cheval de troie - TR/Downloader.Gen Fermé

Question

Bonjour,

Mon antivirus avira n'arrête pas de m'alerter de la détection de chevaux de troie type TR/Hijacker.Gen, TR/Downloader.Gen...

Que faire?
Merci d'avance pour la réponse



Configuration: Windows XP / Firefox 3.6.3

Destrio5 · Answer

Bonjour,

--> Télécharge OTL (de OldTimer) sur ton Bureau.
--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
--> Coche également les cases à côté de LOP Check et Purity Check.
--> Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
--> Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

Pour me transmettre les rapports :
--> Clique sur ce lien : http://www.cijoint.fr/
--> Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
--> Clique sur Ouvrir.
--> Clique sur Cliquez ici pour déposer le fichier.
--> Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
--> Copie-colle ce lien dans ta réponse.

babycakes · Answer

Voici les liens

http://www.cijoint.fr/cjlink.php?file=cj201004/cijFShBWAg.txt

http://www.cijoint.fr/cjlink.php?file=cj201004/cij83HdQEX.txt

Destrio5 · Answer

--> Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.

--> Dans AntiVir, choisis Outils puis Configuration.

--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages puis valide.

--> Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.

Tutoriel sur AntiVir.

babycakes · Answer

Voici le rapport

Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 4 avril 2010  10:44

La recherche porte sur 1955003 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : LEROY-84A96CA9D

Informations de version :
BUILD.DAT               : 9.0.0.75      21698 Bytes  22/01/2010 23:14:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  19/11/2009 16:01:35
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 16:01:35
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 15:06:02
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 08:51:47
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 18:15:50
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 14:52:51
VBASE005.VDF            : 7.10.4.204      2048 Bytes  05/03/2010 14:52:51
VBASE006.VDF            : 7.10.4.205      2048 Bytes  05/03/2010 14:52:51
VBASE007.VDF            : 7.10.4.206      2048 Bytes  05/03/2010 14:52:52
VBASE008.VDF            : 7.10.4.207      2048 Bytes  05/03/2010 14:52:52
VBASE009.VDF            : 7.10.4.208      2048 Bytes  05/03/2010 14:52:52
VBASE010.VDF            : 7.10.4.209      2048 Bytes  05/03/2010 14:52:52
VBASE011.VDF            : 7.10.4.210      2048 Bytes  05/03/2010 14:52:52
VBASE012.VDF            : 7.10.4.211      2048 Bytes  05/03/2010 14:52:52
VBASE013.VDF            : 7.10.4.242    153088 Bytes  08/03/2010 16:52:03
VBASE014.VDF            : 7.10.5.17     99328 Bytes  10/03/2010 20:13:50
VBASE015.VDF            : 7.10.5.44    107008 Bytes  11/03/2010 20:13:51
VBASE016.VDF            : 7.10.5.69     92672 Bytes  12/03/2010 14:03:12
VBASE017.VDF            : 7.10.5.91    119808 Bytes  15/03/2010 16:34:44
VBASE018.VDF            : 7.10.5.121    112640 Bytes  18/03/2010 08:08:46
VBASE019.VDF            : 7.10.5.138    139776 Bytes  18/03/2010 09:16:13
VBASE020.VDF            : 7.10.5.164    113152 Bytes  22/03/2010 20:39:27
VBASE021.VDF            : 7.10.5.182    108032 Bytes  23/03/2010 21:46:47
VBASE022.VDF            : 7.10.5.199    123904 Bytes  24/03/2010 21:46:47
VBASE023.VDF            : 7.10.5.217    279552 Bytes  25/03/2010 21:32:22
VBASE024.VDF            : 7.10.5.234    202240 Bytes  26/03/2010 21:32:22
VBASE025.VDF            : 7.10.5.254    187904 Bytes  30/03/2010 20:29:12
VBASE026.VDF            : 7.10.6.18    130560 Bytes  01/04/2010 20:30:40
VBASE027.VDF            : 7.10.6.19      2048 Bytes  01/04/2010 20:30:41
VBASE028.VDF            : 7.10.6.20      2048 Bytes  01/04/2010 20:30:41
VBASE029.VDF            : 7.10.6.21      2048 Bytes  01/04/2010 20:30:41
VBASE030.VDF            : 7.10.6.22      2048 Bytes  01/04/2010 20:30:42
VBASE031.VDF            : 7.10.6.24     27136 Bytes  03/04/2010 20:29:36
Version du moteur       : 8.2.1.210
AEVDF.DLL               : 8.1.1.3      106868 Bytes  23/01/2010 20:01:37
AESCRIPT.DLL            : 8.1.3.24    1282425 Bytes  01/04/2010 20:29:10
AESCN.DLL               : 8.1.5.0      127347 Bytes  25/02/2010 23:23:45
AESBX.DLL               : 8.1.2.1      254323 Bytes  17/03/2010 17:35:12
AERDL.DLL               : 8.1.4.3      541043 Bytes  17/03/2010 17:34:54
AEPACK.DLL              : 8.2.1.1      426358 Bytes  20/03/2010 09:16:17
AEOFFICE.DLL            : 8.1.0.41     201083 Bytes  17/03/2010 17:34:44
AEHEUR.DLL              : 8.1.1.16    2503031 Bytes  26/03/2010 21:32:25
AEHELP.DLL              : 8.1.11.3     242039 Bytes  01/04/2010 20:29:09
AEGEN.DLL               : 8.1.3.6      373108 Bytes  01/04/2010 20:29:09
AEEMU.DLL               : 8.1.1.0      393587 Bytes  04/10/2009 07:08:53
AECORE.DLL              : 8.1.13.1     188790 Bytes  01/04/2010 20:29:08
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  27/09/2009 06:21:40
AVREP.DLL               : 8.0.0.7      159784 Bytes  20/02/2010 06:15:31
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  14/07/2009 12:11:11
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  19/11/2009 16:01:34

