Trojan

cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,

j'ai attrappé des trojans sur mon pc, même passé avec avast, ils revienennent regulièrement, que faire?

25 réponses

  • 1
  • 2
  1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    fait ceci pour avoir un diagnostique de la situation :

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

    > double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

    > Lance ZHPDiag depuis le raccourci du bureau .

    > Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
    ( celui avec le tournevis )

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

    > clique sur le bouton "calendrier" qui est en haut à droite : choisis 15 days

    > Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    Laisses travailler l'outil ...

    > Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

    Puis ferme le programme ...

    > rends toi ensuite sur ce site : http://www.cijoint.fr/

    Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
    Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
    Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
    0
  2. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijR5gyog0.txt
    0
  3. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    Quelques poiunt à voir effectivement ...

    même passé avec avast, ils revienennent regulièrement

    > peux-tu être plus précis stp ? > quels fichiers sont incriminés , quel emplacment sur le PC et le nom que donne Avast sur la menace ....

    /!\ Pour le bon déroulement de la désinfection :
    * Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
    * N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
    * Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
    * Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    Commence par faire ceci dans l'ordre :

    1- Télécharges Malwarebytes' :
    ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

    * Potasse le tuto pour te familiariser avec le prg :
    https://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebytes' .

    Fais un examen dit "RAPIDE" .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

    ==============================

    2- Refais un scan ZHPDiag .

    * coche bien toutes les options ( sauf la 045 et 061 ),

    * au niveau du bouton "calendrier" > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
  4. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3957

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    05/04/2010 18:20:49
    mbam-log-2010-04-05 (18-20-49).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 101266
    Temps écoulé: 9 minute(s), 30 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Documents and Settings\All Users\Application Data\27959133 (Rogue.Multiple) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\Documents and Settings\All Users\Application Data\27959133\27959133.bat (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Venus\Local Settings\Temp\QRC.exe (Adware.QUADRegClean) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Venus\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijKiZkel6.txt
    0
  7. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    je t'ai posé une petite question ici > https://forums.commentcamarche.net/forum/affich-17263727-trojan#3

    ^^'

    Puis fait ceci :

    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- 
    O43 - CFD:Common File Directory ----D- C:\Program Files\QUAD Utilities       
    


    Puis Lance ZHPFix depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

    Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

    Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

    Pense à réactiver tes défenses !...

    ===========================

    2- Télécharge et installe la dernière version de CCleaner :
    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
    ou https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    ---> Utilisation:
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

    =============================

    3- Refais un scan ZHPDiag .

    * coche bien toutes les options ( sauf la 045 et 061 ),

    * au niveau du bouton "calendrier" > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
  8. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    ZHPFix v1.12.3081 by Nicolas Coolman - Rapport de suppression du 05/04/2010 19:14:03
    Fichier Registre :
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- => Valeur supprimée avec succès

    Elément de données du Registre :
    (Néant)

    Dossier :
    C:\Program Files\QUAD Utilities => Supprimé et mis en quarantaine

    Fichier :
    (Néant)

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Autre :
    (Néant)

    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 1
    Elément de données du Registre : 0
    Dossier : 1
    Fichier : 0
    Logiciel : 0
    Autre : 0

    End of the scan
    0
  9. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    En fait, ils s'ouvrent de temps en temps avec le poste de travail windows se met en erreurs et g des fichiers trojan qui s'affichent dans les disques durs...

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijeU1uLl8.txt
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      vu ....


      ce n'est pas le bon rapports ZHPDiag ... je t'ai demandé de faire un nouveau scan et de me poster le nouveau rapport obtenu ...
      0
  10. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijjACYQBm.txt
    0
  11. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    on va contôler plusieurs chose encore .... fait ceci :

    Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
    ou ici https://www.ionos.fr/?affiliate_id=77097

    ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Choisis l' option 1 ( Recherche )

    # Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

    0
  12. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    ############################## | UsbFix V6.100 |

