Activité réseau anormale: trojan et autres...

Résolu
sapiens-sapiens Messages postés 1932 Statut Membre -  
sapiens-sapiens Messages postés 1932 Statut Membre -
Bonjour à tous,

L'antivirus (Avira) me signal depuis un moment la présence d'un cheval de troie (ou plusieurs peut-être) qu'il est incapable d'enlever, tout comme Spybot, en plus d'autres programmes mal veillant. J'ai constaté aussi une activité anormale du réseau, je vois des variations régulières dans la courbe sur le gestionnaire des tâches comme le montre cette capture d'écran, et ce même quand je n'utilise pas internet ni toute autres activité qui sollicite le réseau.
De plus, il y a des pages internet qui s’ouvrent d'elles même de temps à autre sur mon navigateur (Opéra) qui me suggèrent d’installer un nouvel anti virus et d’autres trucs du genre.
J’ai vu d’autres topics ici qui traitent des problèmes similaires aux miens mais je n’ai rien voulu tenter sans votre aide, mes connaissances étant limitées en matière de désinfection et j’ai quelques données très importantes pour moi sur le PC.
Je vous prie de m’aider à éliminer ce pépin qui devient de plus en plus agaçant.

--
Il n'est pas nécessaire d'être le plus fort, mais de se sentir fort.

17 réponses

Résumé de la discussion

Problème détecté : un cheval de Troie est signalé par l'antivirus Avira et par d'autres outils, avec une activité réseau anormale et des pages qui s'ouvrent seules sur le navigateur, signe d'infection. Des recommandations préconisent l'utilisation d'outils dédiés pour l'analyse et la réparation, notamment RSIT pour générer des rapports et Malwarebytes pour supprimer les éléments détectés, afin d'établir un état de contamination fiable. En parallèle, les rapports RSIT et leurs logs alimentent le suivi des infections et guident les étapes de nettoyage, incluant la suppression des éléments persistants et le redémarrage. Une liste de détections croisées par de multiples moteurs antivirus montre une infection en cours et précise qu'un fichier suspect a été signalé, nécessitant une vérification manuelle et potentielle réinstallation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Je remonte le topic pourvu que quelqu'un puisse m'aider svp.
    0
  2. Utilisateur anonyme
     
    bonsoir
    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    - http://images.malwareremoval.com/random/RSIT.exe

    ! Déconnecte toi et ferme toutes tes applications en cours !

    * Double-clique sur RSIT.exe pour le lancer .
    * Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
    * Devant l'option List files/folders created ... , tu choisis 2 months
    * Clique ensuite sur Continue pour lancer l'analyse ...
    * Laisse faire le scan et ne touche pas au PC ...
    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
    * Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de info.txt ici.
    Clique sur parcourir
    Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
    Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
    qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt

    Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit
    0
  3. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Bonsoir et merci beaucoup pour ta réponse.

    Je vais le faire tout de suite, cela risque de prendre un peu de temps puisque même la connexion commence à ramer (pour l'hébergement et tout).
    0
    1. Utilisateur anonyme
       
      je verrai cela demain, car il est tard
      0
      1. sapiens-sapiens Messages postés 1932 Statut Membre 26 > Utilisateur anonyme
         
        Oui je comprends, d'où mon poste préventif.

        les rapports sont prêts,voici les liens de ci-joints:

        log.txt: http://www.cijoint.fr/cjlink.php?file=cj201002/cijkaliskn.txt

        Info.txt: http://www.cijoint.fr/cjlink.php?file=cj201002/cijUWrQvrt.txt

        Je ne sais pas décrypter ce genre de rapports mais je suis sûr qu'il y aura des cochonneries.

        A demain alors.
        0
      2. Utilisateur anonyme > sapiens-sapiens Messages postés 1932 Statut Membre
         
        bonjour
        le PC est pas mal infecté, grosse infection provenant des supports amovibles

        Tu dois désactiver le TeaTimer de Spybot, car il va gêner les outils:
        * Ouvre Spybot S&D
        * Dans le menu Mode, séléctionne le mode avancé.
        * Une fenêtre demande confirmation clique sur oui.
        * Une fois le mode avancé actif, va dans l'onglet Outils.
        * Clique sur Résident.
        * La partie Résident comporte deux lignes qui sont normalement cochées :
        =>Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
        =>Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
        * Décoche la ligne TeaTimer.
        * Redémarre Spybot (le fermer et le réouvrir)
        * Retourne dans le menu Résident et vérifie qu'il soit bien désactivé.


        Télécharge UsbFix (de El Desaparecido, C_XX et Chimay8) sur ton bureau
        http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.txt­
        https://www.ionos.fr/?affiliate_id=77097

        Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

        # Clic droit sur le raccourci UsbFix présent sur ton bureau et clique sur éxécuter en tant qu'administrateur .

        # Sélectionne l'option 1 ( Recherche )

        # Laisse travailler l outil.

        # Ensuite poste le rapport UsbFix.txt qui apparaitra.

        # Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

        ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

        # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
        Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
        Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
        0
  4. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Bonjour Nathandre

    J'ai tout appliqué à la lettre, je note qu'Antivir n'a rien signalé pour "process.exe"

    et j'ai l'impression que la connexion devient de plus en plus lente.

