Sujet Précédent Sujet Suivant

Pc portable infecté

Menzostar -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
J'ai grandement besoin d'aide et il me semble que ce forum soit a la hauteur de mes espérances!
Merci d'avance pour votre service.
Ci joint le log Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:34, on 11/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\qtplugin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Scierie\quuubij.exe
C:\WINDOWS\msb.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RegistryMonitor1] C:\WINDOWS\system32\qtplugin.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [quuubij] C:\Documents and Settings\Scierie\quuubij.exe
O4 - HKCU\..\Run: [LREC75DND7] C:\DOCUME~1\Scierie\LOCALS~1\Temp\f.exe
O4 - HKCU\..\Run: [Scierie] C:\Documents and Settings\Scierie\Scierie.exe
O4 - HKCU\..\Run: [E8WECRKKMV] C:\WINDOWS\msb.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
A voir également:

22 réponses

  • 1
  • 2
Réponse 1 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
salut,

infections multiples ....

/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

Commence par ceci dans l'ordre :

1- Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

ou de celui-ci > http://ww11.genproc.com/spybot/spybot.html

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .

========================

2- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

Laisses travailler l'outil ...

> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...

> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

======================

3- Lance de nouveau ZHPDiag,

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.

Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .

* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

0
Menzostar
 
Merci pour cette réponse ultra rapide,
Ci-joint les 2 liens (étapes 2 et 3) pour les 2 rapport ZHPDiag.

http://www.cijoint.fr/cjlink.php?file=cj201001/cijavG7wKY.txt
http://www.cijoint.fr/cjlink.php?file=cj201001/cij0UapNc7.txt

Menzo
0
Réponse 2 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ....

pas mal de travail ....

Commence par ceci dans l'ordre :

1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\Documents and Settings\Scierie\quuubij.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

Fais de même pour :

C:\Documents and Settings\Scierie\Scierie.exe
C:\setupfre.exe

Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fais la suite ...

======================

3- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

0
Réponse 3 / 22
Menzostar
 
OK, ci-joint, les 3 rapports de Virustotal.com:

1: "C:\Documents and Settings\Scierie\quuubij.exe "

Fichier quuubij.exe_ reçu le 2010.01.11 18:37:15 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 11/41 (26.83%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 4.
L'heure estimée de démarrage est entre 70 et 100 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.48 2010.01.11 Worm.Win32.VBNA!IK
AhnLab-V3 5.0.0.2 2010.01.11 -
AntiVir 7.9.1.134 2010.01.11 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.01.11 -
Authentium 5.2.0.5 2010.01.10 -
Avast 4.8.1351.0 2010.01.11 Win32:VB-ODI
AVG 9.0.0.725 2010.01.11 -
BitDefender 7.2 2010.01.11 -
CAT-QuickHeal 10.00 2010.01.11 -
ClamAV 0.94.1 2010.01.11 -
Comodo 3547 2010.01.11 -
DrWeb 5.0.1.12222 2010.01.11 -
eSafe 7.0.17.0 2010.01.11 -
eTrust-Vet 35.2.7229 2010.01.11 -
F-Prot 4.5.1.85 2010.01.10 -
F-Secure 9.0.15370.0 2010.01.11 -
Fortinet 4.0.14.0 2010.01.09 -
GData 19 2010.01.11 Win32:VB-ODI
Ikarus T3.1.1.80.0 2010.01.11 Worm.Win32.VBNA
Jiangmin 13.0.900 2010.01.11 -
K7AntiVirus 7.10.944 2010.01.11 -
Kaspersky 7.0.0.125 2010.01.11 Worm.Win32.VBNA.kbj
McAfee 5858 2010.01.11 -
McAfee+Artemis 5858 2010.01.11 -
McAfee-GW-Edition 6.8.5 2010.01.11 Trojan.Dropper.Gen
Microsoft 1.5302 2010.01.11 -
NOD32 4762 2010.01.11 a variant of Win32/AutoRun.VB.IH
Norman 6.04.03 2010.01.11 -
nProtect 2009.1.8.0 2010.01.11 -
Panda 10.0.2.2 2010.01.11 -
PCTools 7.0.3.5 2010.01.11 Downloader.Generic
Prevx 3.0 2010.01.11 -
Rising 22.30.00.05 2010.01.11 -
Sophos 4.49.0 2010.01.11 -
Sunbelt 3.2.1858.2 2010.01.10 Worm.Win32.Vobfus.gen (v)
Symantec 20091.2.0.41 2010.01.11 Downloader
TheHacker 6.5.0.3.146 2010.01.11 -
TrendMicro 9.120.0.1004 2010.01.11 -
VBA32 3.12.12.1 2010.01.11 -
ViRobot 2010.1.11.2130 2010.01.11 -
VirusBuster 5.0.21.0 2010.01.11 -
Information additionnelle
File size: 81920 bytes
MD5...: 31cdf0a9326b721fcfcac3d06251ceec
SHA1..: 1cc525d82b89196a2f4bff8d3c0dd53f9bfc528f
SHA256: 6ce23eed40a5dec4b96931a77149ec9212492b13fb7a3d53eaa6fb35724f3c79
ssdeep: 1536:z31YBRshbZX4ECHWjJNuItOE405jP/q0UkuOOCN9u00m:B2qhd4e405jP/q
0UkuOOCND0m

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11b4
timedatestamp.....: 0x4b4200b0 (Mon Jan 04 14:52:32 2010)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1189c 0x12000 5.20 8906b7b055808a6d7a97755fcccc9026
.data 0x13000 0x2430 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x16000 0x270 0x1000 4.28 40c2eb019c62ab6f771a19f02e2ab220

( 1 imports )
> MSVBVM60.DLL: -, -, -, -, MethCallEngine, -, -, -, -, -, -, -, -, -, -, -, EVENT_SINK_AddRef, -, -, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, -, -, ProcCallEngine, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )

RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: jZvquBAn
copyright....: n/a
product......: jZvquBAn
description..: n/a
original name: jZvquBAn.exe
internal name: jZvquBAn
file version.: 9.96
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

2: "C:\Documents and Settings\Scierie\Scierie.exe "

Fichier non trouvé par virustotal.com...