    User : Venus (Administrateurs) # YOUR-4I1ZI5U7W3
    Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 20:37:32 | 05/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Celeron(R) M processor 900MHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 7.0.5730.13
    Windows Firewall Status : Enabled
    AV : avast! antivirus 4.8.1368 [VPS 100405-1] 4.8.1368 [ Enabled | Updated ]
    FW : COMODO Firewall[ (!) Disabled ]3.9

    C:\ -> Disque fixe local # 82,82 Go (66,67 Go free) # NTFS
    D:\ -> Disque fixe local # 61,29 Go (13,17 Go free) # NTFS

    ################## | Elements infectieux |

    ################## | Registre |

    [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System] "DisableRegistryTools"
    [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System] "DisableTaskMgr"
    [HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\policies\System] "DisableRegistryTools"
    [HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\policies\System] "DisableTaskMgr"
    [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"
    [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"

    ################## | Mountpoints2 |

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.100 ! |
    0
  13. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    On continue .... dans l'ordre :

    1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu choisis l' option 2 ( Suppression ) .

    > Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

    ===============================

    2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    --------------------------------- [ ! ATTENTION ! ] ------------------------------------------
    * Ferme tes applications en cours ( ainsi que ton navigateur ) .
    * DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .
    En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    ->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
    * Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    * Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    --------------------------------- [ ! ATTENTION ! ] ------------------------------------------

    Ensuite :
    > Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...

    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
    image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
    *Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
    *Une fois la console installée,
    image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
    re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --

    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .

    Poste le rapport Combofix pour analyse ...

    0
  14. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    ############################## | UsbFix V6.100 |

    User : Venus (Administrateurs) # YOUR-4I1ZI5U7W3
    Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 19:11:12 | 08/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Celeron(R) M processor 900MHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 7.0.5730.13
    Windows Firewall Status : Enabled
    AV : avast! antivirus 4.8.1368 [VPS 100408-0] 4.8.1368 [ Enabled | Updated ]
    FW : COMODO Firewall[ (!) Disabled ]3.9

    C:\ -> Disque fixe local # 82,82 Go (66,33 Go free) # NTFS
    D:\ -> Disque fixe local # 61,29 Go (13,17 Go free) # NTFS
    E:\ -> Disque fixe local # 298,02 Go (24,32 Go free) [My Passport] # FAT32
    F:\ -> Disque fixe local # 931,28 Go (403,01 Go free) # FAT32

    ################## | Elements infectieux |
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      hello,


      il manque toute une partie du rapport UsbFix ...


      reposte le stp .....
      0
  15. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    ComboFix 10-04-07.04 - Venus 08/04/2010 19:57:23.1.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.692 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Venus\Bureau\ComboFix.exe
    AV: avast! antivirus 4.8.1368 [VPS 100408-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    FW: COMODO Firewall *disabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\Thumbs.db
    F:\Autorun.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-08 au 2010-04-08 ))))))))))))))))))))))))))))))))))))
    .

    2010-04-05 18:34 . 2010-04-08 17:11 -------- d-----w- C:\UsbFix
    2010-04-05 16:06 . 2010-04-05 16:06 -------- d-----w- c:\documents and settings\Venus\Application Data\Malwarebytes
    2010-04-05 16:06 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-04-05 16:06 . 2010-04-05 16:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-04-05 16:06 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-04-05 16:06 . 2010-04-05 16:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-04-05 15:29 . 2010-04-05 17:14 -------- d-----w- c:\program files\ZHPDiag
    2010-03-16 19:04 . 2010-03-16 19:04 -------- d-----w- c:\program files\Windows Media Connect 2
    2010-03-16 18:59 . 2010-03-16 19:01 -------- d-----w- c:\windows\system32\drivers\UMDF
    2010-03-16 18:59 . 2010-03-16 18:59 -------- d-----w- c:\windows\system32\LogFiles
    2010-03-16 17:43 . 2010-03-16 17:43 -------- d-sh--w- c:\windows\ftpcache