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, H:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : dimanche 4 avril 2010  10:44

La recherche d'objets cachés commence.
'44812' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'McVsUSB.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'swriter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LaunchPad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTCOMModule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OraConfigRecover.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CoreCom.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ConnectivityManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Deskboard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SystrayApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunes.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SSScheduler.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DevDtct2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NPSAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AlertModule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btdna.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Launcher.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'shwicon2k.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ijplmsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FsUsbExService.Exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'56' processus ont été contrôlés avec '56' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD3
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD4
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD5
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'H:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '61' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\pc\Application Data\U3\0000167EB77590F2\9CAC5930-4010-4AD6-ABF7-CE2778969B13\Exec\DAT\windows_secrets.rar
  [0] Type d'archive: RAR
    --> Documents and Settings\MyDocuments\Readme.doc .exe
      [RESULTAT]  Contient le modèle de détection du ver WORM/Mabezat.b
Recherche débutant dans 'H:\' <My Passport>

Début de la désinfection :
C:\Documents and Settings\pc\Application Data\U3\0000167EB77590F2\9CAC5930-4010-4AD6-ABF7-CE2778969B13\Exec\DAT\windows_secrets.rar
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2664ab.qua' !


Fin de la recherche : dimanche 4 avril 2010  12:04
Temps nécessaire:  1:20:01 Heure(s)

La recherche a été effectuée intégralement

   8674 Les répertoires ont été contrôlés
 442488 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 442486 Fichiers non infectés
   3546 Les archives ont été contrôlées
      1 Avertissements
      2 Consignes
  44812 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Destrio5 · Answer

--> Télécharge UsbFix (par El Desaparecido & C_XX) sur ton Bureau.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le programme UsbFix situé sur ton Bureau.

--> Choisis l'option 1 (Recherche).

--> Laisse travailler l'outil.

--> Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

babycakes · Answer

L'autre rapport

############################## | UsbFix V6.100 |

User : pc (Administrateurs) # LEROY-84A96CA9D
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:05:43 | 04/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm) Processor LE-1100
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 149,04 Go (62,45 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM # 6,57 Mo (0 Mo free) [U3 System] # CDFS
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque fixe local # 149,05 Go (35,9 Go free) [My Passport] # NTFS
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque amovible # 3,81 Go (954,25 Mo free) # FAT32

################## | Elements infectieux |

E:\autorun.inf  
K:\SYSTEM  
K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx   
K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665  

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.100 ! |

Destrio5 · Answer

Infection Conficker.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur UsbFix présent sur ton Bureau.

--> Choisis l'option 2 (Suppression).

--> Ton Bureau disparaîtra et le PC redémarrera.

--> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

--> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

babycakes · Answer

Rapport


############################## | UsbFix V6.100 |

User : pc (Administrateurs) # LEROY-84A96CA9D
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:52:20 | 04/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm) Processor LE-1100
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 149,04 Go (62,41 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM # 6,57 Mo (0 Mo free) [U3 System] # CDFS
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque fixe local # 149,05 Go (35,9 Go free) [My Passport] # NTFS
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque amovible # 3,81 Go (954,25 Mo free) # FAT32

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-436374069-484061587-682003330-1003 
(!) Non supprimé ! E:\autorun.inf 
Supprimé ! H:\Recycler\S-1-5-21-436374069-484061587-682003330-1003 
Supprimé ! K:\SYSTEM 
Supprimé ! K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx  
Supprimé ! K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665 
Supprimé ! K:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013 

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[28/12/2009 09:36|--a------|83324] C:\aaw7boot.log 
[14/12/2007 23:31|--a------|0] C:\AUTOEXEC.BAT 
[14/12/2007 23:26|---hs----|212] C:\boot.ini 
[05/08/2004 14:00|-rahs----|4952] C:\Bootfont.bin 
[14/12/2007 23:31|--a------|0] C:\CONFIG.SYS 
[14/12/2007 23:31|-rahs----|0] C:\IO.SYS 
[14/12/2007 23:31|-rahs----|0] C:\MSDOS.SYS 
[05/08/2004 14:00|-rahs----|47564] C:\NTDETECT.COM 
[16/11/2008 12:50|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[04/01/2009 14:16|--a------|1310] C:\TCleaner.txt 
[04/04/2010 16:01|--a------|2053] C:\UsbFix.txt 
[23/10/2007 09:22|-r-------|285] E:\autorun.inf 
[23/10/2007 09:45|-r-------|1336632] E:\LaunchU3.exe 
[09/12/2007 16:39|-r-------|5499354] E:\LaunchPad.zip 
[15/01/2009 08:19|--a------|4776109] H:\CI948.pdf 
[15/01/2009 08:20|--a------|6174006] H:\CI949.pdf 
[15/01/2009 08:22|--a------|5708016] H:\CI950.pdf 
[29/10/2009 11:00|--a------|1336632] K:\LaunchU3.exe 
[14/03/2010 15:47|--a------|1007390] K:\Num'riser0010.jpg 
[04/04/2010 12:18|--a------|59709] K:\Droit p'nal - actualisation droit p'nal.odt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_LEROY-84A96CA9D.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.100 ! |

babycakes · Answer

Est-ce normal si j'ai toujours les alertes de mon antivirus?

Destrio5 · Answer

--> Relance UsbFix et choisis l'option 6 pour le désinstaller.

