Virus "yqlkimck.fy" détecté par Avira

Résolu
kwan-13 -  
 gen-hackman -
Bonjour,
j'ai depuis peu un élément qui est détecté par Avira (Free Version) comme un troyan : yqlkimck.fy
Malgré les tentatives de suppression je n'ai pas réussi à m'en débarrasser.
J'ai lancé un scan par Malwarebytes'Anti-Malware (qui ne trouve rien) , un scan par Avira (qui ne trouve rien) , et un nettoyage par CCleaner (registre et nettoyeur) : aucun avertissement.

De plus (je ne sais pas si les 2 problèmes sont liés) mais par moment le son "Windows XP Arrêt critique.wav" se déclenche sans raison apparente.

Je vous remercie d'avance pour vos réponses et votre aide
Configuration: Windows XP
Firefox 3.5.5

18 réponses

Résumé de la discussion

Une personne signale qu'Avira (version gratuite) détecte un cheval de Troie nommé yqlkimck.fy sur un PC Windows XP, malgré les scans et nettoyages qui ne trouvent rien. Plusieurs réponses conseillent des outils et méthodes complémentaires: ATF Cleaner et ToolsCleaner2 pour nettoyer les traces, CCleaner avec nettoyage et réparation du registre, puis mise à jour de Java et évocation de pare-feu. D'autres messages proposent des outils supplémentaires (Smitfraudfix, Online Armor) et rappellent de vérifier les extensions et versions logicielles, tout en signalant qu'aucune conclusion sur l'état du problème ne peut être tirée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    non c'est bon

    ▶ Télécharge :ATF Cleaner par Atribune

    Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme.
    Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected
    Si tu utilises le navigateur Firefox :
    Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected a
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité.
    Si tu utilises le navigateur Opera :
    Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité.
    Clique Exit, du menu prinicipal, afin de fermer le programme.
    Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

    __________________________________________________

    Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés
    __________________________________________________

    ▶---> Télécharge ToolsCleaner2sur ton Bureau.
    * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer.
    * Clique sur Recherche et laisse le scan agir.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options Facultatives.
    * Clique sur Quitter pour obtenir le rapport.
    * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
    ________________________________________________

    Tu peux supprimer ToolCleaner
    _________________________________________________

    ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :

    * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
    * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman)
    __________________________________________________

    Attention : ne pas toucher au PC pendant qu'il travaille !

    ▶ Nettoyage et Défragmentation de tes Disques

    *Nettoyage :

    Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
    Cliques sur le bouton "nettoyage de disque", OK
    tu le fais pour chacun de tes disques
    ________________________________________________

    *Vérifications des erreurs :

    Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
    "Vérifier maintenant", une boîte s'ouvre, cocher les cases :
    -réparer automatiquement les erreurs...
    -rechercher et tenter une récupération...

    --->Démarrer, ok
    Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
    tu le fais pour chacun de tes disques
    ________________________________________________

    ensuite toujours dans le même onglet tu choisis :

    *Défragmentation :
    "défragmenter maintenant", OK
    une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
    tu le fais pour chacun de tes disques
    _______________________________________________

    Note : si tu as un utilitaire pour défragmenter , utilises le à la place

    pour ce faire Defraggler est proposé
    _________________________________________________

    ▶ Peux-tu vérifier ta Console Java ? :

    et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version).

    voici pour desinstaller :

    JavaRa

    Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
    * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
    * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
    * Choisis Français puis clique sur Select.
    * Clique sur Recherche de mises à jour.
    * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
    * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
    * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
    * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
    * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
    * Ferme l'application.

    Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

    _________________________________________________

    ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure)
    __________________________________________________

    ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu :

    Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO

    https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/
    https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html
    https://forum.pcastuces.com/sujet.asp?f=25&s=35606
    https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
    https://manuelsdaide.com/contact/
    http://www.open-files.com/forum/index.php?showtopic=29277
    https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/
    ___________________________________________________

    ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul
    _____________________________________________________

    ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine :

    * Lance le programme puis clique sur <Quarantaine>.
    * Sélectionne tous les éléments puis clique sur <supprimer>.
    * Quitte le programme.
    ______________________________________________________

    si tu as installé Antivir :

    Configuration
    ________________________________________________________

    ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait
    ______________________________________________________

    ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien :

    Lien XP

    Lien Vista

    Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Quelques conseils et recommandations pour l'avenir :

    ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC.
    ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser.
    * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise))
    _____________

    ▶ Pour bien protéger ton PC :
    [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware avec immunisation] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)]

    Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT
    Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT

    PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect....
    Les virus utilisent les failles de ton PC pour infecter un système

    dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens :

    Desinstaller Avast
    Desinstaller BitDefender
    Desinstaller Norton
    Desinstaller Kaspersky
    Desinstaller AVG

    ou tout en un :

