supprimer Anti Malware DefenderRésolu/Fermé

Question

Bonjour,

Je fais partie du lot de ceux qui se coltinent Anti Malware Defender.
J'ai vu un topic déjà résolu et très clairement décrit dans ce forum et ai commencé la manip mais le 1er rapport de HijackThis est assez différent. Alors le voici. Pouvez-vous m'aider svp ?

(j'ai déjà un peu du mieux depuis hier, surtout ce matin en virant au démarrage l'execution de l'application hjr*32.exe que je ne reconnais pas).
config : windows 7 et IE 8


-----------------------



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:08:27, on 07/03/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe
C:\Program Files (x86)\AVG\AVG9\avgtray.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
c:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqToaster.exe
C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWow64\Macromed\Flash\FlashUtil10b.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWOW64undll32.exe
C:\Windows\SysWOW64\ctfmon.exe
C:\Program Files (x86)\Trend Micro\HijackThis\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote	bVuze.dll
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: 96.168.178.115 secure.antimalwaredefender.com
O1 - Hosts: 96.168.178.115 support.antimalwaredefender.com
O1 - Hosts: 95.168.173.24 secure.antimalware-defender.com
O1 - Hosts: 95.168.173.24 support.antimalware-defender.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: {66b5e822-a0d9-49e1-9731-a1a9783e304a} - {66b5e822-a0d9-49e1-9731-a1a9783e304a} - C:\Windows\SysWow64\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.avi
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote	bVuze.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote	bVuze.dll
O4 - HKLM\..\Run: [HPCam_Menu] "c:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" "c:\Program Files (x86)\Hewlett-Packard\Media\Webcam" UpdateWithCreateOnce "Software\Hewlett-Packard\Media\Webcam"
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [NortonOnlineBackupReminder] "C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" UNATTENDED
O4 - HKLM\..\Run: [UpdatePRCShortCut] "C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Hewlett-Packard\Recovery" UpdateWithCreateOnce "Software\CyberLink\PowerRecover"
O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~2\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [66b5e822-a0d9-49ef-9731-a1a9783e304a_26] "C:\Windows\system32undll32.exe" "C:\Windows\system32\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.avi", start minimized
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKCU\..\Run: [HPADVISOR] C:\Program Files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe view=DOCKVIEW
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [66b5e822-a0d9-49ef-9731-a1a9783e304a_26] "C:\Windows\system32undll32.exe" "C:\Users\Virginie\AppData\Roaming\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.avi", start minimized
O4 - HKCU\..\Run: [TOY5KNQ8OC] C:\Users\Virginie\AppData\Local\Temp\Hjr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Startup: 66b5e822-a0d9-49ef-9731-a1a9783e304a_26.lnk = C:\Windows\System32undll32.exe
O4 - Global Startup: 66b5e822-a0d9-49ef-9731-a1a9783e304a_26.lnk = C:\Windows\System32undll32.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - C:\ProgramData\AOL\ieToolbaresources\fr-FR\local\search.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34FA5CD2-115E-4692-A838-BF9E7B01B6F5}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{34FA5CD2-115E-4692-A838-BF9E7B01B6F5}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{34FA5CD2-115E-4692-A838-BF9E7B01B6F5}: NameServer = 192.168.1.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG9\avgpp.dll
O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_ccf0dd3cb081af84\AESTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgwdsvc.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Unknown owner - C:\Windows\system32\Hpservice.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32
vvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_ccf0dd3cb081af84\STacSV64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

Lyonnais92 · Answer

Bonjour,

Hijackthis n'est pas "compatible" Windows7.

===

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Monparp1 · Answer

Lyonnais92, merci déjà pour ton aide!

