29 - AntiVir 7.9.0.156 2009.04.29 TR/Crypt.XPACK.Gen Antiy-AVL 2.0.3.1 2009.04.29 - Authentium 5.1.2.4 2009.04.29 - Avast 4.8.1335.0 2009.04.28 Win32:Rootkit-gen AVG 8.5.0.287 2009.04.29 Win32/Cryptor BitDefender 7.2 2009.04.29 - CAT-QuickHeal 10.00 2009.04.29 (Suspicious) - DNAScan ClamAV 0.94.1 2009.04.29 - Comodo 1141 2009.04.29 - DrWeb 4.44.0.09170 2009.04.29 Trojan.DownLoad.33511 eSafe 7.0.17.0 2009.04.27 Suspicious File eTrust-Vet 31.6.6482 2009.04.29 - F-Prot 4.4.4.56 2009.04.29 - F-Secure 8.0.14470.0 2009.04.29 - Fortinet 3.117.0.0 2009.04.29 PossibleThreat GData 19 2009.04.29 Win32:Rootkit-gen Ikarus T3.1.1.49.0 2009.04.29 Trojan.Crypt K7AntiVirus 7.10.719 2009.04.29 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2009.04.29 - McAfee 5600 2009.04.29 - McAfee+Artemis 5600 2009.04.29 Artemis!7A18B8DE4B1B McAfee-GW-Edition 6.7.6 2009.04.29 Trojan.Crypt.XPACK.Gen Microsoft 1.4602 2009.04.29 - NOD32 4043 2009.04.29 - Norman 6.01.05 2009.04.29 - nProtect 2009.1.8.0 2009.04.29 - Panda 10.0.0.14 2009.04.28 - PCTools 4.4.2.0 2009.04.29 - Prevx1 3.0 2009.04.29 - Rising 21.27.22.00 2009.04.29 - Sophos 4.41.0 2009.04.29 Mal/FakeVirPk-A Sunbelt 3.2.1858.2 2009.04.28 - Symantec 1.4.4.12 2009.04.29 - TheHacker 6.3.4.1.317 2009.04.29 - TrendMicro 8.950.0.1092 2009.04.29 - VBA32 3.12.10.3 2009.04.29 - ViRobot 2009.4.29.1715 2009.04.29 - VirusBuster 4.6.5.0 2009.04.29 - Information additionnelle File size: 104960 bytes MD5...: 7a18b8de4b1bf4abd43a71c583cc846d SHA1..: 18ce6d4da6f286c31ce3a30a2fd802072a3e5c9a SHA256: 88ab911f188c385b1574c93a4b1f3a81f8b4932694ade503351c75a54f30df10 SHA512: e3ff853e622037553d9f926fec2c2062c9ab3ac3502a86f68cbc0aeb0c9d8bb7 602875573c50177d1d26f1628c3e01a7d7576c0798033b4cf3fc8ddbcccc9590 ssdeep: 1536:8b5eoK3vFErTMlSXqA37AetczZlPRLuD8GfbmXLx884MZZiA4gifYr8O4C0 4UIHo:+Uv236M0eazZrMfGLe84MDL4giwBpI PEiD..: - TrID..: File type identification Clipper DOS Executable (33.4%) Generic Win/DOS Executable (33.2%) DOS Executable Generic (33.1%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set - ThreatExpert info: https://www.symantec.com?md5=7a18b8de4b1bf4abd43a71c583cc846d Que dois je faire désormais ? ComboFix ? Merci encore pour ton aide et ta patience,

Lyonnais92 · Answer

Re,

avant de relancer Combofix, pas mal de choses à faire.

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

Réessaye de supprimer 

C:\WINDOWS\TEMP\2461675048.exe

C:\WINDOWS\system32	ftysqer.txt 

==========================================
Télécharge cet outil de SiRi:

http://siri.urz.free.fr/RHosts.php

Double cliquer dessus pour l'exécuter

et cliquer sur " Restore original Hosts " 

============================================

 Télécharge LSPfix ici :
http://www.cexx.org/LSPFix.exe

Lance LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.
Coche la case "I know what I'm doing" ("Je sais ce que je fais" ).
Sélectionne toutes les instances de la dll suivantes :

c:\windows	emp
tdll64.dll 

et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".

Clique sur le bouton [Finish].

===========================================

Poste le dernier rapport de MBAM.

=============================================

Fais redémarrer l'ordi et poste un nouveau rapport RSIT.