    Désinstallation Antivirus , Parefeu , Antispyware
    _____________

    SpywareBlaster = petit logiciel qui bloque l'installation d'activeX nuisibles au PC.(Fonctionne en arrière plan)

    ____________

    Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC)
    ___________

    Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver
    ___________

    si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché"

    ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    * - Décoche Afficher les fichiers et dossiers cachés
    * - coche Masquer les extensions des fichiers dont le type est connu
    * - coche Masquer les fichiers protégés du système d'exploitation (recommandé)

    ▶ clique sur Appliquer, puis OK.
    ____________

    Voila,

    Bonne lecture, à bientot , une fois tout ceci fait,

    tu peux mettre le topic en resolu

    Bonne continuation et surtout , prudence et bon surf :)

    1
    1. kwan-13
       
      voici déja le rapport de ToolsCleaner2 :

      [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

      --> Recherche:

      C:\UsbFix.txt: trouvé !
      C:\UsbFix: trouvé !


      Corbeille vidée!
      Fichiers temporaires nettoyés !
      0
  2. gen-hackman
     
    j'ai voulu installer OnlineArmor, mais il semble que c'est uniquement une version d'essai (il y a écrit : "29 jours restant pour la période d'évaluation") pourtant j'ai utilisé la clef qu'il y avait sur la page de téléchargement.

    ah ? moi on m'a rien demandé...??

    tuto online armor : https://www.malekal.com/tutorial-online-armor-free/
    tuto spywareguard : https://www.zebulon.fr/dossiers/securite/47-spywareguard.html

    pour spywareblaster je ne pense pas que ce soit necessaire en fait

    1
    1. kwan-13
       
      ok tout s'éclaircit :)

      Merci et à bientôt (enfin pas pour des problèmes j'espère)
      0
  3. Al-catraz Messages postés 1625 Statut Membre 283
     
    Si Avira dit qu'il y a un trojan et que si tu fais un scan avec Avira et qu'il n'a rien. C'est que soit Avira est idiot ce qui m'étonnerai, soit il n'y a pas de trojan.
    0
  4. kwan-13
     
    Bonjour,
    Avira détecte le virus en mode "Guard" et me demande de sélectionner une action à effectuer, je décide de supprimer. Une fois que c'est fait, le scan ne détecte plus rien mais quelque temps après le même problème revient.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    salut :

    ▶ Télécharge et install UsbFix par Chiquitine29

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    ▶ Double clic sur le raccourci UsbFix présent sur ton bureau .

    ▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    ▶ Laisse travailler l'outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
    1. kwan-13
       
      Bonjour gen-hackman et merci pour ton aide,
      cependant j'ai seulement 2 clefs USB (8Go chacune) et j'ai que j'ai pris soin de formater, nettoyer l'espace libre avec CCleaner , et j'ai utiliser "Eraser" par dessus avant de les utiliser et je ne les ai pas sorti de chez moi depuis.

      Si tu as besoin du détail sur le partitionnement des DD internes :
      C: et D: = meme DD (C: pour Windows, D: est ce qui reste)
      E: et G: = 2 DD de stockage

      Voici le rapport UBSFix,
      ---------------------------------------------------------------------------------------------------------------------------------

      ############################## | UsbFix V6.053 |

      User : Kwan (Administrateurs) # BOB
      Update on 14/11/2009 by Chiquitine29, C_XX & Chimay8
      Start at: 14:24:54 | 17/11/2009
      Website : http://pagesperso-orange.fr/NosTools/index.html
      Contact : FindyKill.Contact@gmail.com

      AMD Athlon(tm) XP 2200+
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 6.0.2900.5512
      Windows Firewall Status : Enabled
      AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

      C:\ -> Disque fixe local # 19,53 Go (8,09 Go free) # NTFS
      D:\ -> Disque fixe local # 92,25 Go (82,06 Go free) [Sys_reste] # NTFS
      E:\ -> Disque fixe local # 232,88 Go (214,46 Go free) [WD 230 Go] # NTFS
      F:\ -> Disque CD-ROM
      G:\ -> Disque fixe local # 189,91 Go (107,46 Go free) [Maxtor 190Go] # NTFS
      H:\ -> Disque CD-ROM
      I:\ -> Disque amovible # 7,82 Go (6,94 Go free) # FAT32
      J:\ -> Disque amovible # 7,45 Go (6,55 Go free) [STORE N GO] # FAT32