ça n'a pas été très long. voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201003/cijOavh4Jj.txt 

j'ai aussi un message d'erreur dans IE qui m'embête depuis ce matin, c'est lié ?
"autoriser Processus hote windows (Rundll) ?" puis "problème  lors du démarrage de C:\ProgramData\8d14dcbe.... .avi          Le module spécifié est introuvable"

merci

Lyonnais92 · Answer

Re,

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Monparp1 · Answer

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3831
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07/03/2010 11:32:07
mbam-log-2010-03-07 (11-32-07).txt

Type de recherche: Examen rapide
Eléments examinés: 104531
Temps écoulé: 4 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 40

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\TOY5KNQ8OC (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Defender (Rogue.AntimalwareDefender) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	oy5knq8oc (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\66b5e822-a0d9-49ef-9731-a1a9783e304a_26 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\66b5e822-a0d9-49ef-9731-a1a9783e304a_26 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Users\Virginie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Defender (Rogue.AntimalwareDefender) -> Quarantined and deleted successfully.
C:\Program Files (x86)\Antimalware Defender (Rogue.AntimalwareDefender) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\Virginie\AppData\Local\Temp
texplore.exe (Trojan.Nothing) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Defender\Antimalware Defender.lnk (Rogue.AntimalwareDefender) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Defender\Uninstall Antimalware Defender.lnk (Rogue.AntimalwareDefender) -> Quarantined and deleted successfully.
C:\Program Files (x86)\Antimalware Defender\Antimalware Defender.dll (Rogue.AntimalwareDefender) -> Quarantined and deleted successfully.
C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Virginie\Desktop\Antimalware Defender.LNK (Rogue.AntimalwareDefender) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Defender.LNK (Rogue.AntimalwareDefender) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\ProgramData\137824d0-4403-44a6-a259-9769a7930920_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\27baa0d6-fc78-4f13-8355-109c023daa36_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\30d587fb-7d41-498b-8add-8e4e8a771250_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\315d6383-4e45-4d27-96e1-8047230e9256_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\6252425b-59d6-4a96-a470-ce53e2c2f91a_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\7b21bff1-96e2-491f-9966-af5d42e4c49f_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\febbd7ab-5a71-472a-beef-94cc2a9b39fc_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\137824d0-4403-44a6-a259-9769a7930920_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\27baa0d6-fc78-4f13-8355-109c023daa36_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\30d587fb-7d41-498b-8add-8e4e8a771250_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\315d6383-4e45-4d27-96e1-8047230e9256_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\6252425b-59d6-4a96-a470-ce53e2c2f91a_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\7b21bff1-96e2-491f-9966-af5d42e4c49f_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\febbd7ab-5a71-472a-beef-94cc2a9b39fc_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.avi (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.avi (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.ico (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.ico (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.lnk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.lnk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\Local Settings\Application Data\137824d0-4403-44a6-a259-9769a7930920_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\Local Settings\Application Data\27baa0d6-fc78-4f13-8355-109c023daa36_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\Local Settings\Application Data\30d587fb-7d41-498b-8add-8e4e8a771250_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\Local Settings\Application Data\315d6383-4e45-4d27-96e1-8047230e9256_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\Local Settings\Application Data\6252425b-59d6-4a96-a470-ce53e2c2f91a_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\Local Settings\Application Data\7b21bff1-96e2-491f-9966-af5d42e4c49f_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\Local Settings\Application Data\febbd7ab-5a71-472a-beef-94cc2a9b39fc_.mkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\Local Settings\Application Data\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.avi (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Virginie\Local Settings\Application Data\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.ico (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.avi (Trojan.FakeAlert) -> Delete on reboot.
C:\Windows\System32\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.ico (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi et reposte un nouveau rapport ZHPDiag dans un lien Cijoint.

Monparp1 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201003/cijkqsaTCq.txt

Monparp1 · Answer

On va dire que tout a l'air de marcher correctement pour le moment. plus de messages d'erreur bizarres, j'ai pu remettre en marche le centre de sécurité windows...

on va dire que c'est résolu!
Merci de ton aide précieuse !

Lyonnais92 · Answer

Re,

ce n'est pas fini. Il reste de nombreuses manifestations infectieuses.

===

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Users\Virginie\AppData\Local\Temp\Hjr.exe 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant  


->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok] 

===

Fais de même avec :

C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

===

Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj201003/cijVZBFxRh.txt

Ouvre le fichier.

Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.




 Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Si cela n'a pas été fait, fais redémarrer l'ordi;

Refais tourner MBAM (scan rapide) et mets en quarantaine tout ce qu'il trouve.

Poste le rapport.

Monparp1 · Answer

Salut !

alors effectivement il y a encore des petites merdasses dans les coins.

alors pour commencer voici déjà le rapport de virustoal sur hjr.exe:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijibTFtwk.txt 

au moment où je suis allée le chercher, j'ai eu une alerte avg sur hjp.exe et j'ai vu que j'avais aussi hjq.exe.
Je fais la même analyse avec eux ?