3: "C:\setupfre.exe "

Bigger than max permited size / Mayor del tamaño máximo permitido

Je fais tout de meme la suite des opérations comme vous me l'avez indiqué.
Menzo
0
Réponse 4 / 22
Menzostar
 
Et voici le rapport UsbFix:

############################## | UsbFix V6.073 |

User : Scierie (Administrateurs) # LAUNAY
Update on 09/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:03:48 | 11/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Mobile AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1368 [VPS 100111-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 35,7 Go (28,01 Go free) [ACER] # FAT32
D:\ -> Disque fixe local # 35,87 Go (7,96 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,76 Go (665,46 Mo free) [INTENSO] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 564
C:\WINDOWS\system32\csrss.exe 628
C:\WINDOWS\system32\winlogon.exe 652
C:\WINDOWS\system32\services.exe 696
C:\WINDOWS\system32\lsass.exe 708
C:\WINDOWS\system32\svchost.exe 848
C:\WINDOWS\system32\svchost.exe 904
C:\WINDOWS\System32\svchost.exe 944
C:\WINDOWS\system32\svchost.exe 1012
C:\WINDOWS\system32\svchost.exe 1196
C:\WINDOWS\Explorer.EXE 1264
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1492
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1540
C:\WINDOWS\system32\spoolsv.exe 1888
C:\WINDOWS\system32\svchost.exe 524
C:\WINDOWS\system32\wdfmgr.exe 972
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1592
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 1884
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe 124
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 1960
C:\WINDOWS\AGRSMMSG.exe 152
C:\WINDOWS\system32\Rundll32.exe 164
C:\WINDOWS\system32\keyhook.exe 272
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 1452
C:\WINDOWS\system32\qtplugin.exe 1400
C:\WINDOWS\System32\alg.exe 1840
C:\WINDOWS\system32\ctfmon.exe 1388
C:\Program Files\Messenger\msmsgs.exe 2264
C:\WINDOWS\System32\svchost.exe 2528
C:\Program Files\acer\eRecovery\Monitor.exe 2616
C:\Program Files\Internet Explorer\iexplore.exe 3072
C:\WINDOWS\system32\wbem\wmiprvse.exe 616

################## | Elements infectieux |

C:\Documents and Settings\Scierie\quuubij.exe
C:\Documents and Settings\Scierie\quuubij.scr
C:\Documents and Settings\Scierie\autorun.inf
C:\WINDOWS\antiv.exe
C:\WINDOWS\msa.exe
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\System32\qtplugin.exe
C:\WINDOWS\temp\vteu.tmp\svchost.exe
F:\autorun.inf
F:\Documents .lnk
F:\Music .lnk
F:\New Folder .lnk
F:\Passwords .lnk
F:\Pictures .lnk
F:\Video .lnk
Supprimé ! F:\quuubij.exe
Supprimé ! F:\quuubij.scr

################## | Registre |

[HKCU\SOFTWARE\LREC75DND7]
[HKCU\SOFTWARE\Microsoft\Handle]
[HKCU\SOFTWARE\XML]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LREC75DND7"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Scierie"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "RegistryMonitor1"
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{5fa974ec-fae2-11de-a1cd-00c09fcb850a}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MENZOo.exe

HKCU\..\..\Explorer\MountPoints2\{85f24984-f971-11de-a1c9-00c09fcb850a}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL meNZOo.eXE

################## | Cracks > Keygens > Serials |

"F:\._Serial_IK.Multimedia.ARC.System.VST.RTAS.1.1.45059.exe"
11/01/2010 02:09 |Size 4096 |Crc32 a433bde1 |Md5 88c787453cbd32f4f263657dc2ae3261

################## | ! Fin du rapport # UsbFix V6.073 ! |
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ....

la suite :

1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Réponse 6 / 22
Menzostar
 
Voici le rapport de UsbFix apres suppression:

############################## | UsbFix V6.073 |

User : Scierie (Administrateurs) # LAUNAY
Update on 09/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:27:18 | 11/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Mobile AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1368 [VPS 100111-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 35,7 Go (27,98 Go free) [ACER] # FAT32
D:\ -> Disque fixe local # 35,87 Go (7,96 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,76 Go (665,62 Mo free) [INTENSO] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 564
C:\WINDOWS\system32\csrss.exe 628
C:\WINDOWS\system32\winlogon.exe 652
C:\WINDOWS\system32\services.exe 696
C:\WINDOWS\system32\lsass.exe 708
C:\WINDOWS\system32\svchost.exe 852
C:\WINDOWS\system32\svchost.exe 904
C:\WINDOWS\System32\svchost.exe 944
C:\WINDOWS\system32\svchost.exe 1040
C:\WINDOWS\system32\svchost.exe 1148
C:\WINDOWS\Explorer.EXE 1264
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1468
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1520
C:\WINDOWS\system32\spoolsv.exe 184
C:\WINDOWS\system32\svchost.exe 508
C:\WINDOWS\system32\wdfmgr.exe 632
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1648
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 1748
C:\WINDOWS\System32\alg.exe 444
C:\WINDOWS\system32\wbem\wmiprvse.exe 612

################## | Elements infectieux |

Supprimé ! C:\Documents and Settings\Scierie\autorun.inf
Supprimé ! C:\WINDOWS\antiv.exe
Supprimé ! C:\WINDOWS\msa.exe
Supprimé ! C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
Supprimé ! C:\WINDOWS\System32\qtplugin.exe
Supprimé ! C:\WINDOWS\temp\vteu.tmp\svchost.exe
Supprimé ! F:\Documents .lnk
Supprimé ! F:\Music .lnk
Supprimé ! F:\New Folder .lnk
Supprimé ! F:\Passwords .lnk
Supprimé ! F:\Pictures .lnk
Supprimé ! F:\Video .lnk
Supprimé ! F:\autorun.inf