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe 644
      C:\WINDOWS\system32\csrss.exe 708
      C:\WINDOWS\system32\winlogon.exe 732
      C:\WINDOWS\system32\services.exe 776
      C:\WINDOWS\system32\lsass.exe 788
      C:\WINDOWS\system32\svchost.exe 960
      C:\WINDOWS\system32\svchost.exe 1036
      C:\WINDOWS\System32\svchost.exe 1132
      C:\WINDOWS\System32\svchost.exe 1188
      C:\WINDOWS\System32\svchost.exe 1320
      C:\WINDOWS\Explorer.EXE 1544
      C:\WINDOWS\system32\spoolsv.exe 1636
      C:\Program Files\Avira\AntiVir Desktop\sched.exe 1672
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1692
      C:\WINDOWS\system32\RUNDLL32.EXE 1820
      C:\WINDOWS\system32\rundll32.exe 1844
      C:\WINDOWS\System32\svchost.exe 1892
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1904
      C:\WINDOWS\system32\ctfmon.exe 1920
      C:\Program Files\SuperCopier2\SuperCopier2.exe 1932
      C:\WINDOWS\system32\svchost.exe 1096
      C:\WINDOWS\System32\svchost.exe 1116
      C:\WINDOWS\system32\nvsvc32.exe 1280
      C:\WINDOWS\System32\alg.exe 2212
      C:\WINDOWS\System32\rundll32.exe 3644
      C:\WINDOWS\System32\rundll32.exe 1684
      C:\WINDOWS\System32\rundll32.exe 3336
      C:\WINDOWS\System32\rundll32.exe 3636
      C:\Program Files\Mozilla Firefox\firefox.exe 2812
      C:\WINDOWS\System32\rundll32.exe 3668
      C:\WINDOWS\System32\rundll32.exe 3816
      C:\WINDOWS\System32\rundll32.exe 2472
      C:\WINDOWS\System32\rundll32.exe 2740
      C:\WINDOWS\System32\rundll32.exe 1760
      C:\WINDOWS\System32\rundll32.exe 2536
      C:\WINDOWS\System32\rundll32.exe 2816
      C:\WINDOWS\System32\rundll32.exe 252
      C:\WINDOWS\system32\wbem\wmiprvse.exe 3168

      ################## | Fichiers # Dossiers infectieux |


      ################## | Registre # Clés Run infectieuses |


      ################## | Registre # Mountpoints2 |


      ################## | Suspect | https://www.virustotal.com/gui/ |


      ################## | Cracks / Keygens / Serials |

      "E:\telechargement\Microsoft Windows 7 Ultimate\Cracks for x64 + x86\ALL WORKING ACTIVATORS\7Loader by Hazar 1.6\Loader.exe"
      16/11/2009 22:53 |Size 3541702 |Crc32 0ffe6c60 |Md5 c5c9d23958596a941c5044b2b5919963

      "E:\Installs de logiciels\AUTRES LOGICIELS\Stardock\Suite Stardock Bootskins Windowblind 149Themes Logonstudio Objetdock Windowfx Winstyle Rightclic Iconpackager Skinstudio Keygen Etc By Edbo.rar"
      -> contain : *Suite Stardock By EdBo.exe


      ################## | ! Fin du rapport # UsbFix V6.053 ! |
      ---------------------------------------------------------------------------------------------------------------------------------
      0
      1. kwan-13 > kwan-13
         
        encore une chose, dans le rapport je vois qu'il y a les crack que j'ai téléchargé (même si c'est pas bien...), mais le problème est antérieur à leur téléchargement
        0
  7. gen-hackman
     
    mets-malwarebytes à jour et fais un scan complet
    0
    1. kwan-13
       
      Voici le rapport de Malwarebyte (après la mise à jour) :

      -----------------------------------------------------------------------------------------------------------------------------
      Malwarebytes' Anti-Malware 1.41
      Version de la base de données: 3187
      Windows 5.1.2600 Service Pack 3

      17/11/2009 16:30:50
      mbam-log-2009-11-17 (16-30-50).txt

      Type de recherche: Examen complet (C:\|D:\|E:\|G:\|)
      Eléments examinés: 245820
      Temps écoulé: 46 minute(s), 6 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      -----------------------------------------------------------------------------------------------------------------------------
      0
      1. kwan-13 > kwan-13
         
        Au fait pendant le scan de Malwarebyte, Avira m'a encore alerté pour le troyan "yqlkimck.fy". Mais ça le fait aussi quand le scan ne tourne pas.
        0
  8. gen-hackman
     
    ▶ Télécharge Dr Web CureIt sur ton Bureau :

    ▶ redemarre en mode sans échec

    ▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

    ▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

    Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

    ▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
    ▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
    ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    ▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
    ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
    ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
    ▶- Ferme Dr.Web Cureit
    ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
    ▶- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

    0
    1. kwan-13
       
      ok je ferai ca demain soir , je te tien au courant
      0
  9. gen-hackman
     
    ok bonne soiree
    0
    1. kwan-13
       
      salut,
      j'ai essayé de faire la manip avec DrWeb, j'ai eu des problèmes donc en détail les étapes que j'ai faites :

      1) démarrer en mode sans échec
      2) ouvrir une session administrateur
      3) Lancer DrWeb
      4) analyse
      => ici le programme fait une "préparation de l'analyse" avec une barre d'avancement
      vers 70% de la barre je sais pas ce qui se passe mais l'ordi reboot sauvagement. Donc après CHDSK se lance comme à chaque fois que Windows est arrêté brutalement.