    Voici le rapport généré:

    ############################## | UsbFix V6.096 |

    User : amine (Administrateurs) # MYVAIO
    Update on 19/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 15:06:00 | 19/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 Duo CPU T5450 @ 1.66GHz
    Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18882
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 225,4 Go (162,48 Go free) # NTFS
    D:\ -> Disque amovible
    E:\ -> Disque amovible
    F:\ -> Disque CD-ROM
    G:\ -> Disque amovible # 1,88 Go (1,17 Go free) [AMINE'S KEY] # FAT

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
    C:\Program Files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe
    C:\Windows\system32\PnkBstrA.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
    C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Apoint\Apoint.exe
    C:\Program Files\Sony\ISB Utility\ISBMgr.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\USB Disk Security\USBGuard.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Program Files\Modem Samsung SCH-U209\SamsungPnPServiceManager.exe
    C:\Program Files\Modem Samsung SCH-U209\sysctrlU.exe
    C:\Windows\system32\DRIVERS\xaudio.exe
    C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
    C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
    C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
    C:\Program Files\Apoint\ApMsgFwd.exe
    C:\Program Files\Apoint\Apntex.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Windows\system32\wbem\unsecapp.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\vssvc.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\taskmgr.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Windows\system32\wbem\wmiprvse.exe

    ################## | Elements infectieux |

    C:\Users\amine\AppData\Roaming\SystemProc
    G:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
    G:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
    G:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013
    G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
    G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

    ################## | Registre |

    [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"
    [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\G
    shell\AutoRun\command =G:\Autorun\Autorun.exe

    HKCU\..\..\Explorer\MountPoints2\{0ec7e818-4f1b-11dd-8ac5-001a80b77372}
    shell\AutoRun\command =iefqwp.cmd
    shell\explore\Command =iefqwp.cmd
    shell\open\Command =iefqwp.cmd

    HKCU\..\..\Explorer\MountPoints2\{11e7cfa9-b033-11dd-b317-001a80b77372}
    shell\AutoRun\command =G:\whi.com
    shell\explore\Command =G:\whi.com
    shell\open\Command =G:\whi.com

    HKCU\..\..\Explorer\MountPoints2\{1aa92745-e534-11dd-91a2-001a80b77372}
    shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\copy.exe

    HKCU\..\..\Explorer\MountPoints2\{2be4d2b8-c144-11dd-abf7-001a80b77372}
    shell\AutoRun\command =G:\yannh.cmd
    shell\explore\Command =G:\yannh.cmd
    shell\open\Command =G:\yannh.cmd

    HKCU\..\..\Explorer\MountPoints2\{2d9f8bfe-28d7-11dd-9f4f-001a80b77372}
    shell\AutoRun\command =adb.com
    shell\explore\Command =adb.com
    shell\open\Command =adb.com

    HKCU\..\..\Explorer\MountPoints2\{3d06598f-557a-11dd-b033-001a80b77372}
    shell\AutoRun\command =G:\abk.bat
    shell\explore\Command =G:\abk.bat
    shell\open\Command =G:\abk.bat

    HKCU\..\..\Explorer\MountPoints2\{449f1cd5-0fac-11dd-9a1b-001a80b77372}
    shell\AutoRun\command =G:\LaunchU3.exe -a

    HKCU\..\..\Explorer\MountPoints2\{47078850-0e14-11de-bc61-001a80b77372}
    shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\copy.exe

    HKCU\..\..\Explorer\MountPoints2\{47078884-0e14-11de-bc61-001a80b77372}
    shell\AutoRun\command =G:\gi2ky.exe
    shell\open\Command =G:\gi2ky.exe

    HKCU\..\..\Explorer\MountPoints2\{51751d85-4c38-11dd-8db8-001a80b77372}
    shell\AutoRun\command =H:\LaunchU3.exe

    HKCU\..\..\Explorer\MountPoints2\{54bf2e16-b657-11dd-aaaa-001de0c378c7}
    shell\AutoRun\command =G:\r8wb.bat
    shell\explore\Command =G:\r8wb.bat
    shell\open\Command =G:\r8wb.bat

    HKCU\..\..\Explorer\MountPoints2\{788cb890-f483-11dd-a9b2-001de0c378c7}
    shell\AutoRun\command =G:\AutoRun.exe

    HKCU\..\..\Explorer\MountPoints2\{788cb8a4-f483-11dd-a9b2-001de0c378c7}
    shell\AutoRun\command =G:\AutoRun.exe

    HKCU\..\..\Explorer\MountPoints2\{846819a6-d0cb-11dd-aa89-001a80b77372}
    shell\AutoRun\command =G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
    shell\open\command =G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

    HKCU\..\..\Explorer\MountPoints2\{9da41e8c-df63-11de-b078-001a80b77372}
    shell\AutoRun\command =G:\AutoRun.exe

    HKCU\..\..\Explorer\MountPoints2\{9da41e95-df63-11de-b078-001a80b77372}
    shell\AutoRun\command =G:\AutoRun.exe

    HKCU\..\..\Explorer\MountPoints2\{bc37d6ce-e04e-11de-ac7a-001de0c378c7}
    shell\AutoRun\command =G:\Setup.exe

    HKCU\..\..\Explorer\MountPoints2\{dea9bd8c-36ff-11dd-95f7-001de0c378c7}
    shell\AutoRun\command =6fnlpetp.exe
    shell\explore\Command =6fnlpetp.exe
    shell\open\Command =6fnlpetp.exe

    HKCU\..\..\Explorer\MountPoints2\{e5d49b06-df81-11de-b5f2-de45748f3de3}
    shell\AutoRun\command =G:\AutoRun.exe

    HKCU\..\..\Explorer\MountPoints2\{e5d49b3a-df81-11de-b5f2-001a80b77372}
    shell\AutoRun\command =G:\AutoRun.exe

    HKCU\..\..\Explorer\MountPoints2\{f004727c-0ceb-11de-98a5-001a80b77372}
    shell\AutoRun\command =G:\SWLauncher.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.096 ! |

    0
    1. Utilisateur anonyme
       
      c'est normal, car ton PC est très infecté


      Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectées sans les ouvrir

      # Clic droit sur le raccourci UsbFix présent sur ton bureau et clique sur éxécuter en tant qu'administrateur .

      # Sélectionne l'option 2 ( Suppression )

      # Ton bureau disparaitra et le pc redémarrera .

      # Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

      # Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

      # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

      ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    je dois partir, je reviens ce soir vers 21H
    0
  7. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    D'accord, et merci pour le temps que tu consacres à ce sujet.