Pelusse · Answer

Bonsoir,
Je n'ai pas de nouvelles instructions depuis quelques jours. Que dois je faire pour finir d'éradiquer le trojan ? Pour l'instant il semble maitriser (avec qqes scans de MBAM) mais autant en finir avec ce cheval bien ennuyant :)
Merci d'avance,

Lyonnais92 · Answer

Bonsoir,

Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"


Désinstalle Spybot S&D via le panneau de configuration, il va gêner la désinfection.

Tu le réinstalleras à la fin si tu souhaites.

Supprime aussi le répertoire C:\Program Files\Spybot - Search & Destroy 

=======================
Relance HijackThis (par un double clic sur C:\Program Files\Trend Micro\HijackThis\Pelusse.exe).

Choisis Do a scan only

Coche la case devant les lignes suivantes

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)  
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\ 
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\   


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis. 

==========================

Relance MBAM et mets en quarantaine ce qu'il te trouve.

Reboote l'ordi.

========================

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

Lyonnais92 · Answer

Re,

supprime ces lignes avec Hijackthis :

O2 - BHO: (no name) - {a5366673-e8ca-11d3-9cd9-0090271d075b} - (no file)
O2 - BHO: (no name) - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) 

=============

privilégie tes clés USB (sur les DD externes). Ce que je cherche porte a priori sur le DD.

Lyonnais92 · Answer

Re,


Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir


# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi Exécuter en tant qu'administrateur .

# Choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

==============

On va refaire une tentative avec Combofix.

Démarrer, Exécuter, tape combofix /u dans la zone de saisie puis clique sur OK.

Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

Pelusse · Answer

J'ai oublié de préciser : le trojan détecté par Kaspersky est Trojan-Clicker.Win32.Costrat.gb. je ne sais si cela peut aider.

Lyonnais92 · Answer

Re,

kaspersky le détecte dans quel fichier ?

Je regarde le rapport Combofix.

Lyonnais92 · Answer

Re,

tu peux poster le rapport de Kaspersky ?

Lyonnais92 · Answer

Bonjour,

je vois mieux le problème.

Fais ceci.

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : userinit
- Type de recherche : sélectionne l'option 3 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

=============

Ouvre ce lien : WinMD5 de S!Ri

Clique sur download et enregistre le fichier sur ton Bureau.

Dézippe le dans un répertoire ad hoc.

Double clique sur WinMD5.exe qui se trouve dans ce nouveau répertoire.

En t'aidant du tuto du lien, calcule le MD5 de chacun des fichiers userinit.exe du rapport de OAD.

Copie les résultats dans ta réponse.

Lyonnais92 · Answer

Re,

pas simple.

Le fichier c:\WINDOWS\system32\userinit.exe   est sain.

On va regarder du côté des rootkits.

1. Télécharge The Avenger par Swandog46 sur le Bureau
 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau



Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.  
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger.  Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Lyonnais92 · Answer

Re,

désolé pour la phrase; elle est en trop.

Fais la manip en l'oubliant.

Si tu as un doute, fais un USBFix choix 1 avec la clé et poste le rapport.

Angelo06000 · Answer

Salut,
Je suis bien callé en informatique, alors si tu as besoin de n'importe quel information sur les Virus n'hésite pas pour me contacter et poser une question ! 
Tu peux me contacter à cette adresse Messenger : palagonia06000@live.fr
J'ai eu un CH3 il n'y à même pas 3 semaines, tu peux télécharger de très bon Antin-Virus gratuit comme AVG ! 
Je te conseille AVG car il détecte les Virus et les répares (ou proposition de mise en quarantaine du Virus).
Il dispose aussi des fonctionnalités suivantes : 
 1. Anti-Virus.
 2. Anti-Spyware.
 3. Scanner E-Mail (cette fonctionnalité ne te servira pas beaucoup si tu as déjà le Scanner Mail sur ton Messenger)
 4. Licence.
 5. Linck Scanner.
 6. Bouclier Résident.
 7. Mise à Jour.

Il renforce aussi ton pare-feu ! 
J'espère que toutes mes informations t'ont servient ! 
Bye bye !

Lyonnais92 · Answer

Salut,

hé, le calé en informatique, tu connais des AV qui ne font pas ça :

il détecte les Virus et les répares (ou proposition de mise en quarantaine du Virus).  ?

=========

Pas besoin de ton MSN.

Si tu as une proposition sérieuse à faire, tu la fais ici, en public sur le forum.

==============

Pelusse, tu as bien compris que la publicité du forum est ta garantie contre la malveiilance..

Lyonnais92 · Answer

Pelusse,

The Avenger a bien scanné à la recherche de rootkit.

