Infection par le virus "conficker" [Résolu/Fermé]

Signaler
-
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
-
Bonjour,

Depuis quelques temps, je n'ai plus accès à certains sites, entre autre les sites de windows, symantec, tous les sites sécurisés sur lesquels j'ai un compte personnel avec identifiant et mot de passe...
J'ai donc soumis ce problème à un ami informaticien qui n'a pas trouvé de solutions. Enfin, en utilisant le moteur de recherche, je suis finalement arrivé sur un site qui m'a parlé de ce fameux virus. Aussi, j'ai testé les sites proposés pour être sure que mon problème était celui-ci, bien entendu, cela paraît être à 99% la raison de mes problèmes de connection.
N'ayant pas suffisamment d'expérience informatique, je remercie par avance une personne de ce forum de m'aider à éradiquer ce parasite...

Cordialement

Nelly

28 réponses

Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Bonjour,


Peux-tu utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

2
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60769 internautes nous ont dit merci ce mois-ci

Bonjour Anthony,

J'ai effectué les manipulations que vous m'avez proposées. Ci-joint, comme convenu, vous trouverez le lien qui vous permettra de prendre connaissance du fichier de diagnostic.
En vous remerciant encore de l'énergie fournie pour essayer de résoudre au mieux mon problème.

Cordialement

Nelly

PS : J'attends de vos nouvelles... fraîches...
Etourdie que je suis !

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cj201001/cijnbFt8Uo.txt
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Il y a plusieurs infections, nous allons devoir utiliser plusieurs programmes pour désinfecter...


1) Tu as téléchargé un logiciel néfaste sur le site eoRezo.com ! Ne télécharge plus rien sur ce site : Plus d'infos ici

● Télécharge Ad-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
● Clique sur AD-R.exe pour le lancer
● Au menu principal choisis l'option "L" (lancer le nettoyage)
● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report.log)

Aide en images : Nettoyage



2) Il y a une infection qui se transmet par disque amovible :

• Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Double clique sur le programme USBFix sur ton Bureau
• Au menu principal, choisis l'option 2 (Suppression)
• Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
• Laisse travailler l'outil jusqu'au bout
• A la fin, le rapport va s'afficher --> poste le dans ta prochaine réponse stp

Aide en images : Nettoyage



3) Fais ensuite ce scan généraliste stp :

• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

2
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60769 internautes nous ont dit merci ce mois-ci

Bonsoir Anthony,

J'ai un souci : j'ai réussi à télécharger "Ad-Remover" en cherchant avec le moteur de recherche mais impossible avec le lien de votre message, de plus, impossible d'afficher la page correspondante au lien "nettoyage" de votre message. (toujours dans le paragraphe 1) )
Une fois téléchargé, j'ai suivi vos instructions. L'ordinateur a redemarré mais une fenêtre d'erreur est apparue m'indiquant que Windows ne trouvait pas "C:\PROGRAM~1\AD-REM~1\ADR_01.bat", me demandant ensuite de vérifier que j'avais rentré le nom correctement et, pour finir, me sommant de rééssayer à nouveau. Résultat : impossible de lancer correctement le programme pour arriver à vous faire parvenir le rapport !

Du coup, je ne suis pas passé aux deux étapes suivantes attendant toujours de nouvelles instructions de votre part face à ce nouvel élément.

Cordialement et vous remenciant...


Nelly
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Effectivement le tutoriel a été déplacé ici

Si AD-Remover ne fonctionne pas, utilise ST_Fix à la place.

Bonjour Anthony,

Effectivement, ST_FIX a fonctionné correctement. La deuxième étape également, à savoir USBFix. Par contre, le lien que vous m'avez fourni pour le "Malware" n'a pas fonctionné, par conséquent, je suis allé sur le moteur de recherche et j'ai finalement pu le télécharger. En lançant MBAM, je n'ai pu effectuer les mises à jour comme vous me l'aviez suggéré, une fenêtre avec un code erreur est apparue (erreur code 732 (12007,0)). Quoiqu'il en soit, j'ai quand-même lancé l'examen...

Pour les résultats, voici les rapports : BON COURAGE !
1) Rapport de "Malware"
C:\UsbFix\Quarantine\C\w9uxx92.exe.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\wbj.exe.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\wfx062.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\wisf1.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\wrsf.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\wu1n.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\xmor.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\y8.exe.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\ycvvj.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\DOCUME~1\GENIEZ\LOCALS~1\Temp\nmdfgds0.dll.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\DOCUME~1\GENIEZ\LOCALS~1\Temp\nmdfgds1.dll.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\DOCUME~1\GENIEZ\LOCALS~1\Temp\olhrwef.exe.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\WINDOWS\system32\nmdfgds0.dll.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\WINDOWS\system32\nmdfgds1.dll.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\2.bat.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\2a.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\8paf1d.com.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\9u.exe.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\aphqg.exe.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\g8k.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\gbm6n.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\gpcdt.cmd.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\hifdmgt.com.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\hjvjte.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\m.com.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\mb9x.exe.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\n68mqcra.exe.UsbFix (Trojan.Agent) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\p.exe.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\qwtb.com.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\s.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\u0riu2.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\ukvr.bat.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\w.com.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\w9hw8.exe.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\w9uxx92.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\wbj.exe.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\J\y6yol.exe.UsbFix (Worm.Magania) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\batch.bat (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\unins000.dat (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\unins000.exe (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\go.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\home.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\logo_pb.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\parent_off.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\parent_on.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\pbfrv2tb0200.cfg (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\popup_off.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\popup_on.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\search.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\services.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\skin.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\skin1.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\skin2.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\skin3.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\skin4.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\skin5.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\store.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\style.css (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\support.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\Cache\ticker.xml (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\ErrorLog.txt (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\go.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\home.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\logo_pb.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\parent_off.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\parent_on.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\popup_off.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\popup_on.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\search.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\services.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\skin.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\skin1.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\skin2.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\skin3.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\skin4.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\skin5.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\store.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\style.css (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\support.bmp (Adware.2020search) -> Quarantined and deleted successfully.
C:\Program Files\dynamic toolbar\PBFRV2\Cache\ticker.xml (Adware.2020search) -> Quarantined and deleted successfully.

