Trojan. Schoeberl.E

Ok, je le fais tout de suite et te tiens au courant dans la foulée.
Merci de m'aider !

Et voila :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijfKRbuDk.txt

J'attends tes instructions.

Merci du conseil, mais dans mon message je dis que je l'ai déjà fait !
Je l'ai fait deux fois, la deuxième fois en mode sans échec. L'utilitaire ne trouve rien. Tandis que Norton continue de m'avertir de la présence de Trojan.Schoeberl.E, d'où ma demande d'aide sur ce forum.

Je trouve peut-être qu'il rame un peu, mais difficile à évaluer.
Non, Norton ne dis dans fichier il se trouve.
Malwarebytes, je le télécharge sur le site et je lance un scan après ?

Ok, je le fais et je te tiens au courant.

Voici le rapport. Pas de trace de Trojan.Schoeberl. E, me semble-t-il ???

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3885
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19/03/2010 20:46:42
mbam-log-2010-03-19 (20-46-34).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 273122
Temps écoulé: 2 hour(s), 16 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

J'ai supprimé les trois choses. redémarré, et Norton a envoyé la même alerte...

salut
essaye ça pour finir
https://www.trendmicro.com/en_us/forHome/products/housecall.html
tu le lance il va se mettre à jour tout seul
tu clique sur "settings" en dessous du bouton scan now, pui sfull system scan, puis ok
et enfin scan now
s'il ne trouve rien pour moi c'est bon
as tu désactivé la restauration ? Peut être que norton le trouve dans les points de restauration.

Si ca continue, poste une image de la fenêtre norton de l'alerte, il est curieux qu'il t'indique un virus sans dire où il se trouve

J'essaie et je te rends compte ensuite.

Ok !

Bon, j'ai passé OTM. Voici le rapport ci-dessous.
Un redémarrage a été demandé et à l'occasion de celui-ci, Norton affiche toujours la fenêtre dont j'ai fait la capture dans ce fil et qui est à l'origine du fil.
Je continue avec Ad Remover et te tiens au courant :

All processes killed
========== FILES ==========
File/Folder c:\windows\system32\^^^^^^.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: COMTE
->Temp folder emptied: 82575740 bytes
->Temporary Internet Files folder emptied: 7548960 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 39279215 bytes
->Google Chrome cache emptied: 9165342 bytes
->Flash cache emptied: 4242 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 9697715 bytes

User: Martin
->Temporary Internet Files folder emptied: 8912666 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Propriétaire

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 30084907 bytes
%systemroot%\System32\dllcache .tmp files removed: 9306112 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1620967011 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 12990574 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 357028712 bytes

Total Files Cleaned = 2 086,00 mb


OTM by OldTimer - Version 3.1.10.1 log created on 03292010_193749

Files moved on Reboot...
C:\Documents and Settings\COMTE\Local Settings\Temp\Google Toolbar\GoogleToolbarWelcome.log moved successfully.
C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\Content.IE5\TS0154DN\cijoint404[1].htm moved successfully.
C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\Content.IE5\FDF3NO6A\affich-17062918-trojan-schoeberl-e[1].htm moved successfully.
C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\Content.IE5\DGMN7E8I\cijointfr[1].bmp moved successfully.
C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\Content.IE5\DGMN7E8I\favicon[6].ico moved successfully.
C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\Content.IE5\3W9LSHPQ\index[2].htm moved successfully.
C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\SuggestedSites.dat moved successfully.
File C:\WINDOWS\temp\Perflib_Perfdata_170.dat not found!
File C:\WINDOWS\temp\Perflib_Perfdata_414.dat not found!

Registry entries deleted on Reboot...