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\LREC75DND7]
Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]
Supprimé ! [HKCU\SOFTWARE\XML]
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LREC75DND7"
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Scierie"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "RegistryMonitor1"
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{5fa974ec-fae2-11de-a1cd-00c09fcb850a}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{85f24984-f971-11de-a1c9-00c09fcb850a}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[11/03/2005 10:07|-rahs----|75] C:\PRELOAD.AAA
[07/03/2005 20:06|---hs----|512] C:\BOOTSECT.DOS
[05/08/2004 05:00|-rahs----|4952] C:\Bootfont.bin
[05/08/2004 05:00|-rahs----|251712] C:\ntldr
[05/08/2004 05:00|-rahs----|47564] C:\NTDETECT.COM
[18/11/2009 12:36|-rahs----|216] C:\boot.ini
[07/03/2005 20:25|--a------|0] C:\CONFIG.SYS
[11/03/2005 09:58|--a------|100] C:\AUTOEXEC.BAT
[07/03/2005 20:25|-rahs----|0] C:\IO.SYS
[07/03/2005 20:25|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[?|?|?] C:\hiberfil.sys
[04/01/2010 22:14|--a------|42849712] C:\setupfre.exe
[11/01/2010 21:32|--a------|3672] C:\UsbFix.txt
[16/11/2009 22:38|--ahs----|26112] D:\Thumbs.db
[11/01/2010 12:26|--a------|16409960] D:\spybotsd162.exe
[11/01/2010 13:17|--a------|6162112] D:\spybotsd_includes.exe
[11/01/2010 16:53|--a------|812344] D:\HJTInstall.exe
[11/01/2010 18:01|--a------|1120127] D:\ZHPDiag.zip
[11/01/2010 21:02|--a------|1669106] D:\UsbFix.exe
[06/11/2009 23:08|-r-hs----|40960] F:\steven.exe
[15/12/2009 20:26|--a------|296] F:\WMPInfo.xml
[03/12/2009 23:44|--a------|19504] F:\kool shen feat oxmo puccino - dernier round.aup
[16/12/2009 16:06|--ah-----|4096] F:\._.Trashes
[06/01/2010 22:21|--a------|17136104] F:\TRTRTR.wav
[06/01/2010 22:14|--a------|4008244] F:\16juin.wav
[15/06/2008 11:33|---hs----|52224] F:\Start.exe
[09/11/2009 01:04|-r-hs----|40960] F:\vincent da cruz.exe
[30/12/2009 22:50|--ah-----|4096] F:\._sdsetup.exe
[04/12/2009 00:36|--a------|20226] F:\tandem feat eben kdd et sniper - meilleurs voeux.aup
[16/03/2006 18:08|--a------|726265856] F:\Alone_In_The_Dark.FRENCH.DVDRip-XViD-GAULOIS.by.eMule-Paradise.com.avi
[04/12/2009 04:13|--a------|12889] F:\tandem - imagine.aup
[04/12/2009 04:23|--a------|17411] F:\youssoupha - les apparences nous mentent.aup
[06/01/2010 22:05|--a------|6350504] F:\7 juin 2009.wav
[05/01/2010 22:41|--ah-----|4096] F:\._08 The Edge of Heaven.m4a
[05/01/2010 22:01|--a------|11136474] F:\08 The Edge of Heaven.mp3
[11/01/2010 01:55|--a------|18809328] F:\IK.Multimedia.ARC.System.VST.RTAS.v1.1.rar
[25/12/2009 04:39|--ah-----|4096] F:\._WDSmartWare_SoftwareUpdater_for_Windows_1_2_0_7a.exe
[25/12/2009 04:39|--ah-----|4096] F:\._EssentialEliteFirmwareUpdater_v1005
[28/12/2009 02:09|--a------|15452364] F:\IZotope_Ozone_VST_DX_RTAS_HTDM_v4.03.rar
[28/12/2009 02:09|--ah-----|4096] F:\._IZotope_Ozone_VST_DX_RTAS_HTDM_v4.03.rar
[05/01/2010 22:41|--ah-----|4096] F:\._08 The Edge of Heaven.mp3
[11/01/2010 02:30|--a------|16409960] F:\spybotsd1.6.2_by_UREZO.exe
[29/12/2009 19:54|--ah-----|4096] F:\._De.La.Mancha.Gto.VST.v1.0-peace-out.rar
[11/01/2010 02:09|--ah-----|4096] F:\._IK.Multimedia.ARC.System.VST.RTAS.v1.1.rar
[29/12/2009 19:54|--ah-----|4096] F:\._AF.FLUX.Spring.Pack.Bundle.VST.RTAS.v1.0.4.14-AiR.rar
[07/01/2010 00:19|--a------|3805584] F:\delivrance bounce.wav
[29/12/2009 19:55|--ah-----|4096] F:\._SSL X-ISM Setup.exe
[11/01/2010 02:30|--ah-----|4096] F:\._spybotsd1.6.2_by_UREZO.exe
[29/12/2009 19:56|--ah-----|4096] F:\._ApulSoft.apEQ.VST.v1.3.2.Incl.Keygen-AiR.rar
[21/12/2005 12:42|--a------|702197] F:\SSL LMC-1 Installer.exe
[29/12/2009 19:56|--ah-----|4096] F:\._SSL LMC-1 Installer.exe
[29/12/2009 19:57|--ah-----|4096] F:\._Glass_Viper_1_20_VST_WIN
[29/12/2009 19:57|--ah-----|4096] F:\._UpStereo_2_Win
[07/01/2010 00:59|--a------|18407060] F:\red warrior.wav
[29/12/2009 21:17|--ah-----|4096] F:\._IK.Multimedia.T-RackS.Deluxe.v.3.1.1.VST.RTAS.Incl.KeyGen-DYNAMiCS.rar
[29/12/2009 21:17|--ah-----|4096] F:\._IZotope.Ozone.VST.DX.RTAS.HTDM.v4.0.2.268-AiR.rar
[11/01/2010 02:09|--ah-----|4096] F:\._Serial_IK.Multimedia.ARC.System.VST.RTAS.1.1.45059.exe
[29/12/2009 21:17|--ah-----|4096] F:\._IZotope.Ozone.VST.DX.RTAS.HTDM.v4.01.Incl.Keygen-AiR.rar
[30/12/2009 21:32|--ah-----|4096] F:\._garmin_kgen_1.5.rar
[18/10/2005 00:18|--a------|715233280] F:\Gangsta Cop.avi

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.