AntiVir détecte quel fichier ?

babycakes · Answer

J'ai désinstallé

Alors j'ai des alertes pour:
TR/Downloader.Gen
TR/Hijacker.Gen'
TR/Downloader.Gen

Destrio5 · Answer

--> Télécharge Dr.Web CureIt! sur ton Bureau.
--> Double-clique sur drweb-cureit.exe et clique sur Commencer le scan.
--> Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
--> Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.
--> Choisis l'onglet Scanner, et décoche Analyse heuristique.
--> De retour à la fenêtre principale : choisis Analyse complète.
--> Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.
--> Clique Oui pour Tout si un fichier est détecté.
--> A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, clique sur Quarantaine.
--> Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.
--> Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
--> Ferme Dr.Web CureIt!
--> Redémarre ton ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
--> Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

NB : Dr.Web en version gratuite est un scanner à la demande et n'entre pas en conflit avec ton antivirus résident. Tu pourras finalement supprimer Dr.Web à la fin des manipulations.

babycakes · Answer

ca me parait cours comme rapport?

Processus en mémoire: C:\WINDOWS\System32\svchost.exe:996		BackDoor.Tdss.565	Eradiqué.
4b2462ba.qua\data001	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b2462ba.qua	Win32.HLLW.Tazebama	
4b2462ba.qua	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED	Conteneur comporte des objets infectés	Quarantaine.
RegUBP2b-pc.reg	C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2	Trojan.StartPage.1505	Supprimé.
A0055984.reg	C:\System Volume Information\_restore{A3F261B0-0674-4EBE-95D3-C249EEA266F6}\RP374	Trojan.StartPage.1505	Supprimé.
RCX273.tmp	K:\Master 2\Master 2 APP\Politique culturelle à Paris\RéDac	Win32.HLLW.Tazebama	Supprimé.


J'ai toujours quelques fenetres d'alertes

Destrio5 · Answer

1/

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


2/

---> Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar) :
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.

babycakes · Answer

Voici le rapport 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix: trouvé !
C:\Documents and Settings\pc\Mes documents\Téléchargements\UsbFix.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\pc\Mes documents\Téléchargements\UsbFix.exe: supprimé !
C:\UsbFix: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !

Destrio5 · Answer

Tu as toujours des alertes ?

babycakes · Answer

Toujours mais moins souvent. Et j'ai des fenêtres pop up qui s'ouvre sur internet...

Destrio5 · Answer

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

babycakes · Answer

Voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201004/cijxqe2HWM.txt

Destrio5 · Answer

Je ne vois pas d'infection.

Tu peux me donner plus de précision sur les infections trouvées par AntiVir et sur les pubs ?

babycakes · Answer

Voilà plus d'infos (par contre pour les fenetres pop-up je saurais pas trop dire, mais c'est pas tout le temps)

Dans le fichier 'C:\WINDOWS\Temp\ylxb.tmp\svchost.exe'
un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen' [trojan] a été détecté.

Dans le fichier 'C:\WINDOWS\system32\sitbrgk.dll'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.

Dans le fichier 'C:\WINDOWS\system32\dhxbatru.dll'
un virus ou un programme indésirable 'TR/Dldr.Agent.dfhk' [trojan] a été détecté.

Destrio5 · Answer

--> Refais un scan OTL et poste le rapport OTL.

babycakes · Answer

voici

http://www.cijoint.fr/cjlink.php?file=cj201004/cijwOao8PP.txt

Destrio5 · Answer

--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :




:OTL
SRV - (cpnvasqy) -- C:\WINDOWS\system32\mtebzmv.dll ()     
O2 - BHO: (no name) - {16A8DF85-37ED-4B4C-9A0B-AFD559D2819d} - C:\WINDOWS\System32\dhxbatru.dll File not found
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.    

:commands
[emptytemp]
[reboot]




--> Puis clique sur le bouton Run Fix en haut de la fenêtre.
--> Laisse le programme travailler, redémarre une fois le fix terminé.
--> Poste le rapport qui s'affichera après redémarrage.

babycakes · Answer

All processes killed
========== OTL ==========
Service cpnvasqy stopped successfully!
Service cpnvasqy deleted successfully!
File move failed. C:\WINDOWS\system32\mtebzmv.dll scheduled to be moved on reboot.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16A8DF85-37ED-4B4C-9A0B-AFD559D2819d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16A8DF85-37ED-4B4C-9A0B-AFD559D2819d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 213394 bytes
->Flash cache emptied: 564 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 3081168 bytes
->Flash cache emptied: 564 bytes
 