    Voilà le rapport :

    ############################## | UsbFix V6.096 |

    User : amine (Administrateurs) # MYVAIO
    Update on 19/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 15:40:50 | 19/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 Duo CPU T5450 @ 1.66GHz
    Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18882
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 225,4 Go (162,26 Go free) # NTFS
    D:\ -> Disque amovible
    E:\ -> Disque amovible
    F:\ -> Disque CD-ROM
    G:\ -> Disque amovible # 1,88 Go (1,17 Go free) [AMINE'S KEY] # FAT

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\runonce.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\PnkBstrA.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
    C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    C:\Windows\system32\SearchIndexer.exe
    C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
    C:\Windows\system32\DRIVERS\xaudio.exe
    C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
    C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
    C:\Windows\system32\PresentationSettings.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\wbem\wmiprvse.exe

    ################## | Elements infectieux |

    Supprimé ! C:\Users\amine\AppData\Roaming\SystemProc
    Supprimé ! C:\$Recycle.Bin\S-1-5-20
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-1691781902-3099009884-1849222017-500
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-4157631422-3249768308-1307093286-500
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-609628424-4246064232-1920226343-1003
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-609628424-4246064232-1920226343-1006
    Supprimé ! G:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
    Supprimé ! G:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
    Supprimé ! G:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013
    Supprimé ! G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
    Supprimé ! G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

    ################## | Registre |

    Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"
    Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"
    Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{0ec7e818-4f1b-11dd-8ac5-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{11e7cfa9-b033-11dd-b317-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{1aa92745-e534-11dd-91a2-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{2be4d2b8-c144-11dd-abf7-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{2d9f8bfe-28d7-11dd-9f4f-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{3d06598f-557a-11dd-b033-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{449f1cd5-0fac-11dd-9a1b-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{47078850-0e14-11de-bc61-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{47078884-0e14-11de-bc61-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{51751d85-4c38-11dd-8db8-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{54bf2e16-b657-11dd-aaaa-001de0c378c7}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{788cb890-f483-11dd-a9b2-001de0c378c7}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{788cb8a4-f483-11dd-a9b2-001de0c378c7}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{846819a6-d0cb-11dd-aa89-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{9da41e8c-df63-11de-b078-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{9da41e95-df63-11de-b078-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{bc37d6ce-e04e-11de-ac7a-001de0c378c7}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{dea9bd8c-36ff-11dd-95f7-001de0c378c7}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{e5d49b06-df81-11de-b5f2-de45748f3de3}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{e5d49b3a-df81-11de-b5f2-001a80b77372}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{f004727c-0ceb-11de-98a5-001a80b77372}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [30/01/2010 06:55|--a------|2208] C:\Ad-Report-CLEAN[1].log
    [29/01/2010 16:04|--a------|509] C:\Ad-Report-SCAN[1].log
    [29/01/2010 17:23|--a------|1882] C:\Ad-Report-SCAN[2].log
    [18/09/2006 21:43|--a------|24] C:\autoexec.bat
    [11/04/2009 06:36|-rahs----|333257] C:\bootmgr
    [18/09/2006 21:43|--a------|10] C:\config.sys
    [?|?|?] C:\hiberfil.sys
    [04/06/2008 19:59|-rahs----|0] C:\IO.SYS
    [27/06/2008 17:00|---h-----|8682] C:\MessengerStyleSheet.xsl
    [04/06/2008 19:59|-rahs----|0] C:\MSDOS.SYS
    [08/11/2009 23:23|--a------|104] C:\Ordinateur - Raccourci.lnk
    [?|?|?] C:\pagefile.sys
    [20/04/2009 10:17|--a------|2618] C:\TCleaner.txt
    [27/03/2009 19:49|--a------|594] C:\updatedatfix.log
    [19/02/2010 15:47|--a------|7659] C:\UsbFix.txt
    [04/05/2009 10:54|--a------|3074362] G:\DeepBurner1_Portable.zip
    [26/06/2009 15:48|--a------|435200] G:\pr‚sentation de scheinder.doc
    [21/05/2009 14:22|--a------|25707] G:\Questionnaire client.docx
    [18/05/2009 11:20|--a------|16460] G:\Remplacement contacteur.docx
    [10/06/2009 17:58|--a------|35328] G:\Sch‚ma de l'organisation.doc
    [13/10/2009 10:42|--a------|24269] G:\Les objectifs … atteindre.docx
    [16/10/2009 01:47|--a------|5106173] G:\M‚moire.docx
    [25/05/2009 11:38|--a------|87052] G:\Microsoft PowerPoint - Courrier Clients V2.pdf
    [03/12/2009 10:22|--a------|581120] G:\CV.doc
    [08/12/2009 15:52|--a------|31232] G:\RAPPORT DE VISITE - EUROLUX.doc
    [04/01/2010 10:39|--a------|320456] G:\Pr‚sentation Etude UT.pptx
    [05/01/2010 11:06|--a------|913016] G:\Etude UT.docx

    ################## | Vaccination |

    # G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_MYVAIO.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.096 ! |

    0
  8. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Je ne sais pas si c'est normal mais je reçois toujours des messages d'alerte d'Antivir:

    HTML/Infected.WebPage.Gen
    0
    1. Utilisateur anonyme
       
      excuse moi, je suis un peu en retard
      pourrai tu me refaire un RSIT
      0
  9. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Il semblerait que certains problèmes persistent.
    0
    1. Utilisateur anonyme
       
      Désactive l'UAC: controle de compte d'utilisateur

      Clique sur le menu Démarrer puis sur Panneau de configuration , Comptes d'utilisateurs
      Clique sur Activer ou désactiver le contrôle des comptes d'utilisateurs:
      Une nouvelle fenêtre s'ouvre,décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur puis OK:
      Une demande s'affiche si vous voulez redémarrer votre ordinateur, clique sur redémarrer maintenant

      https://forums.cnetfrance.fr


      Attention, avant de commencer, lit attentivement la procédure, et imprime la

      Télécharge ComboFix de sUBs sur ton Bureau :
      http://download.bleepingcomputer.com/sUBs/ComboFix.exe

      tutoriel pour bien utiliser l'outil
      https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

      /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
      ---> Clic droit sur ComboFix.exe, et sur exécuter en tant qu'administrateur
      Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie...Clique sur oui pour accepter
      ---> Mets-le en langue française F
      Tape sur la touche 1 (Yes) pour démarrer le scan.

      Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

      En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

      Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

      /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

      Note : Le rapport se trouve également là : C:\ComboFix.txt
      0
      1. sapiens-sapiens Messages postés 1932 Statut Membre 26 > Utilisateur anonyme
         
        Bonjour,

        Euh... j'ai découvert que la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur était déjà décochée, d'ailleurs je n'ai jamais eu à confirmer l'installation d'un quelconque logiciel ou autre.

        Bon je termine la procédure quand même.
        0
  10. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Désolé je suis rentré tard aussi.

    Donc voilà le rapport RSIT, il n'y a eu qu'un seul cette fois: "log.txt"

    http://www.cijoint.fr/cjlink.php?file=cj201002/cijnZiTkc4.txt
    0
  11. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    C'est bon le scan avec ComboFix est terminé, voici le rapport:

    http://www.cijoint.fr/cjlink.php?file=cj201002/cijDew2RKm.txt

    C'est grave doc?
    0
    1. Utilisateur anonyme
       
      bonjour
      eh bien, combofix a fait un sacré nettoyage, il reste beaucoup de fichiers
      je reviens
      0
      1. sapiens-sapiens Messages postés 1932 Statut Membre 26 > Utilisateur anonyme
         
        Ok ça va dans le bon sens si je comprends bien, la machine marche mieux maintenant.

        A+
        0
      2. Utilisateur anonyme > sapiens-sapiens Messages postés 1932 Statut Membre
         
        c:\users\amine\AppData\Roaming\F5C3.tmp
        Analyse sur Virus Total ce fichier
        Tu dois afficher les fichiers et dossiers cachés
        Démarrer, Ordinateur
        Clique sur organiser
        Sélectionne options de dossiers et de recherche
        Va dans l'onglet affichage
        Coche afficher les fichiers et dossiers cachés, puis OK


        https://www.virustotal.com/gui/
        Clique sur parcourir
        Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
        Clique sur envoyer le fichier
        une fois le scan terminé, donne moi le résultat
        0
  12. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Voilà c'est fait:

    (Lien de la page des résultats qui suivent ici )

    Fichier F5C3.tmp reçu le 2010.02.20 10:46:00 (UTC)
    Situation actuelle: terminé 
    Résultat: 3/41 (7.32%)
     Formaté 
    Impression des résultats  Antivirus	Version	Dernière mise à jour	Résultat
    a-squared	4.5.0.50	2010.02.20	-
    AhnLab-V3	5.0.0.2	2010.02.20	-
    AntiVir	8.2.1.170	2010.02.19	-
    Antiy-AVL	2.0.3.7	2010.02.19	-
    Authentium	5.2.0.5	2010.02.20	-
    Avast	4.8.1351.0	2010.02.19	-
    AVG	9.0.0.730	2010.02.20	-
    BitDefender	7.2	2010.02.20	-
    CAT-QuickHeal	10.00	2010.02.19	-
    ClamAV	0.96.0.0-git	2010.02.19	-
    Comodo	4000	2010.02.20	-
    DrWeb	5.0.1.12222	2010.02.20	-
    eSafe	7.0.17.0	2010.02.18	-
    eTrust-Vet	35.2.7315	2010.02.20	-
    F-Prot	4.5.1.85	2010.02.19	-
    F-Secure	9.0.15370.0	2010.02.19	-
    Fortinet	4.0.14.0	2010.02.18	-
    GData	19	2010.02.20	-
    Ikarus	T3.1.1.80.0	2010.02.20	-
    Jiangmin	13.0.900	2010.02.20	-
    K7AntiVirus	7.10.977	2010.02.18	-
    Kaspersky	7.0.0.125	2010.02.17	-
    McAfee	5897	2010.02.19	-
    McAfee+Artemis	5897	2010.02.19	-
    McAfee-GW-Edition	6.8.5	2010.02.19	-
    Microsoft	1.5406	2010.02.20	-
    NOD32	4881	2010.02.19	-
    Norman	6.04.08	2010.02.20	-
    nProtect	2009.1.8.0	2010.02.20	-
    Panda	10.0.2.2	2010.02.19	Suspicious file
    PCTools	7.0.3.5	2010.02.19	-
    Prevx	3.0	2010.02.20	-
    Rising	22.34.01.03	2010.02.11	-
    Sophos	4.50.0	2010.02.20	Sus/UnkPack-C
    Sunbelt	5689	2010.02.20	-
    Symantec	20091.2.0.41	2010.02.20	Suspicious.Insight
    TheHacker	6.5.1.5.202	2010.02.20	-
    TrendMicro	9.120.0.1004	2010.02.20	-
    VBA32	3.12.12.2	2010.02.19	-
    ViRobot	2010.2.19.2194	2010.02.19	-
    VirusBuster	5.0.27.0	2010.02.19	-
    Information additionnelle
    File size: 749568 bytes
    MD5   : ec73c97d18816e77306535002c72952f
    SHA1  : bce8df4a50c4d653a5f486ca6e12cc2c44d8cd61
    SHA256: 599cbba54c67ae37afdd94e90210a7fbf392f0edabeab10515ef3b018083478c
    PEInfo: PE Structure information
    
    ( base data )
    entrypointaddress.: 0xA82B7
    timedatestamp.....: 0x491D593A (Fri Nov 14 11:55:54 2008)
    machinetype.......: 0x14C (Intel I386)
    