2) Rapport de "ST_Fix" :
########################################################################
#
# ST_Fix v.2.05 par Batch_Man
# Mise à jour le 06/08/2009
# Début a 9:06 le 11/01/2010
# Système d'exploitation: Microsoft Windows XP
# Service Pack: Service Pack 3
# Mode de boot: Normal
# Lancé de C:\Documents and Settings\GENIEZ\Bureau\ST_Fix.bat
#
################################ Suppression ###############################
#
# SUPPRIMÉ - HKEY_USERS\S-1-5-21-2166636260-572010553-2375124119-1006\Software\EoRezo
# SUPPRIMÉ - HKLM\SOFTWARE\Classes\EoRezoBHO.EoBHO
# SUPPRIMÉ - HKLM\SOFTWARE\Classes\EoRezoBHO.EoBHO.1
# SUPPRIMÉ - HKLM\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
# SUPPRIMÉ - HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
# SUPPRIMÉ - HKLM\SOFTWARE\EoRezo
# SUPPRIMÉ - HKLM\SOFTWARE\ItsLabel
# SUPPRIMÉ - HKCU\SOFTWARE\ItsLabel
# SUPPRIMÉ - C:\Program Files\EoRezo
# SUPPRIMÉ - C:\Documents and Settings\GENIEZ\Application Data\EoRezo
# SUPPRIMÉ - C:\Documents and Settings\GENIEZ\Application Data\ItsLabel
#
################################## Terminé ################################

3) Rapport de "USBFix" :

############################## | UsbFix V6.073 |


############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 548
C:\WINDOWS\system32\csrss.exe 752
C:\WINDOWS\system32\winlogon.exe 776
C:\WINDOWS\system32\services.exe 820
C:\WINDOWS\system32\lsass.exe 832
C:\WINDOWS\system32\svchost.exe 988
C:\WINDOWS\system32\svchost.exe 1060
C:\WINDOWS\System32\svchost.exe 1224
C:\WINDOWS\system32\svchost.exe 1260
C:\WINDOWS\System32\svchost.exe 1352
C:\WINDOWS\System32\svchost.exe 1484
C:\WINDOWS\System32\wudfhost.exe 1516
C:\WINDOWS\system32\spoolsv.exe 1812
C:\WINDOWS\Explorer.EXE 320
C:\WINDOWS\AhnRpta.exe 692
C:\WINDOWS\System32\svchost.exe 1664
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe 1740
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe 1756
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe 1788
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe 1856
C:\WINDOWS\System32\nvsvc32.exe 1904
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe 1952
C:\WINDOWS\system32\slserv.exe 172
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe 192
C:\WINDOWS\System32\svchost.exe 1948
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe 380
C:\WINDOWS\System32\alg.exe 2164
C:\WINDOWS\system32\wbem\wmiprvse.exe 2204