      Donc j'ai pas pu faire la suite de l'analyse et donc pas de rapport

      J'ai essayé de refaire la manip => pareil
      0
  10. gen-hackman
     
    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

    ▶ Télécharge List&Kill'em et enregistre le sur ton bureau

    ▶ dezippe-le , (clic droit/ extraire.....)

    Il ne necessite pas d'installation

    ▶double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

    choisis la langue puis choisis l'option 1 = Mode Recherche

    ▶laisse travailler l'outil

    ▶colle le contenu dans ta prochaine réponse , un fois la fenetre refermée :

    C:\List'em.txt
    0
    1. kwan-13
       
      Voici le rapport :

      List'em by g3n-h@ckm@n 1.0.5.3

      Thx to Chiquitine29.....

      User : Kwan (Administrateurs) # BOB
      Update on 15/11/2009 by g3n-h@ckm@n ::::: 20.30
      Start at: 21:35:07 | 18/11/2009
      Contact : g3n-h@ckm@n sur CCM

      AMD Athlon(tm) XP 2200+
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 6.0.2900.5512
      Windows Firewall Status : Disabled
      AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

      C:\ -> Disque fixe local | 19,53 Go (8,03 Go free) | NTFS
      D:\ -> Disque fixe local | 92,25 Go (84,24 Go free) [Sys_reste] | NTFS
      E:\ -> Disque fixe local | 232,88 Go (215,63 Go free) [WD 230 Go] | NTFS
      F:\ -> Disque CD-ROM
      G:\ -> Disque fixe local | 189,91 Go (107,64 Go free) [Maxtor 190Go] | NTFS
      H:\ -> Disque CD-ROM

      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus en cours

      C:\WINDOWS\System32\smss.exe 644
      C:\WINDOWS\system32\csrss.exe 708
      C:\WINDOWS\system32\winlogon.exe 732
      C:\WINDOWS\system32\services.exe 776
      C:\WINDOWS\system32\lsass.exe 812
      C:\WINDOWS\system32\svchost.exe 968
      C:\WINDOWS\system32\svchost.exe 1044
      C:\WINDOWS\System32\svchost.exe 1144
      C:\WINDOWS\System32\svchost.exe 1208
      C:\WINDOWS\System32\svchost.exe 1348
      C:\WINDOWS\Explorer.EXE 1556
      C:\WINDOWS\system32\spoolsv.exe 1648
      C:\Program Files\Avira\AntiVir Desktop\sched.exe 1700
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1720
      C:\WINDOWS\System32\svchost.exe 1820
      C:\WINDOWS\system32\RUNDLL32.EXE 1928
      C:\WINDOWS\system32\rundll32.exe 1940
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1988
      C:\WINDOWS\system32\ctfmon.exe 184
      C:\Program Files\SuperCopier2\SuperCopier2.exe 316
      C:\WINDOWS\system32\svchost.exe 664
      C:\WINDOWS\System32\svchost.exe 704
      C:\WINDOWS\system32\nvsvc32.exe 912
      C:\WINDOWS\System32\alg.exe 2148
      C:\Program Files\Mozilla Firefox\firefox.exe 3752
      C:\WINDOWS\System32\rundll32.exe 916
      C:\WINDOWS\system32\wscntfy.exe 2528
      E:\Installs de logiciels\SECURITE_MAINTENANCE\List&Killem\List_Kill'em.exe 3400
      C:\WINDOWS\system32\cmd.exe 1960
      C:\WINDOWS\system32\wbem\wmiprvse.exe 3096
      C:\Documents and Settings\Kwan\Local Settings\Temp\29.tmp\pv.exe 3192

      ======================
      Cles de demarrage "Run"
      ======================
      Windows Registry Editor Version 5.00

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
      "SuperCopier2.exe"="C:\\Program Files\\SuperCopier2\\SuperCopier2.exe"
      "Eraser"="C:\\Program Files\\Eraser\\Eraser.exe -hide"