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-04-08 17:47 . 2009-07-21 12:23 -------- d-----w- c:\documents and settings\Venus\Application Data\LimeWire
    2010-04-07 14:30 . 2009-07-26 02:30 9046 ----a-w- c:\documents and settings\Venus\Application Data\wklnhst.dat
    2010-04-05 15:19 . 2009-08-08 19:19 -------- d-----w- c:\documents and settings\Venus\Application Data\vlc
    2010-04-04 13:00 . 2009-08-08 19:19 -------- d-----w- c:\documents and settings\Venus\Application Data\dvdcss
    2010-03-31 04:37 . 2009-09-19 11:05 -------- d-----w- c:\program files\Yahoo!
    2010-03-11 12:34 . 2009-02-05 10:59 832512 ----a-w- c:\windows\system32\wininet.dll
    2010-03-11 12:34 . 2009-02-05 10:59 78336 ----a-w- c:\windows\system32\ieencode.dll
    2010-03-11 12:34 . 2009-02-05 10:59 17408 ----a-w- c:\windows\system32\corpol.dll
    2010-03-07 13:18 . 2010-01-02 18:19 -------- d-----w- c:\program files\PokerStars.NET
    2010-01-28 22:22 . 2009-02-05 10:59 85312 ----a-w- c:\windows\system32\perfc00C.dat
    2010-01-28 22:22 . 2009-02-05 10:59 511312 ----a-w- c:\windows\system32\perfh00C.dat
    2008-05-07 08:34 . 2009-02-05 10:59 15523560 ----a-w- c:\program files\U1 Setup.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
    "AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]
    "AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
    "ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2008-09-03 335872]
    "ETDWareDetect"="c:\program files\Elantech\ETDDect.exe" [2008-08-22 204800]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-11-12 98304]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-11-12 114688]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2008-11-12 94208]
    "COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2009-10-04 1799952]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
    "RTHDCPL"="RTHDCPL.EXE" [2008-09-18 16855040]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Venus\Menu D'marrer\Programmes\D'marrage\
    LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-2-5 376832]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\system32\guard32.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2008-10-15 00:04 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    2008-06-19 08:20 57344 ----a-w- c:\windows\ALCMTR.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
    2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
    2008-08-21 01:18 443968 ----a-w- c:\program files\Picasa2\PicasaMediaDetector.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\LimeWire\\LimeWire.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [07/02/2010 19:28 114768]
    R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [20/07/2009 20:16 132296]
    R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [20/07/2009 20:16 25160]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [07/02/2010 19:28 20560]
    R2 regi;regi;c:\windows\system32\drivers\regi.sys [17/04/2007 21:09 11032]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}
    uDefault_Search_URL = hxxp://www.google.com/ie
    mStart Page = hxxp://www.tropal.net/
    uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
    FF - ProfilePath - c:\documents and settings\Venus\Application Data\Mozilla\Firefox\Profiles\a9i1h680.default\
    FF - plugin: c:\program files\Picasa2\npPicasa2.dll
    FF - plugin: c:\program files\Picasa2\npPicasa3.dll
    FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
    FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-08 20:05
    Windows 5.1.2600 Service Pack 3 NTFS

    detected NTDLL code modification:
    ZwClose, ZwOpenFile

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    c:\docume~1\Venus\LOCALS~1\Temp\Perflib_Perfdata_f90.dat 16384 bytes

    Scan terminé avec succès
    Fichiers cachés: 1

    **************************************************************************
    .
    Heure de fin: 2010-04-08 20:08:21
    ComboFix-quarantined-files.txt 2010-04-08 18:08

    Avant-CF: 71 496 044 544 octets libres
    Après-CF: 71 943 434 240 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

    - - End Of File - - E91D1803CF871544009DFEFA226CFF46
    0
  16. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    dans usbfix.txt je n'ai que ça :

    ############################## | UsbFix V6.100 |

    User : Venus (Administrateurs) # YOUR-4I1ZI5U7W3
    Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 19:11:12 | 08/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Celeron(R) M processor 900MHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 7.0.5730.13
    Windows Firewall Status : Enabled
    AV : avast! antivirus 4.8.1368 [VPS 100408-0] 4.8.1368 [ Enabled | Updated ]
    FW : COMODO Firewall[ (!) Disabled ]3.9

    C:\ -> Disque fixe local # 82,82 Go (66,33 Go free) # NTFS
    D:\ -> Disque fixe local # 61,29 Go (13,17 Go free) # NTFS
    E:\ -> Disque fixe local # 298,02 Go (24,32 Go free) [My Passport] # FAT32
    F:\ -> Disque fixe local # 931,28 Go (403,01 Go free) # FAT32

    ################## | Elements infectieux |
    0
  17. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    dis moi comment va le PC .... du mieux ?

    toujours des alerte d'Avast ?

