Trojan. Schoeberl.E

Résolu
GC83 Messages postés 249 Statut Membre -  
jfkpresident Messages postés 13877 Statut Contributeur sécurité -
Je suis sous XP et je possède Norton (varsion payante). Ce dernier détecte lors de ses analyses une menace : trojan. Schoeberl.E
J'ai lancé la procédure de symantec pour le supprimer, en suivant scrupleusement les règles (je l'ai fait aussi en mode sans échec en mode sans échec), mais la procédure ne trouve rien de suspect et donc ne supprime rien! Cependant Norton, à chaque démarrage ou lors de scans, détecte ce trojan.

Quelqu'un peut-il m'aider ?

13 réponses

Résumé de la discussion

Problème central: Norton sous Windows XP signale en permanence un Trojan Schoeberl.E malgré les procédures de suppression et les redémarrages répétés en mode sans échec. Des approches proposées incluent l’utilisation d’outils de diagnostic externes comme ZHPDiag pour générer des rapports détaillés et partager des liens vers des analyses en ligne. D’autres conseils suggèrent d’éventuellement tester des outils complémentaires, comme HouseCall de Trend Micro, et de vérifier les points de restauration afin d’éviter une réinfection via les historiques système. En dernier lieu, la discussion met en avant la nécessité de désactiver la restauration système et de vérifier les points de restauration, et invite à poster des rapports complets pour éclairer l’analyse.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Hello,

    GC83 : On va vérifier ce pc :

    Télécharge ZhpDiag de Nicolas Coolman .

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php

    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
    1
    1. GC83 Messages postés 249 Statut Membre 4
       
      Ok, je le fais tout de suite et te tiens au courant dans la foulée.
      Merci de m'aider !
      0
    2. GC83 Messages postés 249 Statut Membre 4
       
      Et voila :

      http://www.cijoint.fr/cjlink.php?file=cj201003/cijfKRbuDk.txt

      J'attends tes instructions.
      0
  2. Utilisateur anonyme
     
    bonjour

    tu as un utilitaire spécifique sur le site symantec
    est ce ça que tu as suivi ?

    https://www.broadcom.com/support/security-center

    télécharge le et enregistre le
    ferme tous tes programmes ouverts (y compris pare feu et antivirus)
    déconnecte toi d'internet
    double clique sur l'utilitaire
    redémarre
    si tout fonctionne, désactive la restauration du système puis tu la réactivera
    (clic droit poste de travail, propriétés, restauration du système, tu coches désactiver, ok,tu attends un peu puis tu décoches, puis ok)

    sinon je crois que malwarebytes le supprime

    https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
    télécharge, installe, mets à jour et choisi examen complet.
    Après ouverture du rapport, il va te proposer la suppression des fichiers infectés, accepte

    On n'utilise pas la totalité de notre cerveau, si on veut, on peut être encore plus cons ...
    0
    1. GC83 Messages postés 249 Statut Membre 4
       
      Merci du conseil, mais dans mon message je dis que je l'ai déjà fait !
      Je l'ai fait deux fois, la deuxième fois en mode sans échec. L'utilitaire ne trouve rien. Tandis que Norton continue de m'avertir de la présence de Trojan.Schoeberl.E, d'où ma demande d'aide sur ce forum.
      0
  3. Utilisateur anonyme
     
    essaye avec malwarebytes
    tu as des dysfonctionnements sur ton pc ?
    si norton te dit dans quel fichier il se trouve, envoie ce fichier ici, tu seras fixé

    --https://www.virustotal.com/gui/

    On n'utilise pas la totalité de notre cerveau, si on veut, on peut être encore plus cons ...
    0
    1. GC83 Messages postés 249 Statut Membre 4
       
      Je trouve peut-être qu'il rame un peu, mais difficile à évaluer.
      Non, Norton ne dis dans fichier il se trouve.
      Malwarebytes, je le télécharge sur le site et je lance un scan après ?
      0
  4. Utilisateur anonyme
     
    oui
    mets à jour et choisis examen complet
    s'il y a des infection sil propose de supprimer les fichiers à la fin
    0
    1. GC83 Messages postés 249 Statut Membre 4
       
      Ok, je le fais et je te tiens au courant.
      0
    2. GC83 Messages postés 249 Statut Membre 4
       
      Voici le rapport. Pas de trace de Trojan.Schoeberl. E, me semble-t-il ???