User: pc
->Temp folder emptied: 1005615 bytes
->Temporary Internet Files folder emptied: 7049022 bytes
->Java cache emptied: 1336 bytes
->FireFox cache emptied: 77138876 bytes
->Apple Safari cache emptied: 61595 bytes
->Flash cache emptied: 2698041 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2425322 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 225255 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 90,00 mb
 
 
OTL by OldTimer - Version 3.2.1.1 log created on 04092010_185148

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\mtebzmv.dll scheduled to be moved on reboot.

Registry entries deleted on Reboot...

babycakes · Answer

A propos des pages du pub,

en gros quand j'utilise mon moteur de recherche, au lieu de me renvoyer sur le lien affiché quand je clique dessus, il me renvoi vers un autre site qui n'a rien à voir.

Destrio5 · Answer

Ok, refais la manip' avec ComboFix (Retélécharge-le) :
https://forums.commentcamarche.net/forum/affich-17248123-cheval-de-troie-tr-downloader-gen#18

babycakes · Answer

J'ai refais la manip, mais aucun rapport affiché et je le trouve pas dans C/:. Bizarre?

Destrio5 · Answer

Oui.

babycakes · Answer

Du coup je refais la procédure?
je suis désolée, je suis un cas bien ennuyeux!

A titre d'info:
- j'ai toujours des alertes d'avira mais pour d'autres choses:

Dans le fichier 'C:\WINDOWS\system32\axbqpikk.dll'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
Dans le fichier 'C:\WINDOWS\system32\dhxbatru.dll'
un virus ou un programme indésirable 'TR/Dldr.Agent.dfhk' [trojan] a été détecté.

Par ailleurs, quand je cherche à éteindre mon pc, il m'affiche "fin de programme explorer.exe" et je ne peux éteindre le pc quand validant "terminer maintenant".

Destrio5 · Answer

Oui, refais la procédure ;)

babycakes · Answer

J'ai refais la procédure mais mon PC redémarre avant la fin et n'affiche pas de rapport...

Destrio5 · Answer

As-tu essayé de faire un scan avec AntiVir en mode sans échec ?

babycakes · Answer

Je viens de le faire

Voici le rapport

Avira AntiVir Personal
Date de création du fichier de rapport : mardi 13 avril 2010  22:08

La recherche porte sur 1996575 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Mode sans échec
Identifiant             : Administrateur
Nom de l'ordinateur     : LEROY-84A96CA9D