################## | Crack > Keygen > Serial |

"F:\._Serial_IK.Multimedia.ARC.System.VST.RTAS.1.1.45059.exe"
11/01/2010 02:09 |Size 4096 |Crc32 a433bde1 |Md5 88c787453cbd32f4f263657dc2ae3261

################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\Scierie\Bureau\UsbFix_Upload_Me_LAUNAY.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.073 ! |
0
Réponse 7 / 22
Menzostar
 
et voici le nouveau scan ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201001/cijN6xdQAe.txt

Menzo.
0
Réponse 8 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
arf ....

la bestiole s'accroche ....

toujours tes unités externes branchées au PC :

vérifies ceci sur VirusTotal :

F:\steven.exe
F:\Start.exe
F:\._sdsetup.exe
F:\._SSL LMC-1 Installer.exe

poste les 4 rapport obtenus pour analyse et attends la suite ...

0
menzostar
 
Bonjour,
Excusez moi pour le retard.
Je vais poster les 4 rapports les uns a la suite des autres.
Merci encore.
Menzo.
0
menzostar > menzostar
 
Fichier steven.exe_ reçu le 2010.01.12 17:45:06 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 31/41 (75.61%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 4.
L'heure estimée de démarrage est entre 70 et 100 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.48 2010.01.12 Worm.Win32.Vobfus!IK
AhnLab-V3 5.0.0.2 2010.01.12 -
AntiVir 7.9.1.134 2010.01.12 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.12 W32/VBTrojan.6!Maximus
Avast 4.8.1351.0 2010.01.11 Win32:VB-NSF
AVG 9.0.0.725 2010.01.12 -
BitDefender 7.2 2010.01.12 Gen:Trojan.Chinky.2
CAT-QuickHeal 10.00 2010.01.12 Worm.VBNA.bgm
ClamAV 0.94.1 2010.01.12 Trojan.Chinky
Comodo 3558 2010.01.12 Worm.Win32.VBNA.fbu0
DrWeb 5.0.1.12222 2010.01.12 Trojan.DownLoad.41501
eSafe 7.0.17.0 2010.01.12 -
eTrust-Vet 35.2.7232 2010.01.12 Win32/Vobfus!generic
F-Prot 4.5.1.85 2010.01.12 W32/VBTrojan.6!Maximus
F-Secure 9.0.15370.0 2010.01.12 Gen:Trojan.Chinky.2
Fortinet 4.0.14.0 2010.01.12 -
GData 19 2010.01.12 Gen:Trojan.Chinky.2
Ikarus T3.1.1.80.0 2010.01.12 Worm.Win32.Vobfus
Jiangmin 13.0.900 2010.01.12 -
K7AntiVirus 7.10.944 2010.01.11 -
Kaspersky 7.0.0.125 2010.01.12 Worm.Win32.VBNA.fbu
McAfee 5859 2010.01.12 Generic Packed.c
McAfee+Artemis 5859 2010.01.12 Generic Packed.c
McAfee-GW-Edition 6.8.5 2010.01.12 Trojan.Dropper.Gen
Microsoft 1.5302 2010.01.12 Worm:Win32/Vobfus.B
NOD32 4765 2010.01.12 a variant of Win32/AutoRun.VB.FL
Norman 6.04.03 2010.01.12 VBWorm.XPH
nProtect 2009.1.8.0 2010.01.12 Trojan/W32.Agent.40960.AAX
Panda 10.0.2.2 2010.01.12 W32/Vobfus.gen.worm
PCTools 7.0.3.5 2010.01.12 Malware.Changeup
Prevx 3.0 2010.01.12 -
Rising 22.30.01.03 2010.01.12 -
Sophos 4.49.0 2010.01.12 W32/SillyFDC-DR
Sunbelt 3.2.1858.2 2010.01.12 Trojan.Win32.VB.gen.1 (v)
Symantec 20091.2.0.41 2010.01.12 W32.Changeup!gen
TheHacker 6.5.0.3.148 2010.01.12 W32/VBNA.fbu
TrendMicro 9.120.0.1004 2010.01.12 WORM_VB.SMP
VBA32 3.12.12.1 2010.01.12 Worm.Win32.VBNA.fbu
ViRobot 2010.1.12.2132 2010.01.12 -
VirusBuster 5.0.21.0 2010.01.12 Worm.VBNA.Gen
Information additionnelle
File size: 40960 bytes
MD5...: 050dcf501b8b7b965385765d9f0d45dc
SHA1..: ed2bc9ca691c244f500e76cf44b3a5f3b974c77c
SHA256: 1d4f3532046136ab2a3fe0fef7d2011fb17dc2def6a65894763971e9b98fdbeb
ssdeep: 768:6oUN0XPBDEQQeGTwK0NHXsH6bJCYhx8HV0kvc:6o9DEzHTwKqWAxcpvc

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1178
timedatestamp.....: 0x386dec40 (Sat Jan 01 12:00:00 2000)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7ce0 0x8000 5.25 8016fe1342f13eae553b4a9bb310e47d
.data 0x9000 0x13b4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xb000 0x134 0x1000 0.32 3142a41b0497be45da822abf1b929466

( 1 imports )
> MSVBVM60.DLL: MethCallEngine, -, -, -, -, -, -, -, -, -, EVENT_SINK_AddRef, -, -, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, -, -, -, ProcCallEngine, -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )

RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
0
menzostar > menzostar
 
F:\Start.exe

0 bytes size received / Se ha recibido un archivo vacio
0
Réponse 9 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
hello,

pas de prb , j'attends les résultats .... ;)