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\AhnRpta.exe
Supprimé ! C:\WINDOWS\System32\e8main0.dll
Supprimé ! C:\WINDOWS\System32\nmdfgds0.dll
Supprimé ! C:\WINDOWS\System32\nmdfgds1.dll
Supprimé ! C:\WINDOWS\System32\olhrwef.exe
Supprimé ! C:\DOCUME~1\GENIEZ\LOCALS~1\Temp\cvasds0.dll
Supprimé ! C:\DOCUME~1\GENIEZ\LOCALS~1\Temp\cvasds1.dll
Supprimé ! C:\DOCUME~1\GENIEZ\LOCALS~1\Temp\cvasds2.dll
Supprimé ! C:\DOCUME~1\GENIEZ\LOCALS~1\Temp\herss.exe
Supprimé ! C:\DOCUME~1\GENIEZ\LOCALS~1\Temp\nmdfgds0.dll
Supprimé ! C:\DOCUME~1\GENIEZ\LOCALS~1\Temp\nmdfgds1.dll
Supprimé ! C:\DOCUME~1\GENIEZ\LOCALS~1\Temp\olhrwef.exe
C:\autorun.inf -> fichier appelé : "C:\8xcrbho6.exe" ( Présent ! )
Supprimé ! C:\8xcrbho6.exe
Supprimé ! C:\0fkk02x.exe
Supprimé ! C:\0qw6vege.exe
Supprimé ! C:\10nb.exe
Supprimé ! C:\1a1dndah.exe
Supprimé ! C:\1di1w.exe
Supprimé ! C:\22yj2fy1.exe
Supprimé ! C:\2a.exe
Supprimé ! C:\2id9.exe
Supprimé ! C:\3c.exe
Supprimé ! C:\3exi.exe
Supprimé ! C:\3yalgc.exe
Supprimé ! C:\601ugf.exe
Supprimé ! C:\6ruaqx.exe
Supprimé ! C:\86.exe
Supprimé ! C:\8dtyjjf.exe
Supprimé ! C:\9b9w3.exe
Supprimé ! C:\9cquqs.exe
Supprimé ! C:\9ffp.exe
Supprimé ! C:\9g86.exe
Supprimé ! C:\9jyhdim8.exe
Supprimé ! C:\9u.exe
Supprimé ! C:\a2g21.exe
Supprimé ! C:\anoataly.exe
Supprimé ! C:\aphqg.exe
Supprimé ! C:\b.bat
Supprimé ! C:\b00ijwpu.exe
Supprimé ! C:\bycfht.exe
Supprimé ! C:\cj1m.com
Supprimé ! C:\cj3k.exe
Supprimé ! C:\cqb6wo.exe
Supprimé ! C:\cs6phv6d.exe
Supprimé ! C:\ctu8r.exe
Supprimé ! C:\curqp.exe
Supprimé ! C:\d9c.bat
Supprimé ! C:\dogyx90.exe
Supprimé ! C:\e9naq.exe
Supprimé ! C:\ewqij.bat
Supprimé ! C:\f9o8o.exe
Supprimé ! C:\frg89pi.bat
Supprimé ! C:\g12g.exe
Supprimé ! C:\g8k.exe
Supprimé ! C:\gbm6n.exe
Supprimé ! C:\gclwpivc.cmd
Supprimé ! C:\gcq6.exe
Supprimé ! C:\gpcdt.cmd
Supprimé ! C:\h0.exe
Supprimé ! C:\hjvjte.exe
Supprimé ! C:\hm1bfpuj.exe
Supprimé ! C:\hx.exe
Supprimé ! C:\i0yva6.exe
Supprimé ! C:\i9bwjpqc.exe
Supprimé ! C:\imghyva6.exe
Supprimé ! C:\k8jc.exe
Supprimé ! C:\kgji.exe
Supprimé ! C:\ktly.exe
Supprimé ! C:\l61yyp.exe
Supprimé ! C:\lhh3v.exe
Supprimé ! C:\lphfa.exe
Supprimé ! C:\m.com
Supprimé ! C:\m.exe
Supprimé ! C:\m1eqos3.exe
Supprimé ! C:\mb9x.exe
Supprimé ! C:\mbvd.exe
Supprimé ! C:\mje12tni.exe
Supprimé ! C:\mjafm.exe
Supprimé ! C:\mqhnawe.bat
Supprimé ! C:\mranjm.exe
Supprimé ! C:\mt2.exe
Supprimé ! C:\n68mqcra.exe
Supprimé ! C:\nds0q.exe
Supprimé ! C:\ngp8l.exe
Supprimé ! C:\nqdymj.exe
Supprimé ! C:\o8tf6l.exe
Supprimé ! C:\o9bxu.exe
Supprimé ! C:\opdux.exe
Supprimé ! C:\p.exe
Supprimé ! C:\pbudsara.exe
Supprimé ! C:\ph.exe
Supprimé ! C:\q1alx.exe
Supprimé ! C:\q3kku.exe
Supprimé ! C:\q9.cmd
Supprimé ! C:\q93fi6kf.exe
Supprimé ! C:\qcoageh.exe
Supprimé ! C:\qcod.exe
Supprimé ! C:\r2g20.exe
Supprimé ! C:\rg9g9bgq.exe
Supprimé ! C:\rx.exe
Supprimé ! C:\s3ek.exe
Supprimé ! C:\se12ydam.exe
Supprimé ! C:\sm.exe
Supprimé ! C:\sp1jensi.exe
Supprimé ! C:\srgo.exe
Supprimé ! C:\t2hjo0.exe
Supprimé ! C:\t8g.exe
Supprimé ! C:\t8s2x.exe
Supprimé ! C:\u0riu2.exe
Supprimé ! C:\u16sqrqn.exe
Supprimé ! C:\ucivd6xi.bat
Supprimé ! C:\ukvr.bat
Supprimé ! C:\uqgvf.exe
Supprimé ! C:\v1cbvsmq.exe
Supprimé ! C:\vb0hsoay.exe
Supprimé ! C:\vk0w.exe
Supprimé ! C:\vlvtdflx.exe
Supprimé ! C:\w9uxx92.exe
Supprimé ! C:\wbj.exe
Supprimé ! C:\wfx062.exe
Supprimé ! C:\wisf1.exe
Supprimé ! C:\wrsf.exe
Supprimé ! C:\wu1n.exe
Supprimé ! C:\xmor.exe
Supprimé ! C:\y8.exe
Supprimé ! C:\ycvvj.exe
Supprimé ! C:\autorun.inf
Supprimé ! C:\k0maw.exe
Supprimé ! C:\mbdm.exe
Supprimé ! C:\nx.exe
Supprimé ! C:\Recycler\S-1-5-21-2166636260-572010553-2375124119-1006
Supprimé ! C:\Recycler\S-1-5-21-2767495972-2746249906-958894449-1003
Supprimé ! J:\2.bat
Supprimé ! J:\22yj2fy1.exe
Supprimé ! J:\2a.exe
Supprimé ! J:\8paf1d.com
Supprimé ! J:\9u.exe
Supprimé ! J:\aphqg.exe
Supprimé ! J:\g8k.exe
Supprimé ! J:\gbm6n.exe
Supprimé ! J:\gpcdt.cmd
Supprimé ! J:\hifdmgt.com
Supprimé ! J:\hjvjte.exe
Supprimé ! J:\m.com
Supprimé ! J:\mb9x.exe
Supprimé ! J:\n68mqcra.exe
Supprimé ! J:\p.exe
Supprimé ! J:\q1alx.exe
Supprimé ! J:\qwtb.com
Supprimé ! J:\s.exe
Supprimé ! J:\u0riu2.exe
Supprimé ! J:\ukvr.bat
Supprimé ! J:\w.com
Supprimé ! J:\w9hw8.exe
Supprimé ! J:\w9uxx92.exe
Supprimé ! J:\wbj.exe
Supprimé ! J:\y6yol.exe
Supprimé ! J:\autorun.inf
Supprimé ! J:\k0maw.exe
Supprimé ! J:\nymdik.exe
Supprimé ! J:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Supprimé ! J:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{BB4C402F-882A-4526-8C08-51278EA437C1}"
Supprimé ! [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
Supprimé ! [HKCR\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1}]
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
Supprimé ! [HKLM\SYSTEM\ControlSet003\Services\AVPsys]