Informations de version :
BUILD.DAT               : 9.0.0.75      21698 Bytes  22/01/2010 23:14:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  19/11/2009 16:01:35
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 16:01:35
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 15:06:02
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 08:51:47
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 18:15:50
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 14:52:51
VBASE005.VDF            : 7.10.4.204      2048 Bytes  05/03/2010 14:52:51
VBASE006.VDF            : 7.10.4.205      2048 Bytes  05/03/2010 14:52:51
VBASE007.VDF            : 7.10.4.206      2048 Bytes  05/03/2010 14:52:52
VBASE008.VDF            : 7.10.4.207      2048 Bytes  05/03/2010 14:52:52
VBASE009.VDF            : 7.10.4.208      2048 Bytes  05/03/2010 14:52:52
VBASE010.VDF            : 7.10.4.209      2048 Bytes  05/03/2010 14:52:52
VBASE011.VDF            : 7.10.4.210      2048 Bytes  05/03/2010 14:52:52
VBASE012.VDF            : 7.10.4.211      2048 Bytes  05/03/2010 14:52:52
VBASE013.VDF            : 7.10.4.242    153088 Bytes  08/03/2010 16:52:03
VBASE014.VDF            : 7.10.5.17     99328 Bytes  10/03/2010 20:13:50
VBASE015.VDF            : 7.10.5.44    107008 Bytes  11/03/2010 20:13:51
VBASE016.VDF            : 7.10.5.69     92672 Bytes  12/03/2010 14:03:12
VBASE017.VDF            : 7.10.5.91    119808 Bytes  15/03/2010 16:34:44
VBASE018.VDF            : 7.10.5.121    112640 Bytes  18/03/2010 08:08:46
VBASE019.VDF            : 7.10.5.138    139776 Bytes  18/03/2010 09:16:13
VBASE020.VDF            : 7.10.5.164    113152 Bytes  22/03/2010 20:39:27
VBASE021.VDF            : 7.10.5.182    108032 Bytes  23/03/2010 21:46:47
VBASE022.VDF            : 7.10.5.199    123904 Bytes  24/03/2010 21:46:47
VBASE023.VDF            : 7.10.5.217    279552 Bytes  25/03/2010 21:32:22
VBASE024.VDF            : 7.10.5.234    202240 Bytes  26/03/2010 21:32:22
VBASE025.VDF            : 7.10.5.254    187904 Bytes  30/03/2010 20:29:12
VBASE026.VDF            : 7.10.6.18    130560 Bytes  01/04/2010 20:30:40
VBASE027.VDF            : 7.10.6.34    136192 Bytes  06/04/2010 08:21:41
VBASE028.VDF            : 7.10.6.44    232448 Bytes  07/04/2010 16:22:49
VBASE029.VDF            : 7.10.6.60    124416 Bytes  12/04/2010 17:46:39
VBASE030.VDF            : 7.10.6.61      2048 Bytes  12/04/2010 17:46:39
VBASE031.VDF            : 7.10.6.69    108032 Bytes  13/04/2010 19:46:57
Version du moteur       : 8.2.1.210
AEVDF.DLL               : 8.1.1.3      106868 Bytes  23/01/2010 20:01:37
AESCRIPT.DLL            : 8.1.3.24    1282425 Bytes  01/04/2010 20:29:10
AESCN.DLL               : 8.1.5.0      127347 Bytes  25/02/2010 23:23:45
AESBX.DLL               : 8.1.2.1      254323 Bytes  17/03/2010 17:35:12
AERDL.DLL               : 8.1.4.3      541043 Bytes  17/03/2010 17:34:54
AEPACK.DLL              : 8.2.1.1      426358 Bytes  20/03/2010 09:16:17
AEOFFICE.DLL            : 8.1.0.41     201083 Bytes  17/03/2010 17:34:44
AEHEUR.DLL              : 8.1.1.16    2503031 Bytes  26/03/2010 21:32:25
AEHELP.DLL              : 8.1.11.3     242039 Bytes  01/04/2010 20:29:09
AEGEN.DLL               : 8.1.3.6      373108 Bytes  01/04/2010 20:29:09
AEEMU.DLL               : 8.1.1.0      393587 Bytes  04/10/2009 07:08:53
AECORE.DLL              : 8.1.13.1     188790 Bytes  01/04/2010 20:29:08
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  27/09/2009 06:21:40
AVREP.DLL               : 8.0.0.7      159784 Bytes  20/02/2010 06:15:31
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  14/07/2009 12:11:11
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  19/11/2009 16:01:34

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Lecteurs locaux
Fichier de configuration......................: c:\program files\avira\antivir desktop\alldrives.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, A:, F:, G:, I:, J:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mardi 13 avril 2010  22:08