0
menzostar
 
Fichier ._sdsetup.exe_ reçu le 2010.01.12 17:52:05 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 40 et 57 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.48 2010.01.12 -
AhnLab-V3 5.0.0.2 2010.01.12 -
AntiVir 7.9.1.134 2010.01.12 -
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.12 -
Avast 4.8.1351.0 2010.01.11 -
AVG 9.0.0.725 2010.01.12 -
BitDefender 7.2 2010.01.12 -
CAT-QuickHeal 10.00 2010.01.12 -
ClamAV 0.94.1 2010.01.12 -
Comodo 3558 2010.01.12 -
DrWeb 5.0.1.12222 2010.01.12 -
eSafe 7.0.17.0 2010.01.12 -
eTrust-Vet 35.2.7232 2010.01.12 -
F-Prot 4.5.1.85 2010.01.12 -
F-Secure 9.0.15370.0 2010.01.12 -
Fortinet 4.0.14.0 2010.01.12 -
GData 19 2010.01.12 -
Ikarus T3.1.1.80.0 2010.01.12 -
Jiangmin 13.0.900 2010.01.12 -
K7AntiVirus 7.10.944 2010.01.11 -
Kaspersky 7.0.0.125 2010.01.12 -
McAfee 5859 2010.01.12 -
McAfee+Artemis 5859 2010.01.12 -
McAfee-GW-Edition 6.8.5 2010.01.12 -
Microsoft 1.5302 2010.01.12 -
NOD32 4765 2010.01.12 -
Norman 6.04.03 2010.01.12 -
nProtect 2009.1.8.0 2010.01.12 -
Panda 10.0.2.2 2010.01.12 -
PCTools 7.0.3.5 2010.01.12 -
Prevx 3.0 2010.01.12 -
Rising 22.30.01.03 2010.01.12 -
Sophos 4.49.0 2010.01.12 -
Sunbelt 3.2.1858.2 2010.01.12 -
Symantec 20091.2.0.41 2010.01.12 -
TheHacker 6.5.0.3.148 2010.01.12 -
TrendMicro 9.120.0.1004 2010.01.12 -
VBA32 3.12.12.1 2010.01.12 -
ViRobot 2010.1.12.2132 2010.01.12 -
VirusBuster 5.0.21.0 2010.01.12 -
Information additionnelle
File size: 4096 bytes
MD5...: 078b084928ade27655bfe1ca9ef1613d
SHA1..: a89918f5e70cbf6c376762d47093429aaffe9b87
SHA256: 35eba5a83e0ee031fd962e708c0c405a7d70c79b761dd9fed6b413769f606bf4
ssdeep: 6:PgG2z/uOKwviEX62O8smycRgFxi4T8hqHHc4YVp7Z4GVSbt+1SQWZmLmczyqLO
HT:PgNruORv9R4qHqHHoV58USQ/qtwOVV

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

pdfid.: -
trid..: Mac AppleDouble encoded (79.9%)
MacBinary 2 header (20.0%)
0
menzostar > menzostar
 
Fichier ._SSL_LMC-1_Installer.exe_ reçu le 2010.01.12 17:55:15 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 40 et 57 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.48 2010.01.12 -
AhnLab-V3 5.0.0.2 2010.01.12 -
AntiVir 7.9.1.134 2010.01.12 -
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.12 -
Avast 4.8.1351.0 2010.01.11 -
AVG 9.0.0.725 2010.01.12 -
BitDefender 7.2 2010.01.12 -
CAT-QuickHeal 10.00 2010.01.12 -
ClamAV 0.94.1 2010.01.12 -
Comodo 3558 2010.01.12 -
DrWeb 5.0.1.12222 2010.01.12 -
eSafe 7.0.17.0 2010.01.12 -
eTrust-Vet 35.2.7232 2010.01.12 -
F-Prot 4.5.1.85 2010.01.12 -
F-Secure 9.0.15370.0 2010.01.12 -
Fortinet 4.0.14.0 2010.01.12 -
GData 19 2010.01.12 -
Ikarus T3.1.1.80.0 2010.01.12 -
Jiangmin 13.0.900 2010.01.12 -
K7AntiVirus 7.10.944 2010.01.11 -
Kaspersky 7.0.0.125 2010.01.12 -
McAfee 5859 2010.01.12 -
McAfee+Artemis 5859 2010.01.12 -
McAfee-GW-Edition 6.8.5 2010.01.12 -
Microsoft 1.5302 2010.01.12 -
NOD32 4765 2010.01.12 -
Norman 6.04.03 2010.01.12 -
nProtect 2009.1.8.0 2010.01.12 -
Panda 10.0.2.2 2010.01.12 -
PCTools 7.0.3.5 2010.01.12 -
Prevx 3.0 2010.01.12 -
Rising 22.30.01.03 2010.01.12 -
Sophos 4.49.0 2010.01.12 -
Sunbelt 3.2.1858.2 2010.01.12 -
Symantec 20091.2.0.41 2010.01.12 -
TheHacker 6.5.0.3.148 2010.01.12 -
TrendMicro 9.120.0.1004 2010.01.12 -
VBA32 3.12.12.1 2010.01.12 -
ViRobot 2010.1.12.2132 2010.01.12 -
VirusBuster 5.0.21.0 2010.01.12 -
Information additionnelle
File size: 4096 bytes
MD5...: a1537a64c69dd3f18b603315fb4dce7f
SHA1..: 09b1a5d93edc821d9d6180a0db022a4ba05f0b0a
SHA256: 5ef65d8530c4844a953d2c3a7cfe9e38fe88921c1d7b0a4fde26859c169ef95a
ssdeep: 6:PgG2z/u5sKwvi2RHRTN91SQWZmLmczyqLOH1V:PgNru5sRvPN3SQ/qtwOVV

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

trid..: Mac AppleDouble encoded (79.9%)
MacBinary 2 header (20.0%)
0
menzostar > menzostar
 
Voila qui est fait!
0
Réponse 10 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
très bien ....

la suite :

Rends sur cette page :
> https://www.ionos.fr/?affiliate_id=77097

* clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_LAUNAY.zip qui est sur ton bureau .

* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_LAUNAY.zip

recommence la manipe avec avec ce fichier > F:\steven.exe ( Important ! )

merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^

une fois ceci fais , dis le moi et je te donne la suite ...

0
menzostar
 
Voila!
0
Réponse 11 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ....

dans un premier temps , fait ceci dans l'ordre :

! toujours tes unités externes branchées au PC !

1- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

* Double clique sur "OTM.exe" pour ouvrir le prg .