      Windows Registry Editor Version 5.00

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
      "nwiz"="nwiz.exe /install"
      "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
      "BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
      "Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\""
      "Adobe ARM"="\"C:\\Program Files\\Fichiers communs\\Adobe\\ARM\\1.0\\AdobeARM.exe\""
      "Malwarebytes Anti-Malware (reboot)"="\"C:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe\" /runcleanupscript"
      "avgnt"="\"C:\\Program Files\\Avira\\AntiVir Desktop\\avgnt.exe\" /min"
      "KernelFaultCheck"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,\
      00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
      5c,00,64,00,75,00,6d,00,70,00,72,00,65,00,70,00,20,00,30,00,20,00,2d,00,6b,\
      00,00,00

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
      @=""

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
      "Installed"="1"
      @=""

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
      "NoChange"="1"
      "Installed"="1"
      @=""

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
      "Installed"="1"
      @=""

      =====================
      cles additionnelles
      =====================
      Windows Registry Editor Version 5.00

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
      "dontdisplaylastusername"=dword:00000000
      "legalnoticecaption"=""
      "legalnoticetext"=""
      "shutdownwithoutlogon"=dword:00000001
      "undockwithoutlogon"=dword:00000001

      ===============
      ===============
      ===============
      ===============
      Windows Registry Editor Version 5.00

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
      "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
      "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
      "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

      ======
      BHO :
      ======
      Windows Registry Editor Version 5.00

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
      @="AcroIEHelperStub"
      "NoExplorer"=dword:00000001

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
      @=""

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]


      ========
      Services
      ========
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

      Ndisuio => 0x3
      EapHost => 0x2
      SharedAccess => 0x2
      wuauserv => 0x2
      =========

      =========================
      Environnement variables :
      =========================

      ALLUSERSPROFILE=C:\Documents and Settings\All Users
      APPDATA=C:\Documents and Settings\Kwan\Application Data
      choix=1
      CLIENTNAME=Console
      CommonProgramFiles=C:\Program Files\Fichiers communs
      COMPUTERNAME=BOB
      ComSpec=C:\WINDOWS\system32\cmd.exe
      f95include=C:\Program Files\Silverfrost\FTN95\include
      FP_NO_HOST_CHECK=NO
      HOMEDRIVE=C:
      HOMEPATH=\Documents and Settings\Kwan
      LOGONSERVER=\\BOB
      mod_path=C:\Program Files\Silverfrost\FTN95\include
      NUMBER_OF_PROCESSORS=1
      OS=Windows_NT
      Path=C:\Program Files\Silverfrost\FTN95;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\MATLAB71\bin\win32;;C:\Program Files\MiKTeX 2.7\miktex\bin
      PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
      PROCESSOR_ARCHITECTURE=x86
      PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
      PROCESSOR_LEVEL=6
      PROCESSOR_REVISION=0801
      ProgramFiles=C:\Program Files
      PROMPT=$P$G
      SESSIONNAME=Console
      SystemDrive=C:
      SystemRoot=C:\WINDOWS
      TEMP=C:\DOCUME~1\Kwan\LOCALS~1\Temp
      TMP=C:\DOCUME~1\Kwan\LOCALS~1\Temp
      USERDOMAIN=BOB
      USERNAME=Kwan
      USERPROFILE=C:\Documents and Settings\Kwan
      windir=C:\WINDOWS


      ¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

      C:\WINDOWS\Tasks\At1.job
      C:\WINDOWS\Tasks\At2.job
      C:\WINDOWS\Tasks\At3.job
      C:\WINDOWS\Tasks\At4.job
      C:\WINDOWS\Tasks\At5.job
      C:\WINDOWS\Tasks\At6.job
      C:\WINDOWS\Tasks\At7.job
      C:\WINDOWS\Tasks\At8.job
      C:\WINDOWS\Tasks\At9.job
      C:\WINDOWS\Tasks\At1.job
      C:\WINDOWS\Tasks\At10.job
      C:\WINDOWS\Tasks\At11.job
      C:\WINDOWS\Tasks\At12.job
      C:\WINDOWS\Tasks\At13.job
      C:\WINDOWS\Tasks\At14.job
      C:\WINDOWS\Tasks\At15.job
      C:\WINDOWS\Tasks\At2.job
      C:\WINDOWS\Tasks\At3.job
      C:\WINDOWS\Tasks\At4.job
      C:\WINDOWS\Tasks\At5.job
      C:\WINDOWS\Tasks\At6.job
      C:\WINDOWS\Tasks\At7.job
      C:\WINDOWS\Tasks\At8.job
      C:\WINDOWS\Tasks\At9.job
      C:\WINDOWS\WMSysPrx.prx
      C:\Documents and Settings\Kwan\LOCAL Settings\Temp\hijackthis-2.0.2.75917.exe

      ¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"

      ¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

      ACRORD32.EXE-3A1F13AE.pf
      ACRORD32INFO.EXE-242CE4AA.pf
      ADOBEARM.EXE-1095AC0A.pf
      AVNOTIFY.EXE-05ED5FD8.pf
      AVWSC.EXE-0283F9DD.pf
      CCLEANER.EXE-0BCE437C.pf
      CMD.EXE-087B4001.pf
      CSCRIPT.EXE-1C26180C.pf
      DEFRAGGLER.EXE-07D56010.pf
      ECHOX.EXE-0EC32D49.pf
      ECHOX.EXE-0EED58B4.pf
      EMULE.EXE-2A971BEB.pf
      FIND.EXE-0EC32F1E.pf
      FINDSTR.EXE-0CA6274B.pf
      FIREFOX.EXE-28641590.pf
      GUARDGUI.EXE-00ECD849.pf
      HELPSVC.EXE-2878DDA2.pf
      Layout.ini
      LIST_KILL'EM.EXE-0C5D4E51.pf
      MINIBROWSER.EXE-2DC02FC0.pf
      MODE.COM-31685BAE.pf
      MOVIEMK.EXE-08CCF9FE.pf
      MPLAYERC.EXE-1168692A.pf
      MSCONFIG.EXE-35E4DAE9.pf
      MSPAINT.EXE-11CBB631.pf
      NOTEPAD.EXE-336351A9.pf
      NTOSBOOT-B00DFAAD.pf
      POWERPNT.EXE-364EC56A.pf
      PV.EXE-257F215C.pf
      REG.EXE-0D2A95F7.pf
      REGSVR32.EXE-25EEFE2F.pf
      RUNDLL32.EXE-13DA0E71.pf
      RUNDLL32.EXE-154726A8.pf
      RUNDLL32.EXE-22E35C38.pf
      RUNDLL32.EXE-26861A94.pf
      RUNDLL32.EXE-28426B75.pf
      RUNDLL32.EXE-2A0E3680.pf
      RUNDLL32.EXE-2E5AF1D7.pf
      RUNDLL32.EXE-30F84AAD.pf
      RUNDLL32.EXE-3461B647.pf
      RUNDLL32.EXE-36BBC6E5.pf
      RUNDLL32.EXE-3A7B215F.pf
      RUNDLL32.EXE-40163B6F.pf
      RUNDLL32.EXE-451FC2C0.pf
      RUNDLL32.EXE-4724FD3B.pf
      STARTWINAMAXPOKER.EXE-07CC957E.pf
      TUNER.EXE-07E9EB65.pf
      UPDATE.EXE-2577D203.pf
      UPGRADEWINAMAXPOKER.EXE-2E67EBA5.pf
      UTORRENT.EXE-3888D1B0.pf
      VERCLSID.EXE-3667BD89.pf
      WINAMAXPOKER.EXE-315DD284.pf
      WINAMP.EXE-0D0189CA.pf
      WINRAR.EXE-39C6DAD9.pf
      WMIPRVSE.EXE-28F301A9.pf
      WSCNTFY.EXE-1B24F5EB.pf
      WUAUCLT.EXE-399A8E72.pf




      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
      0
  11. gen-hackman
     
    REDEMARRE EN MODE SANS ECHEC , puis :

    ▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

    mais cette fois-ci :

    ▶ choisis l'option 2 = Mode Destruction

    laisse travailler l'outil.

    en fin de scan un rapport s'ouvre , ferme-le puis redemarre

    ▶ colle le contenu dans ta reponse apres avoir redemarré en mode normal :

    C:\Kill'em.txt
    0
    1. kwan-13
       
      voila le rapport apres destruction par list&killem :

      Kill'em by g3n-h@ckm@n 1.0.5.3

      User : Administrateur () # BOB
      Update on 15/11/2009 by g3n-h@ckm@n ::::: 20.30
      Start at: 20:19:54 | 19/11/2009
      Contact : g3n-h@ckm@n sur CCM

      AMD Athlon(tm) XP 2200+
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 6.0.2900.5512
      Windows Firewall Status : Enabled
      AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

      C:\ -> Disque fixe local | 19,53 Go (7,42 Go free) | NTFS
      D:\ -> Disque fixe local | 92,25 Go (88,05 Go free) [Sys_reste] | NTFS
      E:\ -> Disque fixe local | 232,88 Go (210,94 Go free) [WD 230 Go] | NTFS
      G:\ -> Disque fixe local | 189,91 Go (107,64 Go free) [Maxtor 190Go] | NTFS
      H:\ -> Disque CD-ROM