      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3885
      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      19/03/2010 20:46:42
      mbam-log-2010-03-19 (20-46-34).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 273122
      Temps écoulé: 2 hour(s), 16 minute(s), 37 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 2
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
    3. GC83 Messages postés 249 Statut Membre 4
       
      J'ai supprimé les trois choses. redémarré, et Norton a envoyé la même alerte...
      0
    4. Utilisateur anonyme
       
      salut
      essaye ça pour finir
      https://www.trendmicro.com/en_us/forHome/products/housecall.html
      tu le lance il va se mettre à jour tout seul
      tu clique sur "settings" en dessous du bouton scan now, pui sfull system scan, puis ok
      et enfin scan now
      s'il ne trouve rien pour moi c'est bon
      as tu désactivé la restauration ? Peut être que norton le trouve dans les points de restauration.

      Si ca continue, poste une image de la fenêtre norton de l'alerte, il est curieux qu'il t'indique un virus sans dire où il se trouve
      0
    5. GC83 Messages postés 249 Statut Membre 4
       
      J'essaie et je te rends compte ensuite.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

    Double-clique sur OTMoveIt3.exe pour le lancer.

    Copie la liste qui se trouve en gras ci-dessous,

    et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


    :files
    c:\windows\system32\^^^^^^.exe

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    Clique sur "MoveIt!" pour lancer la suppression.

    Le résultat apparaitra dans le cadre "Results".

    Clique sur "Exit" pour fermer.

    Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

    Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

    ========

    Télécharges AD-Remover sur ton bureau :

    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-removersituée sur ton bureau
    ? Au menu principal choisi l'option "Scanner"
    ? Postes le rapport qui apparait à la fin .

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    0
    1. GC83 Messages postés 249 Statut Membre 4
       
      Ok !
      0
    2. GC83 Messages postés 249 Statut Membre 4
       
      Bon, j'ai passé OTM. Voici le rapport ci-dessous.
      Un redémarrage a été demandé et à l'occasion de celui-ci, Norton affiche toujours la fenêtre dont j'ai fait la capture dans ce fil et qui est à l'origine du fil.
      Je continue avec Ad Remover et te tiens au courant :

      All processes killed
      ========== FILES ==========
      File/Folder c:\windows\system32\^^^^^^.exe not found.
      ========== COMMANDS ==========

      [EMPTYTEMP]

      User: All Users

      User: COMTE
      ->Temp folder emptied: 82575740 bytes
      ->Temporary Internet Files folder emptied: 7548960 bytes
      ->Java cache emptied: 0 bytes
      ->FireFox cache emptied: 39279215 bytes
      ->Google Chrome cache emptied: 9165342 bytes
      ->Flash cache emptied: 4242 bytes

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 32902 bytes

      User: LocalService
      ->Temp folder emptied: 115616 bytes
      ->Temporary Internet Files folder emptied: 9697715 bytes

      User: Martin
      ->Temporary Internet Files folder emptied: 8912666 bytes

      User: NetworkService
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: Propriétaire

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 19569 bytes
      %systemroot%\System32 .tmp files removed: 30084907 bytes
      %systemroot%\System32\dllcache .tmp files removed: 9306112 bytes
      %systemroot%\System32\drivers .tmp files removed: 0 bytes
      Windows Temp folder emptied: 1620967011 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 12990574 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
      RecycleBin emptied: 357028712 bytes

      Total Files Cleaned = 2 086,00 mb


      OTM by OldTimer - Version 3.1.10.1 log created on 03292010_193749

      Files moved on Reboot...
      C:\Documents and Settings\COMTE\Local Settings\Temp\Google Toolbar\GoogleToolbarWelcome.log moved successfully.
      C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\Content.IE5\TS0154DN\cijoint404[1].htm moved successfully.
      C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\Content.IE5\FDF3NO6A\affich-17062918-trojan-schoeberl-e[1].htm moved successfully.
      C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\Content.IE5\DGMN7E8I\cijointfr[1].bmp moved successfully.
      C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\Content.IE5\DGMN7E8I\favicon[6].ico moved successfully.
      C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\Content.IE5\3W9LSHPQ\index[2].htm moved successfully.
      C:\Documents and Settings\COMTE\Local Settings\Temporary Internet Files\SuggestedSites.dat moved successfully.
      File C:\WINDOWS\temp\Perflib_Perfdata_170.dat not found!
      File C:\WINDOWS\temp\Perflib_Perfdata_414.dat not found!