* Ensuite rends toi sur cette page > http://www.cijoint.fr/cj201001/cijzYWnbX2.txt

* Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
menzostar
 
All processes killed
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\E8WECRKKMV deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\quuubij deleted successfully.
========== FILES ==========
File/Folder C:\Documents and Settings\Scierie\quuubij.exe not found.
File/Folder C:\WINDOWS\msb.exe not found.
F:\steven.exe moved successfully.
F:\vincent da cruz.exe moved successfully.
F:\._sdsetup.exe moved successfully.
F:\._08 The Edge of Heaven.m4a moved successfully.
F:\._WDSmartWare_SoftwareUpdater_for_Windows_1_2_0_7a.exe moved successfully.
F:\._EssentialEliteFirmwareUpdater_v1005 moved successfully.
F:\._IZotope_Ozone_VST_DX_RTAS_HTDM_v4.03.rar moved successfully.
F:\._08 The Edge of Heaven.mp3 moved successfully.
F:\._De.La.Mancha.Gto.VST.v1.0-peace-out.rar moved successfully.
F:\._IK.Multimedia.ARC.System.VST.RTAS.v1.1.rar moved successfully.
F:\._AF.FLUX.Spring.Pack.Bundle.VST.RTAS.v1.0.4.14-AiR.rar moved successfully.
F:\._SSL X-ISM Setup.exe moved successfully.
F:\._spybotsd1.6.2_by_UREZO.exe moved successfully.
F:\._ApulSoft.apEQ.VST.v1.3.2.Incl.Keygen-AiR.rar moved successfully.
F:\._SSL LMC-1 Installer.exe moved successfully.
F:\._Glass_Viper_1_20_VST_WIN moved successfully.
F:\._UpStereo_2_Win moved successfully.
File/Folder F:\._IK.Multimedia.T-RackS.Deluxe.v.3.1.1.VST.RTAS.Incl.KeyG­en-DYNAMiCS.rar not found.
F:\._IZotope.Ozone.VST.DX.RTAS.HTDM.v4.0.2.268-AiR.rar moved successfully.
F:\._Serial_IK.Multimedia.ARC.System.VST.RTAS.1.1.45059.exe moved successfully.
File/Folder F:\._IZotope.Ozone.VST.DX.RTAS.HTDM.v4.01.Incl.Keygen-AiR.ra­r not found.
F:\._garmin_kgen_1.5.rar moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Scierie
->Temp folder emptied: 189608 bytes
->Temporary Internet Files folder emptied: 82285920 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 147904 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 443947 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 79,00 mb


OTM by OldTimer - Version 3.1.5.0 log created on 01122010_192310

Files moved on Reboot...
C:\Documents and Settings\Scierie\Local Settings\Temporary Internet Files\Content.IE5\KX2FK5UB\win_png[1].htc moved successfully.
C:\Documents and Settings\Scierie\Local Settings\Temporary Internet Files\Content.IE5\SDQF856V\spip[1].php moved successfully.
File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
C:\WINDOWS\temp\Perflib_Perfdata_5e8.dat moved successfully.

Registry entries deleted on Reboot...
0
menzostar > menzostar
 
Et voici le scan ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201001/cij1yeCtyJ.txt
0
Réponse 12 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

il y en a un qui est passé au travers ! ... grrr l'infection se relance du coup ...

supprime manuellement ce dernier >
F:\._IZotope.Ozone.VST.DX.RTAS.HTDM.v4.01.Incl.Keygen-AiR.rar

puis fait ceci :

1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> http://www.cijoint.fr/cj201001/cijjtqHDeW.txt

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres comme sur cette page lorsque tu les copies dans ZHPFix.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .

-> laisse travailler l'outil et ne touche à rien ...

-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...

==========================

2- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

======================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
menzostar
 
ZHPFix v1.12.25 by Nicolas Coolman - Rapport de suppression du 12/01/2010 19:56:11
Fichier d'export Registre : C:\ZHPExportRegistry-12-01-2010-19-56-11.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL QuUUBIj.exE C:\WINDOWS\system32\drivers\str.sys => Fichier absent

Clé du Registre :
O51 - MPSK:{faf0f716-d483-11de-a198-00c09fcb850a}\Shell\AutoRun\command - => Clé supprimée avec succès
O64 - Services: CurCS - oeodqfgmytyxn (oeodqfgmytyxn) - LEGACY_OEODQFGMYTYXN => Clé supprimée avec succès

Valeur du Registre :
O4 - HKCU\..\Run: [quuubij] C:\Documents and Settings\Scierie\quuubij.exe => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\documents and settings\scierie\quuubij.exe => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 1
Clé du Registre : 2
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 0
Autre : 0


End of the scan
0
menzostar > menzostar
 
Et voici le rapport DHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201001/cijY6DBuwo.txt
0
menzostar > menzostar
 
Avast viens de me trouver deux nouvelles infections:

C:\WINDOWS\TEMP\2C.tmp\[UPX]
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > menzostar
 
re,


pas étonnant .... on avance mais il reste du job ! .... ^^


la suite ici > https://forums.commentcamarche.net/forum/affich-16103527-pc-portable-infecte#25


0
Réponse 13 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien ....

on avance .... ^^

Retire tes unités externes pour le moment et n'y touche plus ! ( si il y a besoin de les rebrancher , je te le dirais )

la suite :

1- Télécharges Malwarebytes' :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

======================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
menzostar
 
Et voici le nouveau rapport ZHPDIag:

http://www.cijoint.fr/cjlink.php?file=cj201001/cijsSbStDP.txt

Merci, Menzo.
0
Réponse 14 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Re

et le rapport MBAM stp ?....

(Ouvre malwarebytes et va dans l'onglet "rapport/log"de Malwarebytes', le dernier en date)

0
menzostar
 
Oh pardon j'ai oublié!
Le voici:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3550
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

12/01/2010 20:41:37
mbam-log-2010-01-12 (20-41-37).txt

Type de recherche: Examen rapide
Eléments examinés: 102117
Temps écoulé: 5 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\Temp\11.tmp (Backdoor.Bot) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\E8WECRKKMV (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe rundll32.exe ujvh.dro qulbhx) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\Temp\11.tmp (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\ujvh.dro (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Drivers\str.sys (Rootkit.Agent) -> Delete on reboot.
0
Réponse 15 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
très bien ...

on continue .... dans l'ordre :

1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes ...

==========================

2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . Bien vérifier que rien ne soit " bloqué en écriture " ( petit loquet sur certaines clé usb ... ) et que les DD externes soient bien sûr alimentés électriquement ...

--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...

-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .

Poste le rapport Combofix pour analyse et attends la suite ...