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[09/01/2010 09:03|-r-hs----|114688] C:\31lyx.exe
[24/08/2004 20:33|-rahs----|193] C:\BOOT.BAK
[05/01/2010 11:49|-rahs----|291] C:\BOOT.INI
[30/08/2002 12:00|-rahs----|4952] C:\Bootfont.bin
[30/08/2002 12:00|-rahs----|249136] C:\cmldr
[07/01/2010 18:38|-r-hs----|121344] C:\f2kmj.exe
[?|?|?] C:\hiberfil.sys
[10/01/2010 18:00|--a------|524] C:\hpfr3420.xml
[10/01/2010 18:00|--a------|182925] C:\hpfr3425.log
[24/08/2004 20:36|-rahs----|0] C:\IO.SYS
[08/01/2010 18:21|-r-hs----|120320] C:\mltox.exe
[24/08/2004 20:36|-rahs----|0] C:\MSDOS.SYS
[07/06/2007 20:32|-rahs----|47564] C:\NTDETECT.COM
[19/09/2008 18:08|-rahs----|252240] C:\ntldr
[29/02/2004 16:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[11/01/2010 09:23|--a------|7584] C:\UsbFix.txt
[18/12/2009 18:51|-r-hs----|120299] C:\yu3.exe
[27/04/2009 15:27|--a------|27648] J:\Fiche pr‚comptabilisation.xls
[13/05/2009 14:29|--a------|1288704] J:\lettre vergnes.doc
[18/12/2008 12:55|--a------|1287680] J:\papier entˆte.doc
[14/05/2009 12:20|--a------|40960] J:\Programme ‚t‚2009.pub
[14/05/2009 14:16|--a------|203776] J:\Programme ‚t‚ 2009 2.pub
[24/06/2009 09:20|--a------|23552] J:\EDITO JUIN 09.doc
[16/04/2009 14:10|--a------|25600] J:\lettre absence montagnier christelle.doc
[25/06/2009 09:21|--a------|9280000] J:\SIGNALITIQUE ETAGE.pub
[20/07/2009 14:20|--a------|1066125] J:\print_020_pocoyo_horse.pdf
[20/07/2009 14:22|--a------|413184] J:\coloriage.doc
[12/06/2009 15:22|--a------|268800] J:\PRESENCES CAF PRESTATION DE SERVICE.xls
[11/03/2008 16:47|--a------|165376] J:\MSA (VIERGE) releve de pr‚sence pour les enfants b‚n‚ficiares de pass.doc
[17/07/2009 10:09|--a------|44032] J:\fiche de pr‚sence des enfants.xls
[25/08/2009 13:57|--a------|188416] J:\Tableau compta 2009 (du 01 juillet au 31 d‚cembre).xls
[22/02/2009 10:54|--a------|28160] J:\Nomenclature_de l'emploi.doc
[22/02/2009 10:53|--a------|1137664] J:\Feuille_de_route.ppt
[10/01/2010 18:20|-r-hs----|122368] J:\8xcrbho6.exe

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# J:\autorun.inf -> Dossier créé par UsbFix.

################## | Crack > Keygen > Serial |


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\GENIEZ\Bureau\UsbFix_Upload_Me_NOMDELORDI.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.073 ! |
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Très bien, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp

Bonjour Anthony,

J'ai réalisé le diagnostic que vous m'avez demandé. Pour le visualiser, cliquez sur le lien suivant. Tout de même, je tiens à faire le point : j'ai constaté, suite à vos démarches que j'avais de nouveau accès aux sites microsoft et aux sites des anti virus. Il ne reste que le problème des sites dits "sécurisés" à savoir les sites sur lesquels on me demande un identifiant et un mot de passe comme mon site bancaire par exemple. Je vois que vous me faite avancer dans le bon sens et je vous en remercie.

A plus tard...


Nelly



Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cj201001/cij0NDmKTo.txt
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
On va passer à la finition :

• Télécharge hijackthis.
• Installe le, lance le et clique sur "Do a system scan and save a logfile".
• Fais un copier-coller du rapport entier sur le forum

Re Anthony,

Voici le rapport demandé...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:33, on 14/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://renewalcenter.symantec.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: PHOTOfunSTUDIO.lnk = C:\Program Files\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (7).