    Puis fait ceci :

    Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici https://www.androidworld.fr/

    ! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) !

    * Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    * Une fois l'outil ouvert, clique sur le bouton [Scanner] .

    * Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  18. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 31/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 18:55:54 le 12/04/2010 | Mode normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
    Nom du PC: YOUR-4I1ZI5U7W3 | Utilisateur actuel: Venus (Administrateur)
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .
    .
    .
    HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.5.5 (fr) *
    .
    C:\Documents and Settings\Venus\..\a9i1h680.default\prefs.js - browser.download.lastDir: E:\\Cinéma\\Culte\\Les Affranchis
    C:\Documents and Settings\Venus\..\a9i1h680.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.5
    .
    .
    * Internet Explorer Version 7.0.5730.13 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Search_URL: hxxp://www.google.com/ie
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Show_ToolBar: yes
    Start Page: hxxp://www.google.fr/
    Use Custom Search URL: 1
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://www.tropal.net/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\DOCUME~1\Venus\LOCALS~1\Temp: 10 Fichier(s), 11 Dossier(s)
    C:\WINDOWS\temp: 0 Fichier(s), 2 Dossier(s)
    Temporary Internet Files: 91 Fichier(s), 5 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 0 Fichier(s)
    .
    C:\Ad-Report-SCAN[1].txt - 2149 Octet(s)
    .
    Fin à: 19:06:46, 12/04/2010
    .
    ============== E.O.F - SCAN[1] ==============
    0
  19. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    tu n'as pas répondu à ma question :

    dis moi comment va le PC .... du mieux ?

    toujours des alertes d'Avast ?


    puis fait ceci :

    1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    * Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    * Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

    * Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )

    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse accompagné d'un nouveau rapport Hijackthis pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ==============================

    2- Refais un scan ZHPDiag .

    * coche bien toutes les options ( sauf la 045 et 061 ),

    * au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    "Baby, I'm going on an airplane, And I don't know if I'll be back again"
    IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
    vous l'a pas dit !
    0
  20. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    Ca fonctionne mieux sauf que le redemarrage écran noir, puis bureau puis erreur...
    0
  21. cephee147 Messages postés 164 Date d'inscription   Statut Membre Dernière intervention   2
     
    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 31/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 20:26:55 le 12/04/2010 | Mode normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
    Nom du PC: YOUR-4I1ZI5U7W3 | Utilisateur actuel: Venus (Administrateur)
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .
    .
    .
    HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.5.5 (fr) *
    .
    C:\Documents and Settings\Venus\..\a9i1h680.default\prefs.js - browser.download.lastDir: E:\\Cinéma\\Culte\\Les Affranchis
    C:\Documents and Settings\Venus\..\a9i1h680.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.5
    .
    .
    * Internet Explorer Version 7.0.5730.13 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Search_URL: hxxp://www.google.com/ie
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Show_ToolBar: yes
    Start Page: hxxp://www.google.fr/
    Use Custom Search URL: 1
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://www.tropal.net/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\DOCUME~1\Venus\LOCALS~1\Temp: 14 Fichier(s), 12 Dossier(s)
    C:\WINDOWS\temp: 2 Fichier(s), 2 Dossier(s)
    Temporary Internet Files: 217 Fichier(s), 5 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 1 Fichier(s)
    .
    C:\Ad-Report-SCAN[1].txt - 2273 Octet(s)
    C:\Ad-Report-SCAN[2].txt - 2192 Octet(s)
    .
    Fin à: 20:31:19, 12/04/2010
    .
    ============== E.O.F - SCAN[2] ==============
    0
  • 1
  • 2