0
menzostar
 
Bonjour sKe69 et merci pour votre patience :)
Voici le rapport comfix:

ComboFix 10-01-12.05 - Scierie 13/01/2010 18:32:00.1.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.446.127 [GMT 1:00]
Lancé depuis: c:\documents and settings\Scierie\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100113-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Scierie\autorun.inf
c:\documents and settings\Scierie\Documents .lnk
c:\documents and settings\Scierie\Music .lnk
c:\documents and settings\Scierie\New Folder .lnk
c:\documents and settings\Scierie\Passwords .lnk
c:\documents and settings\Scierie\Pictures .lnk
c:\documents and settings\Scierie\Video .lnk
c:\windows\system32\drivers\mnpgk.sys
c:\windows\system32\drivers\str.sys
c:\windows\Uninstall.ini

Une copie infectée de c:\windows\system32\DRIVERS\atapi.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty ate it :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OEODQFGMYTYXN
-------\Service_oeodqfgmytyxn


((((((((((((((((((((((((((((( Fichiers créés du 2009-12-13 au 2010-01-13 ))))))))))))))))))))))))))))))))))))
.

2010-01-12 19:02 . 2010-01-12 19:02 -------- d-----w- c:\program files\CCleaner
2010-01-12 18:23 . 2010-01-12 18:23 -------- d-----w- C:\_OTM
2010-01-12 08:30 . 2010-01-12 08:30 -------- d-----w- C:\FOUND.000
2010-01-11 20:03 . 2010-01-11 20:03 -------- d-----w- C:\UsbFix
2010-01-11 15:53 . 2010-01-11 15:53 -------- d-----w- c:\program files\Trend Micro
2010-01-11 11:28 . 2010-01-11 11:28 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-11 11:28 . 2010-01-11 11:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-09 16:13 . 2010-01-09 16:13 -------- d-----w- c:\program files\Safer Networking
2010-01-09 15:06 . 2010-01-09 15:06 -------- d-----w- c:\documents and settings\Scierie\Application Data\Malwarebytes
2010-01-09 15:06 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 15:06 . 2010-01-09 15:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-09 15:06 . 2010-01-09 15:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-01-09 15:06 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-04 23:14 . 2010-01-04 23:14 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
2010-01-04 21:16 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-01-04 21:16 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-01-04 21:16 . 2009-11-24 23:47 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-01-04 21:16 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr
2010-01-04 21:16 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-01-04 21:16 . 2009-11-24 23:51 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-01-04 21:16 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-01-04 21:16 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-01-04 21:15 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2010-01-04 21:15 . 2010-01-04 21:15 -------- d-----w- c:\program files\Alwil Software
2010-01-04 21:14 . 2010-01-04 21:14 42849712 ----a-w- C:\setupfre.exe
2009-12-25 19:05 . 2001-08-23 16:47 5632 ----a-w- c:\windows\system32\ptpusb.dll
2009-12-25 19:05 . 2004-08-03 23:54 159232 ----a-w- c:\windows\system32\ptpusd.dll
2009-12-25 17:24 . 2009-12-25 17:25 -------- d-----w- c:\documents and settings\Scierie\Application Data\GARMIN
2009-12-25 17:18 . 2009-12-25 17:18 -------- d-----w- c:\program files\Garmin GPS Plugin
2009-12-25 17:08 . 2009-12-25 17:08 -------- d-----w- c:\documents and settings\All Users\Application Data\GARMIN
2009-12-25 17:08 . 2009-12-25 17:08 -------- d-----w- c:\program files\DIFX
2009-12-25 17:08 . 2009-12-25 17:08 -------- d-----w- c:\windows\system32\DRVSTORE
2009-12-25 17:08 . 2009-12-25 17:08 -------- d-----w- c:\program files\Garmin

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-13 17:36 . 1979-12-31 23:00 50510 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-13 17:36 . 1979-12-31 23:00 370898 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-02 18:41 . 2009-12-02 18:41 1961720 ----a-w- c:\documents and settings\Scierie\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-12-01 20:03 . 2009-12-01 20:03 -------- d-----w- c:\program files\EasyScan
2009-12-01 20:03 . 2009-12-01 20:02 1254400 ----a-w- c:\program files\EasyScan_1.12.exe
2009-12-01 19:08 . 2009-12-01 19:08 -------- d-----w- c:\documents and settings\Scierie\Application Data\EPSON
2009-11-29 17:50 . 2009-11-29 17:50 -------- d-----w- c:\documents and settings\Scierie\Application Data\dvdcss
2009-11-22 09:06 . 2009-11-22 09:06 -------- d-----w- c:\documents and settings\Scierie\Application Data\vlc
2009-11-18 20:54 . 2009-11-18 20:54 -------- d-----w- c:\documents and settings\Scierie\Application Data\InstallShield
2009-11-18 11:25 . 2009-11-18 11:25 -------- d-----w- c:\documents and settings\Scierie\Application Data\Ahead
2009-11-18 11:15 . 2009-11-18 11:15 -------- d-----w- c:\program files\Nero
2009-11-18 11:15 . 2009-11-18 11:15 -------- d-----w- c:\program files\Fichiers communs\Ahead
2009-11-18 11:15 . 2009-11-18 11:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero
2009-11-18 10:48 . 2009-11-18 10:48 -------- d-----w- c:\program files\EPSON
2009-11-16 21:36 . 2009-11-16 21:36 -------- d-----w- c:\documents and settings\Scierie\Application Data\AdobeUM
2009-11-16 21:35 . 2009-11-16 21:35 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-11-16 09:41 . 2009-11-16 09:41 -------- d-----w- c:\program files\Microsoft.NET
2009-11-16 09:33 . 2009-11-16 09:33 -------- d-----w- c:\program files\VideoLAN
2009-11-16 09:13 . 2009-11-16 09:13 51440 ----a-w- c:\documents and settings\Scierie\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-16 08:07 . 2005-03-07 19:24 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-11-16 07:56 . 2009-11-16 07:56 -------- d-----w- c:\program files\acer
2009-11-16 07:56 . 2009-11-16 07:56 -------- d-----w- c:\program files\Launch Manager
2009-11-16 07:25 . 1979-12-31 23:00 529 ----a-w- c:\windows\CLEANUP.CMD
2009-11-16 07:25 . 1979-12-31 23:00 690 ----a-w- c:\windows\HOTFIX.BAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 688218]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-07 88363]
"SiSPower"="SiSPower.dll" [2005-02-25 49152]
"SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2005-03-04 32768]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utility Tray.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Utility Tray.lnk
backup=c:\windows\pss\Utility Tray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchApp]
Alaunch [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
2005-03-28 11:30 315392 ----a-w- c:\program files\Launch Manager\QtZgAcer.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57 153136 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2005-02-23 17:13 77824 ----a-w- c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NMIndexingService"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [04/01/2010 22:16 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [04/01/2010 22:16 20560]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-13 18:38
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\wdfmgr.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\Rundll32.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wscntfy.exe
c:\program files\acer\eRecovery\Monitor.exe
c:\\?\c:\windows\system32\WBEM\WMIADAP.EXE
.
**************************************************************************
.
Heure de fin: 2010-01-13 18:40:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-13 17:40