1) Les barres d'outils

Souvent installées avec d'autres logiciels sans que l'utilisateur y fasse attention, les barres d'outils se multiplient sur les ordinateurs et ont deux résultats : ralentir les ordinateurs et provoquer des bugs des navigateurs.
Je te conseille de désinstaller la tienne qui est inutile (barre d'outil Google).
Pour ça, ferme ton navigateur, puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle la Google Toolbar



2) Sécurise ton ordinateur

• Logiciels de protection :
* Norton est lourd, cher, et malgré tout inefficace ! Je te conseille vivement de le supprimer et d’utiliser un antivirus plus efficace (Antivir, Kaspersky...). Il en existe des gratuits qui sont excellents aussi (Antivir ou MSE).
Pour supprimer Norton : Vide la quarantaine, puis désactive la protection résidente. Ensuite, clique sur Menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> désinstalle tous les produits Norton et Symantec. Puis, utilise ceci pour supprimer les traces : Outil de désinstallation Norton

* Pour le remplacer :
Si tu choisis Antivir gratuit, télécharge le ici.
Pour Antivir payant, c'est ici
Pour Kaspersky, c'est ici

* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Internet Explorer n'est pas à jour, c'est une faille de sécurité
Clique sur Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes. Si Internet Explorer n'y est pas, télécharge et installe IE 8 depuis ce lien : IE 8

• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes (Java 2 Runtime Environment, SE v1.4.2_04) et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

• Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).
Ensuite, pour combler une faille de sécurité utilisée très souvent par les infections, désactive la prise en charge Javascript d'Adobe Reader : Lance le (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe) → clique sur Edition → Préférences → JavaScript → décoche "Activer Acrobat JavaScript" et valide.

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)



3) Relance Hijackthis (pour la dernière fois), choisis "Do a system scan only" et coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) :

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, ces 2 lignes devraient apparaitre, tu peux la cocher :
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"



4) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé.
Lance le puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



5) Télécharge et installe CCleaner, puis lance le.
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



6) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



7) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



8) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
Bonjour Anthony,

Merci pour votre aide très précieuse. Ca y est, tout fonctionne sur mon ordinateur à ce jour.
J'ai pris connaissance du fasicule : "Prévention et sécurité sur internet", il est vrai que c'est effrayant ! La difficulté reste de savoir quel est le faux du vrai !
Quand-même, avant de vous quitter... (définitivement ?..), je souhaiterais faire un point en ce qui concerne les logiciels à garder (pour la sécurité bien entendu) et surtout comment les utiliser à bon escient.

A garder : MalwaresBytes et faire un scan de nettoyage régulièrement...
Vérifier les mises à jour de mes logiciels avec le lien "Update Checker" et (éventuellement désinstaller ceux qui sont inutiles)
CCleaner, à utiliser régulièrement avec les instructions d'utilisation que vous m'avez donné (je n'ai pas saisi son utilité...)
Antivir comme antivirus
Pour tester les infections par disques amovibles quel est celui à utiliser...

Voilà ce qui risque d'être le dernier de mes messages sur le forum à votre destination.
Je tiens à vous dire que je suis très satisfaite de votre dévouement et de votre efficacité pour le problème que je vous ai soumis. Effectivement, le savoir n'est utile que s'il est partagé mais le savoir ne fait pas tout si on a des difficultés à le mettre en application. Ce n'est pas votre cas...
Bon, c'est entendu, je vous laisse tranquille maintenant (sinon, je ne vais pas m'arrêter...) !

Encore merci Anthony


Nelly
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Très bien, fais redémarrer l'ordinateur et poste un nouveau rapport ZHPDiag stp :)

Bonsoir Anthony,

Voici le lien qui vous permettra de lire le nouveau rapport :
Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cj201001/cijUsHGHNc.txt


Encore merci


Nelly
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Très bien, on continue ;)


/!\ Attention /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Anthony,

Je ne sais pas désactiver mes logiciels de protection... D'autant plus que comme j'ai acheté l'ordi au super marché, je ne sais pas ce qui était installé à l'origine. J'ai juste il y a quelques mois acheté une mise à jour symantec...

Je reste à votre écoute !
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Il n'y a que Norton (= Symantec) à désactiver.
Pour ça, fais un clic-droit sur l'icone de Norton près de l'horloge, et il devrait y avoir une option pour le désactiver.

Désolée mais je n'ai pas l'icône !

Nelly
Bonjour Anthony,

J'ai utilisé combofix comme vous me l'aviez spécifié, voici le rapport : BON COURAGE (Je retourne au travail, à ce soir et ... toujours merci !)

ComboFix 10-01-11.03 - GENIEZ 12/01/2010 13:29:15.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.255.98 [GMT 1:00]
Lancé depuis: c:\documents and settings\GENIEZ\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\$NtUninstallKB922582$
c:\windows\$NtUninstallKB922582$\fltlib.dll
c:\windows\$NtUninstallKB922582$\fltmc.exe
c:\windows\$NtUninstallKB922582$\fltmgr.sys
c:\windows\$NtUninstallKB922582$\spuninst\spuninst.exe
c:\windows\$NtUninstallKB922582$\spuninst\spuninst.inf
c:\windows\$NtUninstallKB922582$\spuninst\spuninst.txt
c:\windows\$NtUninstallKB922582$\spuninst\updspapi.dll
c:\windows\EventSystem.log
c:\windows\system32\rndsbr.dll
c:\windows\system32\Thumbs.db
c:\windows\system32\zip32.dll
C:\yu3.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-12 au 2010-01-12 ))))))))))))))))))))))))))))))))))))
.