Le rapport de Ad-Remover :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 28/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 19:51:39 le 29/03/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
Nom du PC: VAIOVGNFS415S | Utilisateur actuel: COMTE (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Documents and Settings\COMTE\Application Data\pdfforge
C:\Documents and Settings\COMTE\Application Data\Search Settings
C:\Program Files\Application Updater
C:\Program Files\AskBarDis
C:\Program Files\Mozilla FireFox\extensions\search@searchsettings.com
.
HKCU\Software\AppDataLow\AskBarDis
HKCU\Software\AppDataLow\Software\pdfforge
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Search Settings
HKLM\Software\Application Updater
HKLM\Software\pandobar
HKLM\Software\pdfforge
HKLM\Software\Search Settings
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version Impossible d'obtenir la version *
.
C:\Documents and Settings\COMTE\..\5pce1y04.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\COMTE\\Bureau
C:\Documents and Settings\COMTE\..\5pce1y04.default\prefs.js - browser.startup.homepage: hxxp://math.unice.fr/~comte/
C:\Documents and Settings\COMTE\..\5pce1y04.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.6
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Search_URL: hxxp://www.google.com/ie
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://gc83.perso.sfr.fr/
Use Custom Search URL: 1
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
============== SUSPECT(S) ==============
.
C:\Documents and Settings\COMTE\Application Data\pdfforge\apatch.exe
.
========================================
.
C:\DOCUME~1\COMTE\LOCALS~1\Temp: 5 Fichier(s), 5 Dossier(s)
C:\WINDOWS\temp: 6 Fichier(s), 0 Dossier(s)
Temporary Internet Files: 10 Fichier(s), 9 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 3523 Octet(s)
.
Fin à: 20:01:03, 29/03/2010
.
============== E.O.F - SCAN[1] ==============

Lors du nettoyage, une fenêtre "error at line 1, autolt errot" (je crois) est apparue. Je l'ai fermée, puis la fenêtre d'AD-R a disparu. Pas de rapport généré visiblement.
Je fais quoi ?

Je ne vois rien dans C:. Je ne vois pas le premier rapport non plus à l'issu du scanner (celui-ci s'était ouvert dans une fenêtre à la fin du scan et je l'ai copié-collé dans mon précédent courrier).
Je viens de relancer le Nettoyage et apparaît à nouveau la fenêtre "Autolt Error"
dans laquelle est écrit : Error : Error in expression
Je fais OK et ça la ferme, ainsi que AD-R.

Ah, je viens de voir les deux rapports Ad-report CLEAN [1] et Ad-report CLEAN [2].
Je te les transmets.

Le premier rapport :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 28/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:54:01 le 29/03/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
Nom du PC: VAIOVGNFS415S | Utilisateur actuel: COMTE (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Documents and Settings\COMTE\Application Data\pdfforge
C:\Documents and Settings\COMTE\Application Data\Search Settings
[b]ERREUR SUPPRESSION !![/b] : C:\Program Files\Application Updater
C:\Program Files\AskBarDis
C:\Program Files\Mozilla FireFox\extensions\search@searchsettings.com

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AppDataLow\AskBarDis
HKCU\Software\AppDataLow\Software\pdfforge
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Search Settings
HKLM\Software\Application Updater
HKLM\Software\pandobar
HKLM\Software\pdfforge
HKLM\Software\Search Settings
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
.

Le second rapport, après avoir relancé le nettoyage :


.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 28/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 21:04:36 le 29/03/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
Nom du PC: VAIOVGNFS415S | Utilisateur actuel: COMTE (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files\Application Updater

(!) -- Fichiers temporaires supprimés.
.
.

OK.
C'est parti !

Le rapport de ZHDiag :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijqyJUDdq.txt

Allez, c'est parti. Quelle aventure...

Combo fix me demande de télécharger la console de restauration...

J'ai dû me recconnecter à internet en rétablissant Norton...
Puis j'ai débranché le cable. Ensite on m'a dit que la console s'était bien installée (ouf !).
J'ai désactivé Norton. et le processus se fait. J'espère que tout ça ne va pas trop perturber le scan....

Le PC a redmarré pendant le scan (ou à la fin ?) tout seul. Une fenêtre "merci de patienter" de Combo fix apparaît au redémarrage...

Et toujours, après le redémarrage, la fenêtre de Norton qui signale que Norton a détecté des menaces !

Euh...Je fais comment ?

Je ne connais pas Norton mais tu dois pouvoir accéder au journal des événements (alertes ,détections;.)

La capture d'écran de la fenêtre est ici : http://www.cijoint.fr/cj201003/cijA28Bfz8.jpg

j'essaie.

Rien ne semble anormal : Pas d'action recommandé, dans l'historique, je ne voisaucune trace de Trojan. Schoeberl. E.
LA seule alerte est celle de la fenêtre dont j'ai fait la capture ci-dessus, et qui apparaît à chaque démarrage, ou après une analyse. Sans visiblement laisser de trace dans l'historique !

Voila :

ZHPFix v1.12.3081 by Nicolas Coolman - Rapport de suppression du 30/03/2010 09:23:50
Fichier d'export Registre : C:\ZHPExportRegistry-30-03-2010-09-23-50.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé absente
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé absente

Valeur du Registre :
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\^^^^^^.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\system32\^^^^^^.exe => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0


End of the scan

Ca a l'air d'aller...
On peut considérer que tout est bon ?