Il n'a rien trouvé.

On va nettoyer les outils et faire le point.

=============================
Démarrer, Exécuter, tape combofix /u dans la zone de saisie puis clique sur OK.

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

====================

Fais redémarrer l'ordi et refais un scan Kaspersky.

J'aimerai bien avoir un rapport.

Pelusse · Answer

Bonsoir,

Désolé de n'avoir pu être plus présent hier soir mais mon FAI m'a fait défaut : je n'avais plus de connection internet... enfin c'est de retour :)
J'ai eu peur que qqch ait flingué mon modem ou ma connection mais ca me semblait peu plausible qd mm...

Voici le rapport de ToolsCleaner :

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\avenger.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Combofix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Pelusse\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Pelusse\Bureau\avenger.exe: trouvé !
C:\Documents and Settings\Pelusse\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Pelusse\Recent\HijackThis.lnk: trouvé !
C:\Documents and Settings\Pelusse\Recent\UsbFix.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !


Fichiers temporaires nettoyés !
---------------------------------
--> Suppression: 
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Pelusse\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Pelusse\Bureau\avenger.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\avenger.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Pelusse\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Je lance une analyse rapide de Kaspersky et ca me trouve (désolé, j'avais zappé ton premier message demandant déjà un rapport kaspersky) :
08/05/2009 19:05:36	Détectés: Trojan-Clicker.Win32.Costrat.gb	System Memory		

Je fais ignorer (deux fois, car détectés 2 fois) car sinon ca tente de le supprimer et de redémarrer le PC mais ca n'y change rien, car après le redémarrage, le trojan est toujours présent.

Je ne sais que faire. En attendant, je vais vérifier via USBFix (il marche toujours non ?) ma clé USB et les disques externes que mon pote m'a rendu (je pensais qu'ils étaient clean mais il m'a dit détecter au moins un trojan sur ma clé USB - je l'avais prévenu).
Si sur mon laptop, ni Kaspersky ni MBAM ne détectent rien, puis-je en déduire qu'il est clean ? 

Merci encore pour ton aide d'expert, Lyonnais92.

Angelo06000 · Answer

Derien y'a pas de problème !

Lyonnais92 · Answer

Bonjour,
 
on va utiliser un outil de Kaspersky.

Je ne sais pas si l'outil va apparaître en français ou en anglais.

Lance Kaspersky et clique sur "Support" dans l'angle bas gauche de la fenêtre principale. Puis clique sur "Support Tools" (outil de support ?). Une nouvelle fenêtre va s'ouvrir. Sous "Actions", tu vas trouver un bouton intitulé "Create system state report" (Créer un rapport d'état du système). Clique sur ce bouton pour créer le rapport de AVZ Sysinfo.

A la fin de l'analyse, clique sur "View" (Voir ?) pour ouvrir le rapport. Il est situé dans le répertoire C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\AVZ sous le nom sysinfo.zip.

CCM ne permet pas d'attacher un fichier. Pour me le transmettre, clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

(si tu ne peux pas accéder au lien et lire le fichier en exécutant "Cliquez droit sur le lien ci-contre pour enregistrer le fichier" sur le texte en bleu "Faire son message.txt" ), il faut que tu coches "rendre ce fichier public". Sinon, tu laisses non coché.
 
est ajouté dans la page.

Copie ce lien dans ta réponse.

==============

Si tu peux me dire ce qui correspond à ce que tu as du faire et qui ne correspond pas à ce que j'ai écrit  comme consigne (mauvais libellé par exemple), tu me rendrais service (ainsi qu'à ceux à qui je ferai exécuter le même outil).

Lyonnais92 · Answer

Re,

c'est bien le bon Kaspersy.

Tu n'as pas le mot Support quelque part en bas à gauche ?

Pelusse · Answer

Ok en effet, tu avais raison, ca existe bien. :)
En francais ca donne : en bas à gauche "Assistance technique". Une fenêtre apparaît avec "Outils d'assistance" (c'est ici que je n'ai pas bien regardé, désolé).
Nouvelle fenêtre avec "Créer le rapport sur l'état du système" et un bouton voir.

Voici le lien avec le fichier déposé :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijQ0riwtv.zip

Lyonnais92 · Answer

Re,

merci des précisions.

pas grand chose, sauf une ligne "bizarre" dans Modules de l'espace du noyau.

On va essayer de l'éliminer mais je ne garantis pas car il n'y a pas de fichier "reconnaissable".

