Cheval de troie

salut Xplode,

j'ai fait comme tu m'a dit, v'la le lien:

http://www.cijoint.fr/cjlink.php?file=cj200911/cijV9RGQXm.txt

et aprés

salut Xplode,

excuse moi de ne pas t'avoir répondu plus tôt mais le PC qui est vérole est celui d'un Ami, je n'y avais pas accès lors de ta 2eme réponse. bon maintant j'y suis, alors au boulot!

voila le rapprot aprés l'execution de AD-R:
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_D | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 24.11.2009 à 19:39
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:38:50, 25/11/2009 | Mode Normal | Option: CLEAN
Exécuté de: M:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: ARTHUR | Utilisateur actuel: coriak
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
M:\DOCUME~1\coriak\APPLIC~1\EoRezo
M:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\IMBooster
M:\WINDOWS\Installer\{E1B94435-241E-4519-B1C3-C4DD9EB352A2}
M:\Program Files\EoRezo
M:\Program Files\IMBooster4web-en
M:\Program Files\Iminent ... [b]ERREUR SUPPRESSION !!/b
M:\Program Files\Mozilla Firefox\extensions\linkcontent@iminent
M:\Windows\Installer\16dc473.msi
M:\WINDOWS\Prefetch\ITSTV.EXE-065C7557.pf
M:\WINDOWS\Prefetch\SOFTWAREUPDATEHP.EXE-0A761125.pf
M:\DOCUME~1\coriak\Cookies\coriak@ads.eorezo[2].txt
M:\DOCUME~1\coriak\Cookies\coriak@eorezo[2].txt
.
HKCU\software\EoRezo
HKCU\software\IMBooster4web-en
HKCU\software\Iminent
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{346de098-61f9-4b42-89da-6dfba7091bb6}
HKLM\software\AGI
HKLM\software\classes\appid\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\software\classes\appid\EoRezoBHO.DLL
HKLM\Software\Classes\CLSID\{28806D41-FD1E-4E1F-B8D2-2BB739BF4078}
HKLM\Software\Classes\CLSID\{346DE098-61F9-4B42-89DA-6DFBA7091BB6}
HKLM\Software\Classes\CLSID\{696E3174-4F6C-4777-7834-654C4A705677}
HKLM\Software\Classes\CLSID\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
HKLM\Software\Classes\CLSID\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}
HKLM\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\software\classes\EoRezoBHO.EoBHO
HKLM\software\classes\EoRezoBHO.EoBHO.1
HKLM\software\classes\IminentBHONavigationError.CHelperBHO
HKLM\software\classes\IminentBHONavigationError.CHelperBHO.1
HKLM\software\classes\IminentLinkToContent.LinkToContent
HKLM\software\classes\IminentLinkToContent.LinkToContent.1
HKLM\software\classes\installer\Products\53449B1EE14291541B3C4CDDE93B252A
HKLM\software\classes\installer\Products\C73660D04266C3348A703CD454AD1B48
HKLM\Software\Classes\Interface\{0CA97EEE-C8C4-4B10-A332-10AF1FBEB534}
HKLM\Software\Classes\Interface\{12FB9C3D-0875-4CAA-B3B1-9DCCCE749DE5}
HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
HKLM\Software\Classes\TypeLib\{2C6674DB-EFB5-464A-A715-3E770B9C8A94}
HKLM\Software\Classes\TypeLib\{587D1093-12E0-4B0E-9426-AF9DC5ABB77D}
HKLM\Software\Classes\TypeLib\{77860007-19AE-4C29-B26D-AEA48F3A05C5}
HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\software\classes\URLSearchHook.ToolbarURLSearchHook
HKLM\software\classes\URLSearchHook.ToolbarURLSearchHook.1
HKLM\software\EoRezo
HKLM\software\iAvatars.com
HKLM\software\IMBooster4web-en
HKLM\software\Iminent
HKLM\software\Loader
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{346de098-61f9-4b42-89da-6dfba7091bb6}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{346DE098-61F9-4B42-89DA-6DFBA7091BB6}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\53449B1EE14291541B3C4CDDE93B252A
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\C73660D04266C3348A703CD454AD1B48
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\EoEngine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\IMBooster
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Iminent.Notifier
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\SoftwareHelper
HKLM\software\microsoft\windows\currentversion\uninstall\{0D06637C-6624-433C-A807-C34D45DAB184}
HKLM\software\microsoft\windows\currentversion\uninstall\{E1B94435-241E-4519-B1C3-C4DD9EB352A2}
HKLM\software\microsoft\windows\currentversion\uninstall\eoEngine_is1
HKLM\software\microsoft\windows\currentversion\uninstall\IMBooster
HKLM\software\microsoft\windows\currentversion\uninstall\IMBooster4web-en Toolbar
HKLM\software\microsoft\windows\currentversion\uninstall\SearchTheWeb
HKLM\software\microsoft\windows\currentversion\uninstall\SoftwareUpdate_is1