    ( 6 sections )
    name viradd virsiz rawdsiz ntrpy md5
    CODE 0x1000 0xA73A9 0xA7400 8.00 9b29dbe5f2d5b57ffaa3c6e67f419c1c
    DATA 0xA9000 0x87EFB 0x600 3.95 d8ca74c63a8d2f071aaa7db5c7f1b400
    BSS 0x131000 0xFD1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .idata 0x132000 0x9F5 0xA00 4.72 7deb694397f6cca6566d185dfb7d9c6f
    .reloc 0x133000 0xCD4F 0xCE00 6.83 d683f06faf7ca8a8bf80dc75d2e1ea61
    .rsrc 0x140000 0x2000 0x1A00 4.24 b38a8cf5c7a6339eafb461877c22a23d
    
    ( 5 imports )
    
    > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
    > dsound.dll: DirectSoundCreate
    > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle, TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc, WriteFile, WaitForSingleObject, VirtualQuery, SetFilePointer, SetEvent, SetEndOfFile, ResetEvent, ReadFile, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetThreadLocale, GetStringTypeExA, GetStdHandle, GetProcAddress, GetOEMCP, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, GetACP, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CompareStringA, CloseHandle, Sleep
    > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen, SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
    > user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA, MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA
    
    ( 0 exports )
    TrID  : File type identification
    Win32 Executable Generic (42.3%)
    Win32 Dynamic Link Library (generic) (37.6%)
    Generic Win/DOS Executable (9.9%)
    DOS Executable Generic (9.9%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    ssdeep: 12288:TBsmoZIGBAMTkuHUossZ1XM1NQO5P79YbdJ48SBsurJnHBQJ8PsE+/oQ/IS:TBwZrTkuHnsw1XMf7hGT48SCQnHKJ8k0
    sigcheck: publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    PEiD  : -
    RDS   : NSRL Reference Data Set
    -
    0
    1. Utilisateur anonyme
       
      je reviendrai cette après-midi
      il y a des fichiers qui ont été créés par un rogue pour faire croire que le PC est infecté
      il reste tout ceci à supprimer, je vais d'abord demander confirmation
      c:\users\amine\AppData\Roaming\F5C3.tmp
      c:\users\amine\AppData\Roaming\32FB.tmp
      c:\users\amine\AppData\Roaming\CAF.tmp
      c:\users\amine\AppData\Roaming\FAE3.tmp
      c:\users\amine\AppData\Roaming\94B5.tmp
      c:\users\amine\AppData\Roaming\81B1.tmp
      c:\users\amine\AppData\Roaming\BD57.tmp
      c:\users\amine\AppData\Roaming\B27C.tmp
      c:\users\amine\AppData\Roaming\56D1.tmp
      c:\users\amine\AppData\Roaming\19B4.tmp
      c:\users\amine\AppData\Roaming\4CC.tmp
      c:\users\amine\AppData\Roaming\nqoRL.vbs
      c:\users\amine\AppData\Roaming\u2jUKu5EEAEwA0W.vbs
      c:\users\amine\AppData\Roaming\ShoYdOiCVWuMx.vbs
      c:\users\amine\AppData\Roaming\Z8d4UbTnuIzpH.vbs
      c:\users\amine\AppData\Roaming\90eadQ2YcgalZ.vbs
      c:\users\amine\AppData\Roaming\YC7uWSRC7LWEDPq.vbs
      c:\users\amine\AppData\Roaming\4A3SfvUGrW2S5N3.vbs
      c:\users\amine\AppData\Roaming\sB3yKkV.vbs
      c:\users\amine\AppData\Roaming\IIv24.vbs
      c:\users\amine\AppData\Roaming\KIb5XK0.vbs
      c:\users\amine\AppData\Roaming\feiqZ.vbs
      c:\users\amine\AppData\Roaming\hRBJ0kWWbvdhJ6I.vbs
      c:\users\amine\AppData\Roaming\84A6.tmp
      c:\users\amine\AppData\Roaming\749E.tmp
      c:\users\amine\AppData\Roaming\YcS0gmLKhB9Jl.vbs
      c:\users\amine\AppData\Roaming\tiHUrkcHFCsHFSk.vbs
      c:\users\amine\AppData\Roaming\3pVj35KnFh56K.vbs
      c:\users\amine\AppData\Roaming\I1CBC.vbs
      0
      1. sapiens-sapiens Messages postés 1932 Statut Membre 26 > Utilisateur anonyme
         
        Ah! ça explique pourquoi j'avais toujours des pages qui s'ouvrent sur mon navigateur m'incitant à faire un scan de mon PC, et j'imagine que c'est pour acheter leur antivirus après.
        0
      2. Utilisateur anonyme > sapiens-sapiens Messages postés 1932 Statut Membre
         
        Attention,à ne pas reproduire sur un autre PC, ce qui pourrai l'endommager
        ▶ Télécharge OTM (de Old_Timer) sur ton Bureau

        ▶ Double-clique sur OTM.exe pour le lancer.