      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus en cours


      C:\WINDOWS\System32\smss.exe 160
      C:\WINDOWS\system32\csrss.exe 212
      C:\WINDOWS\system32\winlogon.exe 236
      C:\WINDOWS\system32\services.exe 280
      C:\WINDOWS\system32\lsass.exe 292
      C:\WINDOWS\system32\svchost.exe 444
      C:\WINDOWS\system32\svchost.exe 508
      C:\WINDOWS\system32\svchost.exe 592
      C:\WINDOWS\Explorer.EXE 808
      E:\Installs de logiciels\SECURITE_MAINTENANCE\List&Killem\List_Kill'em.exe 1032
      C:\WINDOWS\system32\cmd.exe 1052
      C:\WINDOWS\system32\wbem\wmiprvse.exe 1116
      C:\Documents and Settings\Administrateur.BOB\Local Settings\Temp\32.tmp\pv.exe 1236

      Fichiers analysés :
      =================


      ¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

      C:\WINDOWS\Tasks\At1.job
      C:\WINDOWS\Tasks\At2.job
      C:\WINDOWS\Tasks\At3.job
      C:\WINDOWS\Tasks\At4.job
      C:\WINDOWS\Tasks\At5.job
      C:\WINDOWS\Tasks\At6.job
      C:\WINDOWS\Tasks\At7.job
      C:\WINDOWS\Tasks\At8.job
      C:\WINDOWS\Tasks\At9.job
      C:\WINDOWS\Tasks\At10.job
      C:\WINDOWS\Tasks\At11.job
      C:\WINDOWS\Tasks\At12.job
      C:\WINDOWS\Tasks\At13.job
      C:\WINDOWS\Tasks\At14.job
      C:\WINDOWS\Tasks\At15.job
      "C:\WINDOWS\WMSysPrx.prx"


      ¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

      Quarantaine :

      At1.job.Kill'em
      At10.job.Kill'em
      At11.job.Kill'em
      At12.job.Kill'em
      At13.job.Kill'em
      At14.job.Kill'em
      At15.job.Kill'em
      At2.job.Kill'em
      At3.job.Kill'em
      At4.job.Kill'em
      At5.job.Kill'em
      At6.job.Kill'em
      At7.job.Kill'em
      At8.job.Kill'em
      At9.job.Kill'em
      WMSysPrx.prx.Kill'em

      Layout.ini
      NTOSBOOT-B00DFAAD.pf



      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
      0
  12. gen-hackman
     
    bien petite verif :

    ▶ Télécharger Smitfraudfix par S!RI :

    ▶ Décompresser l'archive

    ▶ Exécuter le en double cliquant sur Smitfraudfix.cmd

    ▶ Appuyer sur une touche pour continuer

    ▶ Arriver à l'invite de commande, saisir la lettre L afin de basculer le fix en langue française

    ▶Au menu, choisir l’option Recherche,

    ▶ Poster le rapport ainsi généré.
    0
    1. kwan-13
       
      Voici le rapport de SmitFraudFix :

      SmitFraudFix v2.424

      Rapport fait à 20:55:49,23, 19/11/2009
      Executé à partir de E:\Installs de logiciels\SECURITE_MAINTENANCE\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\SuperCopier2\SuperCopier2.exe
      C:\WINDOWS\system32\cmd.exe
      C:\Program Files\Mozilla Firefox\firefox.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Kwan


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Kwan\LOCALS~1\Temp


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Kwan\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Kwan\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"


      »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      o4Patch
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      Agent.OMZ.Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

      »»»»»»»»»»»»»»»»»»»»»»»» RK

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "System"=""




      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: NVIDIA nForce MCP Networking Controller - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 86.66.32.4
      DNS Server Search Order: 212.30.96.123
      DNS Server Search Order: 213.203.124.147

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{24C00BEC-70C2-46E6-A267-97E3AC08804F}: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{24C00BEC-70C2-46E6-A267-97E3AC08804F}: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{24C00BEC-70C2-46E6-A267-97E3AC08804F}: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{24C00BEC-70C2-46E6-A267-97E3AC08804F}: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
  13. gen-hackman
     
    Nettoyage :
    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).

    ------------------------------------------------------------­----------------
    ▶ Relance le programme Smitfraud,

    ▶ Cette fois choisit l’option 2

    ▶ répond oui à tout ,

    ▶Sauvegarde le rapport,

    ▶ Redémarre en mode normal,

    ▶ copie/colle le rapport sauvegardé sur le forum

    process.exe
    est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    0
    1. kwan-13
       
      voici le rapport apres nettoyage de SmitFraudFix :

      SmitFraudFix v2.424

      Rapport fait à 13:14:56,56, 20/11/2009
      Executé à partir de E:\Installs de logiciels\SECURITE_MAINTENANCE\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode sans echec

      »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      127.0.0.1 localhost

      »»»»»»»»»»»»»»»»»»»»»»»» VACFix

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

      S!Ri's WS2Fix: LSP not Found.