Avant-CF: 30 045 143 040 octets libres
Après-CF: 30 063 820 800 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 34D4989690D37EA5FEFC6483CD6BB840
0
Réponse 16 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
oki ....

fais ceci maintenant :

1- Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe
----> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer

- nom du fichier à rechercher :
-->tape ou fais un copier coller de :

oeodq puis tape sur [entrée]

- Type de recherche : sélectionne l'option 6 puis valide ["entrée"]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

->Sauvegarde ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...

========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
menzostar
 
Voici le rapport OAD

13/01/2010 ---- 19:50:59,56

----------------------------------
§§§§§§ [oeodq] §§§§§§
----------------------------------
[X] Registre
[ ] Fichier (rapide)
[ ] Fichier (disque systeme)
[X] Fichier (complete)




********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0
menzostar > menzostar
 
et le ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201001/cijLgkYzT0.txt
0
Réponse 17 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bon .....

dis moi comment va le PC .... du mieux ?

puis fait ceci :

1- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!! ferme tes applications en cours !!

* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport uniquement ! Ne suis pas les éventuelles consignes qu'il mentionne pour le moment ...

==========================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )

--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

0
menzostar
 
Ah oui le pc va beaucoup mieux, le processeur n'est plus constemment bloqué a 100% d'utilisation comme la semaine derniere, et Avast ne detecte plus rien :)
Je continue les opérations.
Merci et a tt de suite.
0
menzostar > menzostar
 
rapport Ad remover:

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_H | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 11.01.2010 à 22:29
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:54:25, 13/01/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: LAUNAY | Utilisateur actuel: Scierie

.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

.
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Error: Value: "Tabs" does not exist!
.
===================================
.
1343 Octet(s) - C:\Ad-Report-SCAN[1].log
.
0 Fichier(s) - C:\DOCUME~1\Scierie\LOCALS~1\Temp
2 Fichier(s) - C:\WINDOWS\Temp
129 Fichier(s) - C:\WINDOWS\Prefetch
.
1 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 20:57:14 | 13/01/2010 - SCAN[1]
.
============== E.O.F ==============
.
0
Réponse 18 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

le rapport de genproc ne passe pas .... il doit-être trop long pour le forum ....

poste le via "Cijoint" stp ....

0
Réponse 19 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
up !

et ce rapport Genproc alors ( via "Cijoint" ) .... ?

=)

0
menzostar
 
Bonjour,
Excusez moi pr le délais mais je croyais lavoir deja posté hier...
Merci, Menzo.

http://www.cijoint.fr/cjlink.php?file=cj201001/cijkfrxHud.txt
0
Réponse 20 / 22
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ....

la suite dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :

( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )

1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!

A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag !

> Enfin clique en bas sur "Nettoyer" .

laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ...

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt)

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le !

B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

Au message de confirmation , clique sur "Ok" .

Puis ferme ZHPFix ...

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :

https://www.bitdefender.fr/

* Aide :
- En bas, dans l'encadré "Analyse en ligne gratuite" , clique sur "analyser" .
- Dans la nouvelle fenêtre, clique sur "j’accepte" .
> il te sera proposer d'installer un module complémentaire (contrôle ActiveX) pour pouvoir faire le scan > accepte !
- Puis patiente le temps du chargement .
- La fenêtre change encore, clique sur "démarrer l'analyse" .
- Les signatures se chargent, etc ... et le scan démarre ...

Laisse travailler sans utiliser le PC .

* pour le rapport : clique sur l'onglet "plus de détailles" . A la fin du scan, clique sur " problème détectés " .
-> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
-> Clique dessus donc, et choisis d'enregistrer le rapport sur ton bureau .

--> Ouvre le document html que tu viens de sauvegarder ( le rapport ),
fais un copier/coller de tout son contenu et poste le dans ta prochaine réponse ...

Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

Tutoriel en images ici :
http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation)
Et ici : https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender

0
menzostar
 
Hophophop, scan ZHPFix:)

ZHPFix v1.12.25 by Nicolas Coolman - Rapport de suppression du 14/01/2010 13:50:54
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\Qoobox => Supprimé et mis en quarantaine
C:\Genproc => Supprimé et mis en quarantaine
C:\_OTM => Supprimé et mis en quarantaine
C:\UsbFix => Supprimé et mis en quarantaine

Fichier :
c:\documents and settings\scierie\bureau\ad-r.exe => Supprimé et mis en quarantaine
c:\combofix.txt => Supprimé et mis en quarantaine
c:\documents and settings\scierie\bureau\rapport - genproc[1].url => Supprimé et mis en quarantaine
c:\documents and settings\scierie\bureau\raccourci - genproc.lnk => Supprimé et mis en quarantaine
c:\documents and settings\scierie\bureau\oad.exe => Supprimé et mis en quarantaine
c:\resultat.txt => Supprimé et mis en quarantaine
c:\documents and settings\scierie\bureau\otm.exe => Supprimé et mis en quarantaine
c:\usbfix.txt => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: HijackThis 2.0.2 => Logiciel supprimé avec succès
O63 - Logiciel: AD-Remover => Logiciel supprimé avec succès
O63 - Logiciel: ComboFix => Logiciel supprimé avec succès
O63 - Logiciel: GenProc => Logiciel supprimé avec succès
O63 - Logiciel: OAD => Logiciel supprimé avec succès
O63 - Logiciel: OTM => Logiciel supprimé avec succès
O63 - Logiciel: UsbFix => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 4
Fichier : 8
Logiciel : 7
Autre : 0


End of the scan
0