        ▶ Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

        ▶ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved"


        :files
        c:\users\amine\AppData\Roaming\F5C3.tmp
        c:\users\amine\AppData\Roaming\32FB.tmp
        c:\users\amine\AppData\Roaming\CAF.tmp
        c:\users\amine\AppData\Roaming\FAE3.tmp
        c:\users\amine\AppData\Roaming\94B5.tmp
        c:\users\amine\AppData\Roaming\81B1.tmp
        c:\users\amine\AppData\Roaming\BD57.tmp
        c:\users\amine\AppData\Roaming\B27C.tmp
        c:\users\amine\AppData\Roaming\56D1.tmp
        c:\users\amine\AppData\Roaming\19B4.tmp
        c:\users\amine\AppData\Roaming\4CC.tmp
        c:\users\amine\AppData\Roaming\nqoRL.vbs
        c:\users\amine\AppData\Roaming\u2jUKu5EEAEwA0W.vbs
        c:\users\amine\AppData\Roaming\ShoYdOiCVWuMx.vbs
        c:\users\amine\AppData\Roaming\Z8d4UbTnuIzpH.vbs
        c:\users\amine\AppData\Roaming\90eadQ2YcgalZ.vbs
        c:\users\amine\AppData\Roaming\YC7uWSRC7LWEDPq.vbs
        c:\users\amine\AppData\Roaming\4A3SfvUGrW2S5N3.vbs
        c:\users\amine\AppData\Roaming\sB3yKkV.vbs
        c:\users\amine\AppData\Roaming\IIv24.vbs
        c:\users\amine\AppData\Roaming\KIb5XK0.vbs
        c:\users\amine\AppData\Roaming\feiqZ.vbs
        c:\users\amine\AppData\Roaming\hRBJ0kWWbvdhJ6I.vbs
        c:\users\amine\AppData\Roaming\84A6.tmp
        c:\users\amine\AppData\Roaming\749E.tmp
        c:\users\amine\AppData\Roaming\YcS0gmLKhB9Jl.vbs
        c:\users\amine\AppData\Roaming\tiHUrkcHFCsHFSk.vbs
        c:\users\amine\AppData\Roaming\3pVj35KnFh56K.vbs
        c:\users\amine\AppData\Roaming\I1CBC.vbs


        :commands
        [empty temp]
        [start explorer]
        [reboot]



        ▶ clique sur MoveIt! pour lancer la suppression.

        ▶ Le résultat apparaitra dans le cadre "Results".

        ▶ Clique sur Exit pour fermer.

        ▶ Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

        ▶ Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
        0
  13. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    C'est fait! voilà le rapport:

    ========== FILES ==========
    c:\users\amine\AppData\Roaming\F5C3.tmp moved successfully.
    c:\users\amine\AppData\Roaming\32FB.tmp moved successfully.
    c:\users\amine\AppData\Roaming\CAF.tmp moved successfully.
    c:\users\amine\AppData\Roaming\FAE3.tmp moved successfully.
    c:\users\amine\AppData\Roaming\94B5.tmp moved successfully.
    c:\users\amine\AppData\Roaming\81B1.tmp moved successfully.
    c:\users\amine\AppData\Roaming\BD57.tmp moved successfully.
    c:\users\amine\AppData\Roaming\B27C.tmp moved successfully.
    c:\users\amine\AppData\Roaming\56D1.tmp moved successfully.
    c:\users\amine\AppData\Roaming\19B4.tmp moved successfully.
    c:\users\amine\AppData\Roaming\4CC.tmp moved successfully.
    c:\users\amine\AppData\Roaming\nqoRL.vbs moved successfully.
    c:\users\amine\AppData\Roaming\u2jUKu5EEAEwA0W.vbs moved successfully.
    c:\users\amine\AppData\Roaming\ShoYdOiCVWuMx.vbs moved successfully.
    c:\users\amine\AppData\Roaming\Z8d4UbTnuIzpH.vbs moved successfully.
    c:\users\amine\AppData\Roaming\90eadQ2YcgalZ.vbs moved successfully.
    c:\users\amine\AppData\Roaming\YC7uWSRC7LWEDPq.vbs moved successfully.
    c:\users\amine\AppData\Roaming\4A3SfvUGrW2S5N3.vbs moved successfully.
    c:\users\amine\AppData\Roaming\sB3yKkV.vbs moved successfully.
    c:\users\amine\AppData\Roaming\IIv24.vbs moved successfully.
    c:\users\amine\AppData\Roaming\KIb5XK0.vbs moved successfully.
    c:\users\amine\AppData\Roaming\feiqZ.vbs moved successfully.
    c:\users\amine\AppData\Roaming\hRBJ0kWWbvdhJ6I.vbs moved successfully.
    c:\users\amine\AppData\Roaming\84A6.tmp moved successfully.
    c:\users\amine\AppData\Roaming\749E.tmp moved successfully.
    c:\users\amine\AppData\Roaming\YcS0gmLKhB9Jl.vbs moved successfully.
    c:\users\amine\AppData\Roaming\tiHUrkcHFCsHFSk.vbs moved successfully.
    c:\users\amine\AppData\Roaming\3pVj35KnFh56K.vbs moved successfully.
    c:\users\amine\AppData\Roaming\I1CBC.vbs moved successfully.
    ========== COMMANDS ==========
     
    OTM by OldTimer - Version 3.1.9.0 log created on 02202010_140010


    Il n y'a que des "moved successfully", c'est bon signe.

    Note: je n'ai pas trouvé de case Unregister Dll's and Ocx's pour la cocher
    0
    1. Utilisateur anonyme
       
      pourrai tu me refaire un RSIT

      Oui comme tu dits, c'est bon signe
      0
  14. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Voilà ce que donne le RSIT:

    http://www.cijoint.fr/cjlink.php?file=cj201002/cijaikodCG.txt

    Je suis vraiment désolé pour le temps que ça prend pour répondre, c'est que je suis un peu pris même le week-end ces derniers temps.
    0
    1. Utilisateur anonyme
       
      met à jour ton Malwarebytes, et fait un scan complet
      0
      1. sapiens-sapiens Messages postés 1932 Statut Membre 26 > Utilisateur anonyme
         
        Scan en cours depuis une dizaine de minutes ( après MAJ biensur), ça prend du temps on dirait...
        0
      2. Utilisateur anonyme > sapiens-sapiens Messages postés 1932 Statut Membre
         
        d'accords j'attends
        0
      3. sapiens-sapiens Messages postés 1932 Statut Membre 26 > Utilisateur anonyme
         
        Je t'informe que, après 41 minutes de scan, il est à détecter 40 éléments infectés !