      »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

      GenericRenosFix by S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

      Agent.OMZ.Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» RK


      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{24C00BEC-70C2-46E6-A267-97E3AC08804F}: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{24C00BEC-70C2-46E6-A267-97E3AC08804F}: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{24C00BEC-70C2-46E6-A267-97E3AC08804F}: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{24C00BEC-70C2-46E6-A267-97E3AC08804F}: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147
      HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=86.66.32.4 212.30.96.123 213.203.124.147


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» RK.2



      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
  14. gen-hackman
     
    Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge :

    Malwarebytes

    ou :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    ▶ Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
    1. kwan-13
       
      Alors je ne sais pas si je devais désinstaller Malwarebytes et le re-installer à partir du lien que tu m'as donné. Mais voici ce que j'ai fait en détail :

      1) Je n'ai pas déinstaller Malwarebytes et avant de me déconnecter je l'ai mis à jour
      2) je me suis déconnecté et fermé toutes les applications (Avira y compris)
      3) J'ai lancé l'examen complet sur tous les disques
      => Aucun élément nuisible n'a été détecté (mais c'était pareil avant)

      voici le rapport de Malwarebyte :

      --- --- ---

      Malwarebytes' Anti-Malware 1.41
      Version de la base de données: 3202
      Windows 5.1.2600 Service Pack 3

      20/11/2009 18:29:52
      mbam-log-2009-11-20 (18-29-52).txt

      Type de recherche: Examen complet (C:\|D:\|E:\|G:\|)
      Eléments examinés: 261867
      Temps écoulé: 24 minute(s), 16 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)

      --- --- ---
      0
      1. kwan-13 > kwan-13
         
        Dis moi si j'ai mal compris les instructions
        0
  15. gen-hackman
     
    fallait faire supprimer mais tu peux desinstaller usbfix manuellement
    0
    1. kwan-13
       
      voila apres désinstallation d'USBFix

      [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

      --> Recherche:
      0
  16. gen-hackman
     
    ok salut ben tu peux tout finir
    0
    1. kwan-13
       
      merci c'est en cours, je te tiens au courant
      0
  17. gen-hackman
     
    ok ;)
    0
    1. kwan-13
       
      voila le rapport de la désinstallation des anciennes versions de Java :

      JavaRa 1.15 Removal Log.

      Report follows after line.

      ------------------------------------

      The JavaRa removal process was started on Sat Nov 21 23:24:39 2009

      Found and removed: Software\JavaSoft\Java2D\1.5.0

      ------------------------------------

      Finished reporting.
      0
      1. kwan-13 > kwan-13
         
        puis en vérifiant la version avec le lien que tu m'as mis, je suis tombé sur :

        --------
        Version de Java vérifiée
        Félicitations !

        Vous disposez de la version Java recommandée (Version 6 Update 17).
        -------

        donc je suppose que c'est bon ^^
        0
      2. kwan-13 > kwan-13
         
        voila j'ai plus ou moins fini toutes les étapes, j'ai encore quelques questions :

        1) j'ai voulu installer OnlineArmor, mais il semble que c'est uniquement une version d'essai (il y a écrit : "29 jours restant pour la période d'évaluation") pourtant j'ai utilisé la clef qu'il y avait sur la page de téléchargement.

        2) Ensuite j'ai toujours utilisé le Pare-Feu par défaut de Windows XP sans vraiment le configurer proprement. Et j'ai vu que Online Armor propose un gros panel d'options. Donc je me demandais si tu pouvais me proposer un tutoriel pour le configurer comme il faut.

        3) J'ai installer Spyware Guard (es-ce un anti-spyware avec immunisation ?) et dois-je installer Spayware Blaster parallelement ? Et comment comfigurer proprement ces programmes ?

        Voila sinon j'ai configurer Avira comme sur le tutoriel video que tu m'as donné, j'ai installer WOT sur Firefox. Et créer un point de restauration sain.

        Il va de soit que je te suis infiniment reconnaissant d'avoir pris tout ce temps pour m'expliquer pas à pas comment entretenir mon ordi. Avant j'utilisais uniquement Avira (scan fois par moi), Malwarebyte (1 fois par mois) , Defragger (sur C:/ 1 fois par mois et un peu moins sur les autres DD) , CCleaner (tous les jours au démarrage et au shutdown)
        Mais je n'ai jamais vraiment su comment configurer ces outils.

        En tout cas merci beaucoup et bonne continuation sur le forum, vous faite un travail formidable!
        0
  18. gen-hackman
     
    oui c'est bon ;)
    0
    1. kwan-13
       
      j'ai encore besoin de quelques précisions (le détail est sur le post précédent)

      En tout cas, sincèrement encore merci pour tout
      0