La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'11' processus ont été contrôlés avec '11' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD3
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD4
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'A:\'
    [INFO]      Aucun support de données inséré dans le lecteur 'A:\' !
Secteur d'amorçage 'F:\'
    [INFO]      Aucun support de données inséré dans le lecteur 'F:\' !
Secteur d'amorçage 'G:\'
    [INFO]      Aucun support de données inséré dans le lecteur 'G:\' !
Secteur d'amorçage 'I:\'
    [INFO]      Aucun support de données inséré dans le lecteur 'I:\' !
Secteur d'amorçage 'J:\'
    [INFO]      Aucun support de données inséré dans le lecteur 'J:\' !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '64' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\pc\Mes documents\Téléchargements\ComboFix.exe
    [RESULTAT]  Contient le cheval de Troie TR/FakeSpypro.A.237
C:\WINDOWS\system32\drivers\ssmdrv.sys
    [RESULTAT]  Contient le cheval de Troie TR/Patched.Gen
C:\WINDOWS\system32\drivers	qvveucu.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'A:\'
Impossible d'ouvrir le chemin à contrôler A:\ !
Erreur système [21]: Le périphérique n'est pas prêt.
Recherche débutant dans 'F:\'
Impossible d'ouvrir le chemin à contrôler F:\ !
Erreur système [21]: Le périphérique n'est pas prêt.
Recherche débutant dans 'G:\'
Impossible d'ouvrir le chemin à contrôler G:\ !
Erreur système [21]: Le périphérique n'est pas prêt.
Recherche débutant dans 'I:\'
Impossible d'ouvrir le chemin à contrôler I:\ !
Erreur système [21]: Le périphérique n'est pas prêt.
Recherche débutant dans 'J:\'
Impossible d'ouvrir le chemin à contrôler J:\ !
Erreur système [21]: Le périphérique n'est pas prêt.
Recherche débutant dans 'D:\'
Impossible d'ouvrir le chemin à contrôler D:\ !
Erreur système [21]: Le périphérique n'est pas prêt.

Début de la désinfection :
C:\Documents and Settings\pc\Mes documents\Téléchargements\ComboFix.exe
    [RESULTAT]  Contient le cheval de Troie TR/FakeSpypro.A.237
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c31d798.qua' !
C:\WINDOWS\system32\drivers\ssmdrv.sys
    [RESULTAT]  Contient le cheval de Troie TR/Patched.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c31d79c.qua' !


Fin de la recherche : mardi 13 avril 2010  22:42
Temps nécessaire: 32:13 Minute(s)

La recherche a été effectuée intégralement

   7940 Les répertoires ont été contrôlés
 350513 Des fichiers ont été contrôlés
      2 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      2 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 350509 Fichiers non infectés
   3131 Les archives ont été contrôlées
      2 Avertissements
      3 Consignes

Destrio5 · Answer

/!\ Seul babycakes peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
C:\WINDOWS\system32\drivers	qvveucu.sys  






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

babycakes · Answer

J'ai suivi la procédure mais mon ordi redémarre avant même le scan.
Et sur le disque local C:/ j'ai un petit icone combofix mais qui est similaire à l'icone poste de travail...

Destrio5 · Answer

---> Télécharge Gmer sur ton Bureau.

---> Extrais le contenu de l'archive puis renomme gmer.exe en CCM.exe (Le .exe n'est pas forcément visible).

---> Double-clique sur CCM.exe.

---> Onglet "Rootkit/Malware", clique sur "Scan" puis patiente.

---> En fin de traitement, clique sur "Save..." et enregistre sur ton Bureau "gmer.txt".

---> Double-clique sur "gmer.txt", le rapport apparaît, poste-le.

babycakes · Answer

j'ai renommé le fichier, mais quand je l'ouvre mon pc redémarre automatiquement, impossible de lancer le scan.

Je suis en déplacement pendant plusieurs jours sans connexion, si mon cas n'est pas désespéré, je suivrais encore tes indications.
Merci
++

Destrio5 · Answer

Essaie de lancer ComboFix en mode sans échec.

N'utilise pas msconfig pour redémarrer en mode sans échec.

babycakes · Answer

J'ai relancé combofix en mode sans échec.
Voici le rapport. Depuis je n'ai plus d'annonces de virus par mon antivirus, ni de difficultés à éteindre mon PC

http://www.cijoint.fr/cjlink.php?file=cj201004/cijhUe7mCy.txt

Cheval de troie - TR/Downloader.Gen

40 réponses

Discussions similaires