        Et en même temps, Antivir s'affole. Il me sort à son tour plus de 20 fois sa fenêtre d'alert, j'ai pris deux captures d'écran que je placerai dans le poste qui suit.
        0
      4. Utilisateur anonyme > sapiens-sapiens Messages postés 1932 Statut Membre
         
        je crois savoir pourquoi, on verra
        0
  15. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Voilà:

    http://www.cijoint.fr/cj201002/cijyDz1OLi.jpg

    http://www.cijoint.fr/cj201002/cij6nYvQQf.jpg

    Et ce plusieurs fois, avec des versions parfois différentes de cheval de troie.

    Une idée?
    0
    1. Utilisateur anonyme
       
      ne t'inquiète pas il détecte ce qu'il y a dans la quarantaine de Combofix, je m'en doutais tes 2 logiciels Antivir et Malwarebytes ramassent tout ce qu'il y a dans la quarantaine des outils, et dans les points de restauration
      0
      1. sapiens-sapiens Messages postés 1932 Statut Membre 26 > Utilisateur anonyme
         
        Ah d'accord.

        Le scan est toujours en cours après 1h08, je pense que ce sera encore long, tu peux te reposer maintenant si tu le souhaites et tu trouveras le rapport demain.
        0
      2. Utilisateur anonyme > sapiens-sapiens Messages postés 1932 Statut Membre
         
        d'accord à demain, car je suis fatiguée
        0
  16. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Pfiou, 2 heures de scan !

    Voici les résultats: http://www.cijoint.fr/cjlink.php?file=cj201002/cijkrAxZlP.txt

    Je pense que je dois cliquer sur "supprimer la sélection" mais je n'entame rien sans ton accord, on sait jamais.

    Donc je mettrai le PC en veille jusqu'à demain.
    0
    1. Utilisateur anonyme
       
      bonjour
      ouvre malwarebytes, et clique sur supprimer la sélection, et après le redémarrage du PC, poste le rapport
      0
  17. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Salut,

    J'ai supprimé la selection, voilà le dernier rapport qu'il a généré:

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3767
    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18882

    21/02/2010 13:46:23
    mbam-log-2010-02-21 (13-46-23).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 309976
    Temps écoulé: 1 hour(s), 59 minute(s), 30 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 45

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servises (Malware.Trace) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Qoobox\Quarantine\C\Windows\System32\CRPPresentation32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\d3dx9_253232.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dmband32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\bitsprx332.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\cdosys32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\certenc32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\CertEnroll32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\CIRCoInst32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\cmdial3232.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\cngaudit32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\comuid32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\csrsrv32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\C_IS202232.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\D3DCompiler_3332.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\D3DCompiler_3532.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\d3dx10_3332.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\d3dx10_3732.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\d3dx9_2532.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\d3dx9_263232.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\d3dx9_2732.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\d3dx9_3432.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\d3dx9_343232.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\D3DX9_3832.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dataclen32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\ddrawex32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dfsrres32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dinput32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dmloader32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dmscript32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dmutil32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dnsapi32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dnsrslvr32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dot3gpui32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dot3msm32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dpl10032.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dpu1032.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dskquoui32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dtu10032.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dwmapi32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\eventcls32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\_OTM\MovedFiles\02202010_140010\c_users\amine\AppData\Roaming\32FB.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\_OTM\MovedFiles\02202010_140010\c_users\amine\AppData\Roaming\B27C.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\_OTM\MovedFiles\02202010_140010\c_users\amine\AppData\Roaming\BD57.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\_OTM\MovedFiles\02202010_140010\c_users\amine\AppData\Roaming\CAF.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\_OTM\MovedFiles\02202010_140010\c_users\amine\AppData\Roaming\F5C3.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.

    .
    0
    1. Utilisateur anonyme
       
      tu vois j'avais raison Malwarebytes a ramassé ce qu'il y avait dans la quarantaine de combofix et OTM
      comment va le PC ?
      il restait seulement un élément infecté dans ton PC que Malwarebytes a supprimé
      C'était un malware qui s'était installé dans ton PC, et avait infecté de nombreux fichiers
      0
      1. sapiens-sapiens Messages postés 1932 Statut Membre 26 > Utilisateur anonyme
         
        Re,

        Le PC marche très bien, plus de soucis avec la lenteur d'ouverture des pages web et autres, même la RAM semble être allégée, elle était pleine à 60% avant dès l'ouverture de windows, maintenant elle est aux alentours de 40%. Mais faux pas oublier que le tea timer est encore désactivé aussi.

        Devrais-je comprendre que ça y est, tout est OK maintenant? que je supprime les outils qu'on a utilisé et c'est fini?
        0
      2. Utilisateur anonyme > sapiens-sapiens Messages postés 1932 Statut Membre
         
        coté infection, c'est bon, on va finaliser
        pourrai tu me refaire un RSIT
        0
      3. sapiens-sapiens Messages postés 1932 Statut Membre 26 > Utilisateur anonyme
         
        Oui, voilà le rapport:

        http://www.cijoint.fr/cjlink.php?file=cj201002/cijqJpWhcu.txt
        0
      4. Utilisateur anonyme > sapiens-sapiens Messages postés 1932 Statut Membre
         
        Il faut nettoyer les outils de désinfection:

        * Télécharge ToolsCleaner2 sur ton Bureau
        https://www.commentcamarche.net/telecharger/
        * Clic droit sur ToolsCleaner2.exe, et sur exécuter en tant qu'administrateur
        * Clique sur Recherche et laisse le scan agir.
        * Clique sur Suppression pour finaliser.
        * Tu peux, si tu le souhaites, te servir des Options Facultatives.
        * Clique sur Quitter pour obtenir le rapport.
        * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

        supprime toolscleaner2 manuellement



        Tu dois désactiver la restauration système pour supprimer les points de restauration infectés:

        * Démarrer, Panneau de configuration, Système, puis sur Protection du système à gauche
        * La fenêtre Propriétés système s'ouvre
        * Va dans l'onglet Protection du système
        * Patiente le temps que Windows cherche
        * Décoche les partitions
        * Windows demande si on veut désactiver la restauration système
        * Clique sur désactiver la restauration système
        * Valide en cliquant sur OK
        * Redémarre le PC


        Tu dois réactiver la restauration système, et tu vas créer un point de restauration propre:

        * Démarrer, Panneau de configuration, Système, puis à gauche, dans tâches, sur Protection du système
        * Dans la fenêtre Propriètés système, recoche les partitions , puis clique sur Appliquer
        * Tu peux créer un point de restauration propre tout de suite en cliquant sur créer
        * Une petite fenetre s'ouvre
        * Entre la date du point de restauration que tu veux créer
        * Clique sur créer, et le point de restauration se crée automatiquement, puis on t'annonce que le point de restauration a été créé, puis clique sur OK
        * Redémarre le PC


        Pense à réactiver l'UAC ( contrôle de comptes d'utilisateurs):

        * Clique sur le menu Démarrer puis sur Panneau de configuration , Comptes d'utilisateurs
        * Clique sur Activer ou désactiver le contrôle des comptes d'utilisateurs:
        * Recoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur puis OK, et rdémarre le PC

        Un dernier petit nettoyage pour ton PC:
        * Double-clique sur l'icône de C Cleaner pour l'ouvrir
        * Clique sur option, et puis avancé
        * Tu décoches effacer uniquement les fichiers du dossier temp de windows plus vieux que 48 heures
        * Clique sur nettoyeur
        * Clique sur windows, et dans la colonne avancé
        * Coche la première case vieilles données du perfetch que celle-là, ce qui te donnes la case vieilles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-là
        * Clique sur analyser
        *Clique sur nettoyer et sur la demande de confirmation OK. Tu recommences jusqu'à ce que C Cleaner ne trouve plus rien
        * Clique maintenant sur registre et puis sur chercher les erreurs
        * Laisse tout coché, et clique sur corriger les erreurs sélectionnées
        *Il te demande de sauvegarder OUI
        *Tu lui donnes un nom pour pouvoir la retrouver et enregistre
        * Clique sur chercher les erreurs sélectionnées et sur la demande de confirmation OK
        * Il supprime, et fermer, tu vérifies en relançant chercher les erreurs
        *Tu retournes dans options, et tu recoches la case effacer uniquement les fichiers, du dossier temps de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du prefetch
        * Tu peux fermer C Cleaner


        Dernières recommandations:
        *Il faut garder Malwarebytes pour scanner une fois de temps en temps ton PC, et pense à le mettre à jour avant chaque scan
        *Pense à garder à jour Windows et tous tes logiciels pour éviter les failles de sécurité
        *Nettoye ton PC régulièrement, et il faut défragmenter régulièrement le disque dur pour éviter les ralentissements
        *Soit prudent quand tu surfes, et fait attention lorsque tu installes un logiciel gratuit et que tu le met à jour, il faut refuser les compléments telles que les barres d'outil, ne télécharge pas de logiciels que tu ne connais pas et sur des sites que tu ne connais pas
        *Les logicels P2P( Shaeraza, Bittorent, Emule, limewire), sont à bannir, car on risque de télécharger avec des fichiers infectés
        *Sache que le meilleur anti-virus, c'est ta vigilence
        *Fait très attention aussi aux pubs qui proposent des logiciels de sécurité qui sont des faux et qui sont appelés rogues, ne clique jamais sur les pubs
        *Mieux vaut télécharger des logiciels connus sur des sites de très bonne réputation, si tu as un doute sur un logiciel que tu veux télécharger, vérifie d'abord sa légitimité
        *Ne télécharge aussi jamais de logiciels proposés par EoRezo, car ils sont néfastes
        *Il est indispensable de faire des sauvegardes régulièrement dans un support externe, car en cas d'infection, tu auras un double des tes documents


        Ton java n'est pas à jour
        Télécharge la nouvelle version
        https://www.java.com/fr/download/
        0
  18. sapiens-sapiens Messages postés 1932 Statut Membre 26
     
    Bonjour,

    Le rapport TCleaner

    Voilà j'ai tout exécuté à la lettre concernant ton dernier poste, le PC marche très bien maintenant, plus de soucis de fonctionnement ou d'alertes antivirus. J'ai jeté un coup d'oeil sur les processus en cours dans le gestionnaire des tâches et j'ai trouvé que leur nombre a nettement réduit, notamment pour les "svhost.exe" qui occupaient pas mal de ressources UC et de mémoire vive, il y en avait une dizaines mais maintenant il n y en a aucun en cours.

    Je note que j'ai réactivé le résident "Tea Timer" de Spybot, il prend plus de 132 Mo de RAM et il ralentit un peu le PC au démarrage, je pense le désactiver s'il n'est pas d'une utilité capitale, si tu es d'accord biensur.

    Nathandre, chapeau bas ! Je te remercie infiniment pour ton aide, ta patience, et tes précieux conseils.

    Un petit geste pour exprimer ma gratitude, biensur cela reste virtuel mais le concept y est =)


    Je passe donc mon topic en résolu après ta confirmation.

    0
    1. Utilisateur anonyme
       
      bonjour sapiens sapiens
      je suis vraiment touchée par ton geste, merci infiniment
      tu peux mettre ton sujet en résolu
      si tu suis tous mes conseils, tu pourras préserver ton PC d'un grand nombres de menaces
      supprime ceci C:\Users\amine\Desktop\ComboFix.exe
      Spybot est plus embêtant qu'autre chose, surtout sa protection résidente
      bonne journée
      0
      1. sapiens-sapiens Messages postés 1932 Statut Membre 26 > Utilisateur anonyme
         
        Re,

        Ok donc Spybot à la trap.

        Encore merci et à un de ces jours :)
        0