2010-01-11 08:46 . 2010-01-11 08:46 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\Malwarebytes
2010-01-11 08:46 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-11 08:46 . 2010-01-11 08:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-01-11 08:46 . 2010-01-11 08:46 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-11 08:46 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-11 08:09 . 2010-01-11 08:28 -------- d-----w- C:\UsbFix
2010-01-11 08:05 . 2010-01-11 08:06 -------- d-----w- C:\ST_Fix
2010-01-10 09:37 . 2010-01-10 09:39 -------- d-----w- c:\program files\ZHPDiag
2010-01-09 11:19 . 2010-01-09 11:19 -------- d-----w- c:\documents and settings\test\Local Settings\Application Data\ArcSoft
2010-01-09 11:19 . 2010-01-09 11:19 -------- d-----w- c:\documents and settings\test\Local Settings\Application Data\Google
2010-01-09 08:03 . 2010-01-09 08:03 114688 --sh--r- C:\31lyx.exe
2010-01-08 17:22 . 2010-01-08 17:21 120320 --sh--r- C:\mltox.exe
2010-01-07 17:39 . 2010-01-07 17:38 121344 --sh--r- C:\f2kmj.exe
2010-01-05 10:29 . 2010-01-05 10:29 -------- d-----w- c:\documents and settings\GENIEZ\Local Settings\Application Data\Mozilla
2009-12-24 13:57 . 2002-03-13 16:46 53248 ----a-w- c:\windows\system32\zlib.dll
2009-12-24 13:57 . 2009-12-24 13:57 -------- d-----w- c:\program files\scrabbleproB
2009-12-19 09:55 . 2009-12-19 10:00 -------- d-----w- c:\program files\QuickTime
2009-12-19 09:55 . 2009-12-19 09:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-12-19 09:49 . 2009-12-19 09:49 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\InstallShield
2009-12-19 09:40 . 2009-12-19 09:40 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\Apple Computer
2009-12-18 18:26 . 2009-12-19 10:11 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\ArcSoft
2009-12-18 17:41 . 2009-12-18 17:41 -------- d-----w- c:\documents and settings\GENIEZ\Local Settings\Application Data\Apple
2009-12-18 17:41 . 2009-12-18 17:41 -------- d-----w- c:\program files\Apple Software Update
2009-12-18 17:41 . 2009-12-18 17:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-12-18 17:40 . 2009-12-18 17:40 -------- d-----w- c:\documents and settings\GENIEZ\Local Settings\Application Data\Apple Computer
2009-12-18 17:40 . 2009-12-18 17:40 -------- d-----w- c:\documents and settings\GENIEZ\Local Settings\Application Data\ArcSoft
2009-12-18 17:37 . 2005-02-23 13:58 11776 ----a-w- c:\windows\system32\drivers\afc.sys
2009-12-18 17:37 . 2005-04-27 15:36 245408 ----a-w- c:\windows\system32\unicows.dll
2009-12-18 17:37 . 2009-12-18 17:38 -------- d-----w- c:\program files\Fichiers communs\ArcSoft
2009-12-18 17:37 . 2007-03-07 15:05 126976 ----a-w- c:\windows\system32\MediaImpression Slideshow.scr
2009-12-18 17:36 . 2009-12-19 09:58 -------- d-----w- c:\windows\system32\MediaImpression Slideshow
2009-12-18 17:36 . 2009-12-18 17:36 -------- d-----w- c:\program files\ArcSoft
2009-12-18 17:35 . 2009-12-19 09:51 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\Panasonic
2009-12-18 17:31 . 2008-09-25 20:07 45056 ----a-w- c:\windows\system32\PhDi2.sys
2009-12-18 17:31 . 2009-12-18 17:31 -------- d-----w- c:\program files\Panasonic

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-11 17:27 . 2006-10-10 14:48 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\OpenOffice.org2
2009-12-19 09:50 . 2004-08-24 19:27 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-18 17:35 . 2004-09-09 15:26 38480 ----a-w- c:\documents and settings\GENIEZ\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-18 17:30 . 2002-09-30 10:49 77358 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-18 17:30 . 2002-09-30 10:49 473444 ----a-w- c:\windows\system32\perfh00C.dat
2009-03-21 14:07 . 2002-09-30 10:49 168772 --sha-r- c:\windows\system32\mmaunee.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-22 39408]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-03-28 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-12 4112384]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\GENIEZ\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.0.lnk - c:\program files\OpenOffice.org 2.0\program\quickstart.exe [2005-9-23 61440]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]
PHOTOfunSTUDIO.lnk - c:\program files\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe [2009-12-19 44176]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7305:TCP"= 7305:TCP:tgjtxy

S2 iaqlao;Monitor Update;c:\windows\system32\svchost.exe -k netsvcs [30/09/2002 11:49 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
iaqlao
.
Contenu du dossier 'Tâches planifiées'

2009-12-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2005-07-22 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8107769016.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]

2009-12-04 c:\windows\Tasks\Norton AntiVirus - Analyser mon ordinateur.job
- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2003-08-22 18:06]

2004-09-10 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2004-08-24 11:39]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = hxxp://renewalcenter.symantec.com/storefront/user/home.jsp?p_contact_id=900669312&p_checksum=a36424aeed25d29d2ded8a5df5dae63f&p_vendor_id=&p_vendor_tag=&p_cversion=241
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-Dynamic Toolbar_is1 - c:\program files\Dynamic Toolbar\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-12 13:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MysqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-nt MysqlInventime"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iaqlao]
"ServiceDll"="c:\windows\system32\mmaunee.dll"
.
Heure de fin: 2010-01-12 13:44:43
ComboFix-quarantined-files.txt 2010-01-12 12:44

Avant-CF: 62 247 223 296 octets libres
Après-CF: 62 608 306 176 octets libres

- - End Of File - - 05884F71AD7EF96546EA69442D52C2D5
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Très bien, on va maintenant utiliser un script ciblé pour supprimer les éléments néfastes qui restent


/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour nelly, il n'est pas transposable sur un autre ordinateur !