En tout cas je n'ai pas pu faire l'analyse de sysnative car ce dossier n'est pas existant dur mon pc ! normal ?

je lis la suite de ton mail et je continue à faire ce que je peux!

Lyonnais92 · Answer

Bonsoir,

les 2 autres sont du même tonneau que celui que tu as analysé, donc pas la peine, in les supprimera.

Par contre, fais une recherche sur 7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 et dis moi dans quel répertoire tu le trouves.

Je te laisse continuer.

Monparps · Answer

tiens, prends déjà ça, c'est machinfix

ZHPFix v1.12.307  by Nicolas Coolman - Rapport de suppression du 08/03/2010 21:28:42
Fichier d'export Registre : C:\ZHPExportRegistry-08-03-2010-21-28-42.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\Users\Virginie\AppData\Local\Temp\Hjr.exe  => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: {66b5e822-a0d9-49e1-9731-a1a9783e304a} - {66b5e822-a0d9-49e1-9731-a1a9783e304a} . (.Pas de propriétaire - Pas de description.) -- C:\Windows\SysWow64\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.avi  => Clé supprimée avec succès

Valeur du Registre :
O4 - HKCU\..\Run: [TOY5KNQ8OC] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Virginie\AppData\Local\Temp\Hjr.exe  => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files (x86)\Antimalware Defender  => Dossier absent

Fichier :
c:\windows\syswow64\66b5e822-a0d9-49ef-9731-a1a9783e304a_26.avi  => Fichier absent
c:\users\virginie\appdata\local	emp\hjr.exe  => Fichier absent
c:\windows	asks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job  => Fichier absent
c:\windows	asks\{66ba574b-1e11-49b8-909c-8cc9e0e8e015}.job  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 1
Fichier : 4
Logiciel : 0
Autre : 0


End of the scan

Monparp1 · Answer

Aie, je viens de redémarrer et en plein scan mbam j'ai une alerte du "bouclier résident" sur c:\users\virginie\appdata\local	emp
fylrs.exe
pour le moment je touche à rien et garde la fenêtre ouverte


le scan mbab s'est fini le temps que je tape ces mots: 2 infections.

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3831
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

08/03/2010 21:44:58
mbam-log-2010-03-08 (21-44-58).txt

Type de recherche: Examen rapide
Eléments examinés: 104153
Temps écoulé: 5 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\TOY5KNQ8OC (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Monparps · Answer

le fichier 7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d­-8115-601632D005A0 
est tout simplement dans C:\Windows\System32


ouf, ça y est, j'ai fini ta liste!.... pour le moment !

Lyonnais92 · Answer

Re,

c:\users\virginie\appdata\local	emp
fylrs.exe est malware, tu supprimes sans état d'âme.

====

Tu analyses sur VirusTotal C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d­­-8115-601632D005A0 

tu postes le résultat.

===

Tu fais redémarrer l'ordi et tu refais tourner ZHPDiag.

Tu postes le nouveau rapport dans un lien Cijoint.

Monpars · Answer

zut, j'arrive pas à attraper le fichier avec virustotal (fichier introuvable) alors que je le vois bien dans l'explorateur... je fais quoi ?!!
désolée je suis vraiment pas douée....

Lyonnais92 · Answer

Re,

VirusTotal ne le voit ni dans C:\Windows\System32 ni dans C:\Windows\Sysnative

et l'explorateur Windows le voit dans system32 ?

===

Essaye avec l'option "envoi par le client de messagerie".

Monparp'1 · Answer

j'ai pas de fichier sysnative du tout, et je le vois pas dans system32 avec virus total...
pourtant il est bien là...!

Monparp1 · Answer

j'vaias pas vu ta dernière remarque...
ça marche pas non plus !

voici le message d'erreur ! (tb 3)

L'envoi du message a échoué.
Une erreur est survenue lors de l'attachement de 7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0. Veuillez vérifier que vous avez accès au fichier.

Lyonnais92 · Answer

Re,

un fichier comme ça, c'est malware.

Cherche le avec l'explorateur Windows, clic droit et Supprimer.

Vide la Corbeille.