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.15 [fr] *
.
Nom du profil: j13hm4en.default (coriak)
.
(coriak, prefs.js) Browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2102473&SearchSource=3&q={searchTerms}
(coriak, prefs.js) Browser.search.selectedEngine, PHPNukeFR Customized Web Search
(coriak, prefs.js) Browser.startup.homepage, hxxp://search.conduit.com/?ctid=CT2102473&SearchSource=13
.
(coriak, prefs.js) EFFACE - Browser.search.defaultthis.engineName, PHPNukeFR Customized Web Search
(coriak, prefs.js) EFFACE - Browser.search.selectedEngine, PHPNukeFR Customized Web Search
.
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
6234 Octet(s) - M:\Ad-Report-CLEAN[1].log
.
255 Fichier(s) - M:\DOCUME~1\coriak\LOCALS~1\Temp
15 Fichier(s) - M:\WINDOWS\Temp
.
19 Fichier(s) - M:\Program Files\Ad-Remover\BACKUP
158 Fichier(s) - M:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 16:44:35 | 25/11/2009 - CLEAN[1]
.
============== E.O.F ==============
.


puis ensuite j'ai effectué toolbarSD, option2, voici le rapport:



-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : coriak ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:39 Go (Free:32 Go)
D:\ (Local Disk) - NTFS - Total:29 Go (Free:27 Go)
E:\ (Local Disk) - NTFS - Total:29 Go (Free:29 Go)
F:\ (Local Disk) - NTFS - Total:29 Go (Free:29 Go)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)
K:\ (CD or DVD)
L:\ (CD or DVD)
M:\ (Local Disk) - NTFS - Total:39 Go (Free:21 Go)

"M:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 25/11/2009|17:01 )

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(coriak) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user
(coriak) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar

(nils) - {1c491116-c175-45e1-a570-6fb14fea8b7b} => phpnukefr
(nils) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user
(nils) - {346de098-61f9-4b42-89da-6dfba7091bb6} => imbooster4web-en


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="M:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr"
"Default_search_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_page_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Search bar"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"="M:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr/"
"Search bar"="http://www.bing.com/spresults.aspx"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "M:\ToolBar SD\TB_1.txt" - 25/11/2009|16:51 - Option : [1]
2 - "M:\ToolBar SD\TB_2.txt" - 25/11/2009|17:02 - Option : [2]

-----------\\ Fin du rapport a 17:02:39,00

j'pense que le PC de mon Ami est propre?...dit moi ce que t'en pense.
une dernière question, est ce que je dois supprimé le cheval de troie qui est en quarantaine dans ANTIVIR?

Xplode,
voila le lien:
http://www.cijoint.fr/cjlink.php?file=cj200911/cij0P7T03H.txt

c'est cool pour mon Ami. il va être content, cela ne fait que 2 mois qu'il a pris internet, pour lui et sa p'tite famille et quand il m'a prévenu qu'il y avait un virus sur son PC, c'était un peu la panique....bien venu dans un monde numérique!

Xplode,

voila c'est fait:

ZHPFix v1.12.19 by Nicolas Coolman - Rapport de suppression du 25/11/2009 18:10:57
Fichier d'export Registre : M:\ZHPExportRegistry-25-11-2009-18-10-57.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
M:\Documents and Settings\nils\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
O40 - ASIC: Google Toolbar for Internet Explorer 8 - {B0087AEE-2CA7-4296-B0C3-663AA619DF1B} - (not file) => Clé supprimée avec succès

Valeur du Registre :
O4 - HKLM\..\Run: [SoftwareHelper] M:\Documents and Settings\nils\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
m:\documents and settings\nils\application data\eorezo\softwareupdate\softwareupdatehp.exe => Fichier absent

Logiciel :
O42 - Logiciel: PHPNukeFR Toolbar => Logiciel supprimé avec succès
O42 - Logiciel: SaveMoney => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 2
Autre : 0


End of the scan

voila le lien:
http://www.cijoint.fr/cjlink.php?file=cj200911/cijGSAZoPM.txt