• Télécharge ce dossier nelly.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

Bonjour Anthony,

J'ai suivi vos instructions à la lettre. Voici le rapport demandé : (en attendant merci !)


ComboFix 10-01-11.03 - GENIEZ 13/01/2010 8:50.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.255.96 [GMT 1:00]
Lancé depuis: c:\documents and settings\GENIEZ\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\GENIEZ\Bureau\CFScript.txt
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IAQLAO
-------\Service_iaqlao


((((((((((((((((((((((((((((( Fichiers créés du 2009-12-13 au 2010-01-13 ))))))))))))))))))))))))))))))))))))
.

2010-01-11 08:46 . 2010-01-11 08:46 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\Malwarebytes
2010-01-11 08:46 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-11 08:46 . 2010-01-11 08:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-01-11 08:46 . 2010-01-11 08:46 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-11 08:46 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-11 08:09 . 2010-01-11 08:28 -------- d-----w- C:\UsbFix
2010-01-11 08:05 . 2010-01-11 08:06 -------- d-----w- C:\ST_Fix
2010-01-10 09:37 . 2010-01-10 09:39 -------- d-----w- c:\program files\ZHPDiag
2010-01-09 11:19 . 2010-01-09 11:19 -------- d-----w- c:\documents and settings\test\Local Settings\Application Data\ArcSoft
2010-01-09 11:19 . 2010-01-09 11:19 -------- d-----w- c:\documents and settings\test\Local Settings\Application Data\Google
2010-01-05 10:29 . 2010-01-05 10:29 -------- d-----w- c:\documents and settings\GENIEZ\Local Settings\Application Data\Mozilla
2009-12-24 13:57 . 2002-03-13 16:46 53248 ----a-w- c:\windows\system32\zlib.dll
2009-12-24 13:57 . 2009-12-24 13:57 -------- d-----w- c:\program files\scrabbleproB
2009-12-19 09:55 . 2009-12-19 10:00 -------- d-----w- c:\program files\QuickTime
2009-12-19 09:55 . 2009-12-19 09:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-12-19 09:49 . 2009-12-19 09:49 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\InstallShield
2009-12-19 09:40 . 2009-12-19 09:40 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\Apple Computer
2009-12-18 18:26 . 2009-12-19 10:11 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\ArcSoft
2009-12-18 17:41 . 2009-12-18 17:41 -------- d-----w- c:\documents and settings\GENIEZ\Local Settings\Application Data\Apple
2009-12-18 17:41 . 2009-12-18 17:41 -------- d-----w- c:\program files\Apple Software Update
2009-12-18 17:41 . 2009-12-18 17:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-12-18 17:40 . 2009-12-18 17:40 -------- d-----w- c:\documents and settings\GENIEZ\Local Settings\Application Data\Apple Computer
2009-12-18 17:40 . 2009-12-18 17:40 -------- d-----w- c:\documents and settings\GENIEZ\Local Settings\Application Data\ArcSoft
2009-12-18 17:37 . 2005-02-23 13:58 11776 ----a-w- c:\windows\system32\drivers\afc.sys
2009-12-18 17:37 . 2005-04-27 15:36 245408 ----a-w- c:\windows\system32\unicows.dll
2009-12-18 17:37 . 2009-12-18 17:38 -------- d-----w- c:\program files\Fichiers communs\ArcSoft
2009-12-18 17:37 . 2007-03-07 15:05 126976 ----a-w- c:\windows\system32\MediaImpression Slideshow.scr
2009-12-18 17:36 . 2009-12-19 09:58 -------- d-----w- c:\windows\system32\MediaImpression Slideshow
2009-12-18 17:36 . 2009-12-18 17:36 -------- d-----w- c:\program files\ArcSoft
2009-12-18 17:35 . 2009-12-19 09:51 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\Panasonic
2009-12-18 17:31 . 2008-09-25 20:07 45056 ----a-w- c:\windows\system32\PhDi2.sys
2009-12-18 17:31 . 2009-12-18 17:31 -------- d-----w- c:\program files\Panasonic

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-13 08:06 . 2006-10-10 14:48 -------- d-----w- c:\documents and settings\GENIEZ\Application Data\OpenOffice.org2
2009-12-19 09:50 . 2004-08-24 19:27 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-18 17:35 . 2004-09-09 15:26 38480 ----a-w- c:\documents and settings\GENIEZ\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-18 17:30 . 2002-09-30 10:49 77358 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-18 17:30 . 2002-09-30 10:49 473444 ----a-w- c:\windows\system32\perfh00C.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-22 39408]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"AdobeUpdater"="c:\program files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2008-09-26 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-03-28 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-12 4112384]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - HTTPFILTER
.
Contenu du dossier 'Tâches planifiées'

2009-12-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2005-07-22 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8107769016.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]

2009-12-04 c:\windows\Tasks\Norton AntiVirus - Analyser mon ordinateur.job
- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2003-08-22 18:06]

2004-09-10 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2004-08-24 11:39]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = hxxp://renewalcenter.symantec.com/storefront/user/home.jsp?p_contact_id=900669312&p_checksum=a36424aeed25d29d2ded8a5df5dae63f&p_vendor_id=&p_vendor_tag=&p_cversion=241
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-13 09:03
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MysqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-nt MysqlInventime"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(352)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Fichiers communs\Symantec Shared\ccProxy.exe
c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\program files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
c:\windows\System32\nvsvc32.exe
c:\program files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
c:\windows\system32\slserv.exe
c:\program files\Fichiers communs\Symantec Shared\SNDSrvc.exe
c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
c:\windows\system32\wscntfy.exe
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
c:\program files\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe
c:\program files\OpenOffice.org 2.0\program\soffice.exe
c:\program files\OpenOffice.org 2.0\program\soffice.BIN
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
.
**************************************************************************
.
Heure de fin: 2010-01-13 09:13:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-13 08:13