Fais redémarrer l'ordi et reposte un rapport ZHPDiag.

Monparp1 · Answer

ok je vais supprimer. j'en ai un 2ème quasi identique qui a les même symptômes, le nom est identique sauf que c'est 5P0 au lieu de 5P1 au mileu.
je me permets de le supprimer aussi directement et je redémarre.
à ds 5 min

Monparp1 · Answer

j'ai du mal poster mon dernier message : j'ai supprimé le fichier et un 2ème qui répondait aux mêmes symptomes et même nom avec 5P0 au lieu de 5P1 au milieu --> vidage de corbeille, redémarrage, analyse voici le rapport .

http://www.cijoint.fr/cjlink.php?file=cj201003/cijEx3QrlP.txt

Lyonnais92 · Answer

Re,

je veux un nouveau rapport ZHPdiag.

C'est celui d'hier que tu viens de reposter.

Monparp1 · Answer

ah punaise, ça veut vraiment pas passer. ça me broute pour un txt à 43ko !!!
je tente comme ça si tu m'en veux pas :  http://dl.free.fr/getfile.pl?file=/EK3nFEWj

Lyonnais92 · Answer

Re,

ça passe comme ça.

Par contre, tu es sûr de l'avoir lancé par un clic droit et exécuter en tant qu'administrateur ?

Si tu le relances comme ça et que tu as des lignes commençant par O64 (en fin de rapport), poste la nouvelle version.

Monparp'1 · Answer

ah bahbc'est pour ça que je t'ai renvoyé le même... ça n'avait pas écrasé celui d'avant!

par contre cijoint veut tjs pas.

nouveau lien free: http://dl.free.fr/getfile.pl?file=/mhmzBUJh


là je suis au brod du craquage, ce sera ma dernière action de ce soir...!

vraiment désoéle pour tout ce temps que tu me consacre! c'est exceptionnel! merci infiniment!
bonne nuit

Lyonnais92 · Answer

Bonjour,

bonne nouvelle, ce rapport est propre;

Tu as AdAware qui me semble superlu.

Tu as aussi AVG antispyware. Tu n'as pas l'antivirus de AVG (qui serait en conflit avec Kaspersky) ?

===

Ta console java n'est pas jour.

Monparp1 · Answer

Salut !

ahhh ça c'est une bonne nouvelle!

en fait j'ai bien avg, mais j'avoue que c'est un peu comme ça que tout à commencé : il détecte plein de trucs d'un coup, veut mettre en quarantaire et le troyen a été plus malin et l'a bloqué. puis j'ai installé tout ce qui passait, ad-aware et kaspersky pour être sûre de rien choper de plus en cours de débugage...
tu me conseilles de garder lequel des 2 antivirus? des 2 anti spyware ?

allez, après je t'embêtes plus.
encore merci, et promis, je sors bien couverte maintenant !

Lyonnais92 · Answer

Re,

il existe une version gratuite de AVG mais pas de KaAsperky.

Ceci a-t-il une influence sur ton choix ?

Pour les antispywares, mon premier choix est MBAM, mon second SuperAntiSpyware.

Monparp1 · Answer

Bonsoir,

Oui j'utilise avg parce qu'il est gratuit et plutôt performant d'habitude. Dans mes souvenir Kaspersky aussi avait une version gratuite, mais depuis le temps que j'utilise avg ça a sans doute du changer.

Par contre j'ai encore 2 pbs:
- le pc me demande ma clé windows au démarrage pour cause de modification effectuée. je pense que ça vient de quand je n'arrivais pas à faire scanner les 2 fichiers par virustotal et que j'ai du les supprimer directement.
le pb, c'est que ma clé n'est pas reconnue, alors que j'ai bien une version authentique (pc neuf livré avec !)
- avg a détecté un dernier truc qu'il n'arrive pas à supprimer
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\AVP";"Détection de : Adware.Generic ";"Objet potentiellement dangereux"

je tente un scan complet avec zhpdiag ?

Lyonnais92 · Answer

Bonjour,

il faut que tu désinstalles Kaspersky.

AVG est bon.

Pour ta clé, tu peux contacter Microsoft.

Refais un scan avec ZHPDiag pour la clé HKLM.

Supprimer Anti Malware Defender

30 réponses

Discussions similaires

Newsletters