Fais ceci :

Lance Kaspersky et clique sur "Support" (Assistance technique) dans l'angle bas gauche de la fenêtre principale. Puis clique sur "Support Tools" (Outils d'assistance).Une nouvelle fenêtre va s'ouvrir. Sous "Outils d'assistance", tu vas trouver un bouton intitulé ""Execute AVZ script" . Clique sur ce bouton pour ouvrir la fenêtre des scripts. 

 A cette étape, vérifie que tu as fermé toutes les applications autres que Kaspersky et sauvergardé les données.

Copie le texte ci-dessous dans la fenêtre  :

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 BC_DeleteFile('.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


Enfin, clique sur "Execute" pour exécuter le script. N'utilise pas l'ordi tant que le script est en cours d'exécution et attends la fin de son exécution ou que l'ordi ait redémarré pour achever le travail. 

Tutoriel en image (version anglaise) :

http://forum.kaspersky.com/index.php?s=&showtopic=69276&view=findpost&p=678328

La aussi, mes explications peuvent ne pas correspondre. Si tu peux me préciser, encore merci (il me semble qu'il manque une étape).



@+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauver. Ne formatez pas !

Lyonnais92 · Answer

Bonjour,

1) merci des précisions sur la suite des évènements. Ca m'est très utile.

2) j'avais peu d'espoir que le script résolve le problème.

3) Hijackjthis est inutile pour ton problème. AVZ est beaucoup plus puissant.

4) MBAM ne détecte rien.

5) Tu peux vérifier tes clés USB quand tu veux. Tu postes le rapport d'analyse (avant de nettoyer).

6) On va essayer un autre antispyware. Si il ne donne pas de résultat, j'activerai mon réseau car je suis au bout de ce que je peux proposer.

7) Télécharge Superantispyware (SAS) en cliquant sur ce lien :

https://www.superantispyware.com/superantispywarefreevspro.html

Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche   C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.

Lyonnais92 · Answer

Bonjour,

OK, ma faute, j'aurais du le voir au post 34 (il y est). Il est aussi dans le rapport de AVZ.

Tu peux scanner tes clés USB.

Quand ça sera fait, on pourra nettoyer l'ordi de tous les programmes que je t'ai fait ajouter.

Pelusse · Answer

Bonsoir Lyonnais92, désolé de n'avoir pu répondre plus tôt. J'ai été fortement occupé ces derniers jours et soirs. 
Je vais tâcher de scanner mes disques externes et clés USB au plus vite pour en poster les rapports. Merci encore de ton aide et ta patience.

Pelusse · Answer

Bonsoir,

J'ai enfin pu récupérer hier ma second clé USB que je souhaitais tester.
Voici le log d'USB Fix (après avoir branché tous les disques que j'ai utilisés disons 1-2 semaines avant d'avoir choppé ce trojan) :

############################## [ UsbFix V3.016 # Scan ]

# User : Pelusse (Administrateurs) # PLUSHIE
# Update on 02/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 01:07:38 | 17/05/2009

# Intel(R) Core(TM)2 Duo CPU     E6750  @ 2.66GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : Kaspersky Internet Security 8.0.0.357 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ Enabled ]8.0.0.357

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 29,29 Go (20,46 Go free) [Windows] # NTFS
# D:\ # Disque fixe local # 214,84 Go (10,68 Go free) [Series & Misc] # 

NTFS
# E:\ # Disque fixe local # 221,62 Go (63,67 Go free) [Storage] # NTFS
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 123,96 Go (76,24 Go free) [Jeux] # NTFS
# H:\ # Disque fixe local # 341,8 Go (77,27 Go free) [Movies] # NTFS
# I:\ # Disque CD-ROM # 6,74 Go (0 Mo free) [DOW2] # CDFS
# J:\ # Disque CD-ROM
# K:\ # Disque fixe local # 465,76 Go (109,55 Go free) [Downloads] # NTFS
# L:\ # Disque amovible # 7,49 Go (4,25 Go free) [CORSAIR] # FAT32
# M:\ # Disque amovible # 7,6 Go (6,95 Go free) # FAT32
# N:\ # Disque fixe local # 931,28 Go (52,8 Go free) [BOOK IV] # FAT32
# O:\ # Disque fixe local # 698,64 Go (288,55 Go free) [My Book] # NTFS
# P:\ # Disque fixe local # 931,51 Go (316,12 Go free) [My Book] # NTFS
# Q:\ # Disque fixe local # 298,09 Go (296,32 Go free) [IOMEGA HDD] # 

NTFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\Documents and Settings\Pelusse\Local Settings\Application 

Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe

################## [  Registre # Startup ]

HKCU_Main:  "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:  "Search 

Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:  "Start 

Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" 
HKLM_logon: "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon: "DefaultUserName"="Pelusse" 
HKLM_logon: "AltDefaultUserName"="Pelusse" 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 
HKLM_Run:    NvCplDaemon=RUNDLL32.EXE 

C:\WINDOWS\system32\NvCpl.dll,NvStartup 
HKLM_Run:    nwiz=nwiz.exe /install 
HKLM_Run:    NvMediaCenter=RUNDLL32.EXE 

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
HKLM_Run:    DAEMON Tools-1033="C:\Program Files\D-Tools\daemon.exe"  

-lang 1033 
HKLM_Run:    WinampAgent=C:\Program Files\Winamp\winampa.exe 
HKLM_Run:    AudioDrvEmulator="C:\Program Files\Creative\Shared 

Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program 

Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" 
HKLM_Run:    CTHelper=CTHELPER.EXE 
HKLM_Run:    CTxfiHlp=CTXFIHLP.EXE 
HKLM_Run:    UpdReg=C:\WINDOWS\UpdReg.EXE 
HKLM_Run:    RTHDCPL=RTHDCPL.EXE 
HKLM_Run:    SkyTel=SkyTel.EXE 
HKLM_Run:    LVCOMSX=C:\WINDOWS\system32\LVCOMSX.EXE 
HKLM_Run:    LogitechVideoRepair=C:\Program 

Files\Logitech\Video\ISStart.exe  
HKLM_Run:    LogitechVideoTray=C:\Program 

Files\Logitech\Video\LogiTray.exe 
HKLM_Run:    ElbyCheckElbyCDFL="C:\Program Files\Elaborate 

Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL 
HKLM_Run:    SunJavaUpdateSched="C:\Program 

Files\Java\jre6\bin\jusched.exe" 
HKLM_Run:    AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet 

Security 2009\avp.exe" 
HKLM_Run:    

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\Optional

Components= 
HKCU_Run:    SuperCopier2.exe=C:\Program 

Files\SuperCopier2\SuperCopier2.exe  
HKCU_Run:    LogitechSoftwareUpdate="C:\Program 

Files\Logitech\Video\ManifestEngine.exe" boot  
HKCU_Run:    Google Update="C:\Documents and Settings\Pelusse\Local 

Settings\Application Data\Google\Update\GoogleUpdate.exe" /c  
HKCU_Run:    Messenger (Yahoo!)="C:\Program 

Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet  
HKCU_Run:    Steam="G:\Jeux\Steam\Steam.exe" -silent  
HKCU_Run:    SUPERAntiSpyware=C:\Program 

Files\SUPERAntiSpyware\SUPERAntiSpyware.exe  

################## [ Informations ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# H:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# K:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# P:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## [ Fichiers # Dossiers infectieux ]

Found ! I:\Setup.exe  
Found ! I:\autorun.inf  

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

# -> Not Found !  

################## [ ! Fin du rapport # UsbFix V3.016 ! ] 


Le lecteur I est mon lecteur DVD avec un jeu commercial dedans. C'est toujours le même DVD et il avait été déjà détecté comme infectieux la dernière fois.

SuperAntiSpyware est encore installé sur mon PC. Dois je le conserver ?

Merci de ton aide,

Lyonnais92 · Answer

Bonjour,

le rapport USB est propre (puisque I est un lecteur CD).

Tu peux supprimer SuperAntiSpyware. Tu gardes MBAM.

On va éliminer les outils.

Si on a utilisé Combofix :

Démarrer, Exécuter, tape combofix /u dans la zone de saisie puis clique sur OK.

Dans tous les cas :

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Pelusse · Answer

Bonjour,

J'ai désinstallé SuperAntiSpyware. Combofix avait déjà été désinstallé auparavant sur ton conseil. 

Voici le log de toolscleaner :
[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !

---------------------------------
--> Suppression: 

C:\UsbFix.txt: supprimé !

On l'avait déjà lancé auparavant.

Merci encore de ton aide,
Bon dimanche

Lyonnais92 · Answer

Bonjour,

supprime ToolsCleaner sur ton Bureau et C:\TCleaner.txt.

Il faut mettre à jour ton système.

Internet explorer en premier, Windows (SP3) ensuite :

démarrer, Aide et Support, Maintenez votre ordinateur ..., tu suis les instructions et tu cherches la mise à jour de IE puis celle de Windows.

Allo ici Troie, détectons cheval de Troie...

47 réponses

Discussions similaires