Avant-CF: 62 601 912 320 octets libres
Après-CF: 62 501 294 080 octets libres

- - End Of File - - 48953726AF09BCD002C683E64E5EC2E6
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
De rien ;)


Je récapitule donc rapidement :

- AntiVir pour aider à protéger l'ordinateur des infections (là tu n'as rien à faire normalement, il se met à jour automatiquement et protège en temps réel)
- MalwaresBytes pour faire un scan de vérification de temps en temps
- Update Checker pour t'aider à garder tous tes logiciels à jour, évitant ainsi les failles de sécurité

Pour vacciner tes disques amovibles : USBFix
Si tu achètes de nouveaux disques amovibles ou qu'une autre personne doit brancher un disque amovible sur ton ordinateur, vaccine les avec USBFix avant de les utiliser.

CCleaner lui sert à supprimer les fichiers temporaires qui s'entassent inutilement sur l'ordinateur (une fréquence d'une fois par mois me parait bonne). Ca n'a pas de rapport direct avec la sécurité, c'est de l'optimisation



Bonne continuation :)

Merci encore et bonne continuation !

Nelly
Bonjour,
Je pense également être infecté par Conficker. Voila 2 jours que mon antivirus ne veut plus se mettre à jour. J'ai scanne ma clé USB avec l'antivirus et j'ai trouvé Conficker. J'ai fait le test en ligne qui s'est avéré positif pour l'infection (on me dit que j'ai la variante A ou B) et effectivement je ne pouvais pas aller sur les sites d'antivirus.
J'ai restauré mon ordinateur à une date antérieure à il y a 2 jours, et je peut aller de nouveau sur les site d'antivirus, et le test en ligne est négatif pour l'infection.
j'ai effectué l'opération 2 fois
infection-> test en ligne positif
restauration->test en ligne negatif
brachement d'une cle infectee-> test en ligne positif
restauration->test en ligne negatif
Comment s'assurer que l'ordianteur n'est plus infecté.
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Bonjour Eric,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

J'ai essayer de lancer zhpdiag mais à 66% de recherche il met met une erreur:"service ou groupe de dependance n'a pas pu demarrer". Ce matin j'avais essaye d'enlever conficker avec les outils de kapersky et bitdefender. Ensuite je suis alle sur ce site et j'ai vu que certains avaient telecherger malwarebyte et scanne. j'ai fait de meme et j'ai supprime les elements infectes. Est ce que par inadvertance, j'ai supprime des choses qui font marcher zhpdiag? J'ai restaure les fichiers de la quarantaine et meme restaure l'ordinateur mais rien n'y fait.
Desole je suis vraiment nul en info.
Je met quand meme le rapport de Malwarebytes au cas ou ca a quelque chose a voir.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4773

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08/10/2010 13:18:38
mbam-log-2010-10-08 (13-18-38).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 190485
Temps écoulé: 44 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\pdfforge Toolbar\WidgiHelper.exe (Adware.WidgiToolbar) -> No action taken.
C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> No action taken.
C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Adware.WidgiToolbar) -> No action taken.
Messages postés
7094
Date d'inscription
dimanche 13 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
15 octobre 2015
231
Hello Anthony et Eric,

Je me permet pour avancer:

Eric:

1/
Branche tout support USB sur ton PC.
Poste le rapport de recherche d'UsbFix ensuite.

2/
- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.

____________________________________________________
Tu as donc 3 rapports à copier/coller dans 3 messages différents ou bien tu peux les héberger sur ce site et nous coller les liens ici.


PS: Tu n'as rien viré avec MBAM: Tu peux tout mettre en quarantaine et supprimer.
Pour usbfix, j'avais deja essaye mais ca ne marche pas sur mon ordi. Il ne veut pas se lancer.
Bon RSIT ca marche. donc voila les deux fichiers.

le fichier info.txt
http://www.cijoint.fr/cjlink.php?file=cj201010/cijfLSRYYS.txt
et le fichier log.txt
http://www.cijoint.fr/cjlink.php?file=cj201010/cijtxbpRQO.txt
Je re-up le topic avec le rapport ci-dessus. Je voulais savoir si Conficker y etait toujours. Je poste a partir d'un autre ordinateur et je ne me servirai de l'ordi infecte que demain apres midi. Et comme je n'irai pas sur le net demain matin c'etait pour gagner un peu de temps.
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Salut Trying2 :)


Eric :

* Télécharge ComboFix (de sUBs) sur ton Bureau.
* Désactive tous tes logiciels de protection.
* Double-clique sur ComboFix.exe afin de le lancer.
* Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
* Ne touche à rien pendant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

voici le log. Peux tu me dire si le virus y etait avant?
http://www.cijoint.fr/cjlink.php?file=cj201010/cijDrhZPpo.txt
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
1) /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour eric, il n'est pas transposable sur un autre ordinateur !

* Télécharge ce dossier script_eric_CCM.zip
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt



2) Il y a une barre d'outil néfaste sur ton ordinateur (Search Settings)... Pour éviter ce genre d'infection, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

* Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report.log )



3) Fais redémarrer ton ordinateur et essaye de faire une nouvelle analyse avec ZHPDiag stp