      Registry entries deleted on Reboot...
      0
    3. GC83 Messages postés 249 Statut Membre 4
       
      Le rapport de Ad-Remover :

      .
      ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
      .
      Mis à jour par C_XX le 28/03/10 à 21:30
      Contact: AdRemover.contact@gmail.com
      Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
      .
      Lancé à: 19:51:39 le 29/03/2010 | Mode normal | Option: SCAN
      Exécuté de: C:\Ad-Remover\ADR.exe
      SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
      Nom du PC: VAIOVGNFS415S | Utilisateur actuel: COMTE (Administrateur)
      .
      ============== ÉLÉMENT(S) TROUVÉ(S) ==============
      .
      .
      C:\Documents and Settings\COMTE\Application Data\pdfforge
      C:\Documents and Settings\COMTE\Application Data\Search Settings
      C:\Program Files\Application Updater
      C:\Program Files\AskBarDis
      C:\Program Files\Mozilla FireFox\extensions\search@searchsettings.com
      .
      HKCU\Software\AppDataLow\AskBarDis
      HKCU\Software\AppDataLow\Software\pdfforge
      HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
      HKCU\Software\Search Settings
      HKLM\Software\Application Updater
      HKLM\Software\pandobar
      HKLM\Software\pdfforge
      HKLM\Software\Search Settings
      HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
      HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
      HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
      HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
      HKLM\Software\Microsoft\Internet Explorer\Toolbar|{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
      HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
      .
      .
      ============== SCAN ADDITIONNEL ==============
      .
      * Mozilla FireFox Version Impossible d'obtenir la version *
      .
      C:\Documents and Settings\COMTE\..\5pce1y04.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\COMTE\\Bureau
      C:\Documents and Settings\COMTE\..\5pce1y04.default\prefs.js - browser.startup.homepage: hxxp://math.unice.fr/~comte/
      C:\Documents and Settings\COMTE\..\5pce1y04.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.6
      .
      .
      * Internet Explorer Version 8.0.6001.18702 *
      .
      [HKCU\Software\Microsoft\Internet Explorer\Main]
      .
      AutoHide: yes
      Default_Search_URL: hxxp://www.google.com/ie
      Do404Search: 0x01000000
      Enable Browser Extensions: yes
      Local Page: C:\WINDOWS\system32\blank.htm
      Search bar: hxxp://www.google.com/ie
      Search Page: hxxp://www.google.com
      Show_ToolBar: yes
      Start Page: hxxp://gc83.perso.sfr.fr/
      Use Custom Search URL: 1
      Use Search Asst: no
      .
      [HKLM\Software\Microsoft\Internet Explorer\Main]
      .
      Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
      Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Delete_Temp_Files_On_Exit: yes
      Local Page: C:\WINDOWS\system32\blank.htm
      Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
      .
      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      .
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm
      .
      ============== SUSPECT(S) ==============
      .
      C:\Documents and Settings\COMTE\Application Data\pdfforge\apatch.exe
      .
      ========================================
      .
      C:\DOCUME~1\COMTE\LOCALS~1\Temp: 5 Fichier(s), 5 Dossier(s)
      C:\WINDOWS\temp: 6 Fichier(s), 0 Dossier(s)
      Temporary Internet Files: 10 Fichier(s), 9 Dossier(s)
      .
      C:\Ad-Remover\Quarantine: 0 Fichier(s)
      C:\Ad-Remover\Backup: 1 Fichier(s)
      .
      C:\Ad-Report-SCAN[1].txt - 3523 Octet(s)
      .
      Fin à: 20:01:03, 29/03/2010
      .
      ============== E.O.F - SCAN[1] ==============
      0
  7. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    ! Déconnectes toi et fermes toutes applications en cours !

    ? Relances "Ad-remover" : au menu principal choisi l'option "Nettoyer" .

    ? Postes le rapport qui apparait à la fin.

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides)
    0
    1. GC83 Messages postés 249 Statut Membre 4
       
      Lors du nettoyage, une fenêtre "error at line 1, autolt errot" (je crois) est apparue. Je l'ai fermée, puis la fenêtre d'AD-R a disparu. Pas de rapport généré visiblement.
      Je fais quoi ?
      0
  8. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Vérifie ici : C:\Ad-report(date).log si le rapport de nettoyage est présent .

