Cheval de Troie à supprimer!!!

CCleaner ne détecte en erreur de registre que les extension invalide mais ne les répare pas.
Voici mon rapport sur Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:32:07, on 16/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\COCO\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://xis.dyndns.org:2000/activex/RACtrl.cab
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Voillà le rapport :

Rapport GenProc 2.560 [1]
@ 16/05/2009 à 18:18:22
@ Windows XP Service Pack 2

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

Merci encore de ton aide

Voici le rapport :
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2142
Windows 5.1.2600 Service Pack 2

17/05/2009 08:21:16
mbam-log-2009-05-17 (08-21-16).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 115393
Temps écoulé: 1 hour(s), 18 minute(s), 59 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\quarantine\serial.exe.Vir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\quarantine\serial.exe.Vir.0 (Trojan.Downloader) -> Quarantined and deleted successfully.

Merci encore pour le coup de pouce.
Voici le rapport comme demandé :

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 05/18/2009 at 09:54 PM

Application Version : 4.26.1002

Core Rules Database Version : 3899
Trace Rules Database Version: 1845

Scan type : Complete Scan
Total Scan Time : 00:49:02

Memory items scanned : 406
Memory threats detected : 0
Registry items scanned : 4601
Registry threats detected : 0
File items scanned : 13835
File threats detected : 21

Adware.Tracking Cookie
C:\Documents and Settings\COCO\Cookies\coco@bs.serving-sys[2].txt
C:\Documents and Settings\COCO\Cookies\coco@bluestreak[1].txt
C:\Documents and Settings\COCO\Cookies\coco@ad.yieldmanager[2].txt
C:\Documents and Settings\COCO\Cookies\coco@mediaplex[2].txt
C:\Documents and Settings\COCO\Cookies\coco@aimfar.solution.weborama[1].txt
C:\Documents and Settings\COCO\Cookies\coco@ttbmanutan.solution.weborama[2].txt
C:\Documents and Settings\COCO\Cookies\coco@tradedoubler[1].txt
C:\Documents and Settings\COCO\Cookies\coco@ad.zanox[2].txt
C:\Documents and Settings\COCO\Cookies\coco@weborama[1].txt
C:\Documents and Settings\COCO\Cookies\coco@virginmobile.solution.weborama[2].txt
C:\Documents and Settings\COCO\Cookies\coco@advertising[2].txt
C:\Documents and Settings\COCO\Cookies\coco@doubleclick[1].txt
C:\Documents and Settings\COCO\Cookies\coco@247realmedia[2].txt
C:\Documents and Settings\COCO\Cookies\coco@atdmt[2].txt
C:\Documents and Settings\COCO\Cookies\coco@serving-sys[1].txt
C:\Documents and Settings\COCO\Cookies\coco@smartadserver[1].txt
C:\Documents and Settings\COCO\Cookies\coco@apmebf[2].txt
C:\Documents and Settings\COCO\Cookies\coco@xiti[1].txt
C:\Documents and Settings\COCO\Cookies\coco@adtech[1].txt

Trojan.Downloader-Gen/Suspicious
C:\GENPROC\OUTIL\MBR.EXE
C:\WINDOWS\Prefetch\MBR.EXE-15F95684.pf

Que dois je faire ensuite??

Merci

guigui13

Merci encore pour le coup de pouce.
Voici le rapport comme demandé :

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 05/18/2009 at 09:54 PM

Application Version : 4.26.1002

Core Rules Database Version : 3899
Trace Rules Database Version: 1845

Scan type : Complete Scan
Total Scan Time : 00:49:02

Memory items scanned : 406
Memory threats detected : 0
Registry items scanned : 4601
Registry threats detected : 0
File items scanned : 13835
File threats detected : 21

Adware.Tracking Cookie
C:\Documents and Settings\COCO\Cookies\coco@bs.serving-sys[2].txt
C:\Documents and Settings\COCO\Cookies\coco@bluestreak[1].txt
C:\Documents and Settings\COCO\Cookies\coco@ad.yieldmanager[2].txt
C:\Documents and Settings\COCO\Cookies\coco@mediaplex[2].txt
C:\Documents and Settings\COCO\Cookies\coco@aimfar.solution.weborama[1].txt
C:\Documents and Settings\COCO\Cookies\coco@ttbmanutan.solution.weborama[2].t­xt
C:\Documents and Settings\COCO\Cookies\coco@tradedoubler[1].txt
C:\Documents and Settings\COCO\Cookies\coco@ad.zanox[2].txt
C:\Documents and Settings\COCO\Cookies\coco@weborama[1].txt
C:\Documents and Settings\COCO\Cookies\coco@virginmobile.solution.weborama[2]­.txt
C:\Documents and Settings\COCO\Cookies\coco@advertising[2].txt
C:\Documents and Settings\COCO\Cookies\coco@doubleclick[1].txt
C:\Documents and Settings\COCO\Cookies\coco@247realmedia[2].txt
C:\Documents and Settings\COCO\Cookies\coco@atdmt[2].txt
C:\Documents and Settings\COCO\Cookies\coco@serving-sys[1].txt
C:\Documents and Settings\COCO\Cookies\coco@smartadserver[1].txt
C:\Documents and Settings\COCO\Cookies\coco@apmebf[2].txt
C:\Documents and Settings\COCO\Cookies\coco@xiti[1].txt
C:\Documents and Settings\COCO\Cookies\coco@adtech[1].txt

Trojan.Downloader-Gen/Suspicious
C:\GENPROC\OUTIL\MBR.EXE
C:\WINDOWS\Prefetch\MBR.EXE-15F95684.pf

Que dois je faire ensuite??

Merci

J'ai télécharger AVP tool mais j'ai bien l'impression que cela m'a plus fait du mal que autre chose...depuis je suis infecté avec Trojan.Win32.Inject.ba!!!!!!!!!!!!!!!
AVP l'a detecté... je n' y comprend plus rien

Est-tu là pour m'aider ou me pourrir plus mon ordi??

Du coup j'ai demandé à AVP de me supprimer le fichier Trojan.Win32.Inject.ba
Il l'a fait.

Que dois je faire pour être sûr que mon ordi n'est plus infecté.
D'autre part quand je vais dans le fichier quarantaine de mon antivirus Mc Afee, je retrouve encore les fichiers suivants et je ne peux pasles supprimer :

clifedo[1].htm.Vir
clifedo[1].htm.Vir.0
infected.log

Mais bien sûr :

guigui13 vide ta quarante McAfee et relance un scan. Ca devrait être bon.
Sinon, pour la quarantaine, si tu ne trouves pas, tu peux vider le répertoire : C:\quarantine

@+

c'est sympa à tout les deux d'essayer de me sortir de la galère...
Mais je ne pourrai suivre les conseils que d'une personne à la fois.

Effectivement Mcafee a détecté les virus et les a placé dans la quarantaine sous C: mais il ne veux pas les supprimer et ci je souhaite les supprimer moi même en allant dans le répertoire c'est également impossible.

Donc repartons de zéro.

voici un scan hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:27:50, on 22/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\COCO\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://xis.dyndns.org:2000/activex/RACtrl.cab
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Bonjour Marie,

Sinon si la purge n'existe pas un OTmoveIT de :

c:\quarantine\clifedo[1].htm.Vir
c:\quarantine\clifedo[1].htm.Vir.0
c:\quarantine\infected.log

Et hop!


ciao!