    Sinon essaie de le relancer ,si ca ne marche pas ,on fera autrement .
    0
    1. GC83 Messages postés 249 Statut Membre 4
       
      Je ne vois rien dans C:. Je ne vois pas le premier rapport non plus à l'issu du scanner (celui-ci s'était ouvert dans une fenêtre à la fin du scan et je l'ai copié-collé dans mon précédent courrier).
      Je viens de relancer le Nettoyage et apparaît à nouveau la fenêtre "Autolt Error"
      dans laquelle est écrit : Error : Error in expression
      Je fais OK et ça la ferme, ainsi que AD-R.
      0
    2. GC83 Messages postés 249 Statut Membre 4
       
      Ah, je viens de voir les deux rapports Ad-report CLEAN [1] et Ad-report CLEAN [2].
      Je te les transmets.
      0
    3. GC83 Messages postés 249 Statut Membre 4
       
      Le premier rapport :

      .
      ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
      .
      Mis à jour par C_XX le 28/03/10 à 21:30
      Contact: AdRemover.contact@gmail.com
      Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
      .
      Lancé à: 20:54:01 le 29/03/2010 | Mode normal | Option: CLEAN
      Exécuté de: C:\Ad-Remover\ADR.exe
      SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
      Nom du PC: VAIOVGNFS415S | Utilisateur actuel: COMTE (Administrateur)
      .
      ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
      .
      .
      C:\Documents and Settings\COMTE\Application Data\pdfforge
      C:\Documents and Settings\COMTE\Application Data\Search Settings
      [b]ERREUR SUPPRESSION !![/b] : C:\Program Files\Application Updater
      C:\Program Files\AskBarDis
      C:\Program Files\Mozilla FireFox\extensions\search@searchsettings.com

      (!) -- Fichiers temporaires supprimés.
      .
      HKCU\Software\AppDataLow\AskBarDis
      HKCU\Software\AppDataLow\Software\pdfforge
      HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
      HKCU\Software\Search Settings
      HKLM\Software\Application Updater
      HKLM\Software\pandobar
      HKLM\Software\pdfforge
      HKLM\Software\Search Settings
      HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
      HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
      HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
      HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
      HKLM\Software\Microsoft\Internet Explorer\Toolbar|{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
      HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
      .
      0
    4. GC83 Messages postés 249 Statut Membre 4
       
      Le second rapport, après avoir relancé le nettoyage :


      .
      ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
      .
      Mis à jour par C_XX le 28/03/10 à 21:30
      Contact: AdRemover.contact@gmail.com
      Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
      .
      Lancé à: 21:04:36 le 29/03/2010 | Mode normal | Option: CLEAN
      Exécuté de: C:\Ad-Remover\ADR.exe
      SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
      Nom du PC: VAIOVGNFS415S | Utilisateur actuel: COMTE (Administrateur)
      .
      ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
      .
      .
      C:\Program Files\Application Updater

      (!) -- Fichiers temporaires supprimés.
      .
      .
      0
  9. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    C'est pas clair tout ça ...Recolle moi un nouveau rapport ZhpDiag .
    0
    1. GC83 Messages postés 249 Statut Membre 4
       
      OK.
      C'est parti !
      0
    2. GC83 Messages postés 249 Statut Membre 4
       
      Le rapport de ZHDiag :

      http://www.cijoint.fr/cjlink.php?file=cj201003/cijqyJUDdq.txt
      0
  10. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Télécharges ComboFix à partir d'un de ces liens :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    https://forospyware.com
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Et important, enregistre le sur le bureau.

    Avant d'utiliser ComboFix :

    ? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    ? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    la protection en temps réel de ton Antivirus et de tes Antispywares,
    qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
    est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    ? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
    avant de te reconnecter à internet.

    ? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
    1. GC83 Messages postés 249 Statut Membre 4
       
      Allez, c'est parti. Quelle aventure...
      0
    2. GC83 Messages postés 249 Statut Membre 4
       
      Combo fix me demande de télécharger la console de restauration...
      0
    3. GC83 Messages postés 249 Statut Membre 4
       
      J'ai dû me recconnecter à internet en rétablissant Norton...
      Puis j'ai débranché le cable. Ensite on m'a dit que la console s'était bien installée (ouf !).
      J'ai désactivé Norton. et le processus se fait. J'espère que tout ça ne va pas trop perturber le scan....
      0
    4. GC83 Messages postés 249 Statut Membre 4
       
      Le PC a redmarré pendant le scan (ou à la fin ?) tout seul. Une fenêtre "merci de patienter" de Combo fix apparaît au redémarrage...
      0
    5. GC83 Messages postés 249 Statut Membre 4
       
      Et toujours, après le redémarrage, la fenêtre de Norton qui signale que Norton a détecté des menaces !
      0
  11. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Tu peux me donner le chemin d'acces du fichier détecté par Norton ?
    0
    1. GC83 Messages postés 249 Statut Membre 4
       
      Euh...Je fais comment ?
      0
    2. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
       
      Je ne connais pas Norton mais tu dois pouvoir accéder au journal des événements (alertes ,détections;.)
      0
    3. GC83 Messages postés 249 Statut Membre 4
       
      La capture d'écran de la fenêtre est ici : http://www.cijoint.fr/cj201003/cijA28Bfz8.jpg
      0
    4. GC83 Messages postés 249 Statut Membre 4
       
      j'essaie.
      0
    5. GC83 Messages postés 249 Statut Membre 4
       
      Rien ne semble anormal : Pas d'action recommandé, dans l'historique, je ne voisaucune trace de Trojan. Schoeberl. E.
      LA seule alerte est celle de la fenêtre dont j'ai fait la capture ci-dessus, et qui apparaît à chaque démarrage, ou après une analyse. Sans visiblement laisser de trace dans l'historique !
      0
  12. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

    1/Double Clique sur l'icone ZhpFix .

    2/ZhpFix va s'ouvrir ,clique sur "OK".

    3/Coche ces cases (et pas d'autres !):

    O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
    O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\^^^^^^.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\system32\^^^^^^.exe
    O64 - Services: CurCS - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe - Boonty Games (Boonty Games) .(.BOONTY - System Level Service Utility.) - LEGACY_BOONTY_GAMES
    O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Pas de propriétaire - Pas de description.) -- (.not file.)


    4/Pour finir clique sur "Nettoyer" .

    5/colle le rapport obtenu .
    0
    1. GC83 Messages postés 249 Statut Membre 4
       
      Voila :

      ZHPFix v1.12.3081 by Nicolas Coolman - Rapport de suppression du 30/03/2010 09:23:50
      Fichier d'export Registre : C:\ZHPExportRegistry-30-03-2010-09-23-50.txt
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


      Processus mémoire :
      (Néant)

      Module mémoire :
      (Néant)

      Clé du Registre :
      O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé absente
      O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé absente

      Valeur du Registre :
      O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\^^^^^^.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\system32\^^^^^^.exe => Valeur absente

      Elément de données du Registre :
      (Néant)

      Dossier :
      (Néant)

      Fichier :
      (Néant)

      Logiciel :
      (Néant)

      Script Registre :
      (Néant)

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 0
      Module mémoire : 0
      Clé du Registre : 2
      Valeur du Registre : 1
      Elément de données du Registre : 0
      Dossier : 0
      Fichier : 0
      Logiciel : 0
      Autre : 0


      End of the scan
      0
  13. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Les fichiers ne sont plus présents ...

    Comment va le pc ?
    0
    1. GC83 Messages postés 249 Statut Membre 4
       
      Ca a l'air d'aller...
      On peut considérer que tout est bon ?
      0
  14. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    On peut considérer que tout est bon ?


    Oui,si jamais un probleme surviendrait entre temps ,tu pourra poster ici .

    Met a jour ta console Java : https://www.java.com/fr/download/manual.jsp

    Relance ZHPFix sur ton Bureau.

    Clique sur le A rouge (Nettoyeur de Tools).

    Clique sur Nettoyer.

    Fais redémarrer l'ordi pour terminer le nettoyage.

    =======

    Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain.

    * Désactivation :
    Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
    > Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok.

    * Activation :
    Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
    > Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur..

    ========

    Installe Ccleaner ,si tu ne le possedes pas :

    Nettoyeurs (de fichiers inutiles) et autres :

    *Ccleaner (gratuit)
    Téléchargement :
    https://www.01net.com/
    Tuto :
    https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

    Lors de l'installation, [décoche] l'option qui t'installerait la barre Yahoo !

    Bon surf !
    0