Contient cheval de Troie TR/A.20000et 50004 Fermé

Question

Configuration: Windows Vista / Internet Explorer 7.0

Bonjours à tous,

J'ai un problème de cheval de troie avec vista :

symptômes:
- message au démarage : Programme NX a cessé de fonctionner....
- plantage de mozilla et d'internet exploere
- pages web en tout genre qui s'ouvrent toutes seules
- antivir guard qui se déclare sans cesse

J'ai  besoins de régler ce problème rapidement car mon ordinateur m'est indispensable pour travailler

Merci de votre aide :)

Cordialement



Je post le dérnier rapport du scann d'antivir

C : 2010-04-08  12:51

La recherche porte sur 1966212 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows Vista
Version de Windows      : (plain)  [6.0.6000]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : PC-DE-MARION

Informations de version :
BUILD.DAT               : 9.0.0.75      21698 Bytes  2010-01-22 23:14:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  2009-11-30 20:45:53
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  2009-03-03 10:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  2009-02-20 11:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  2009-03-03 10:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  2009-11-06 20:45:51
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  2009-11-19 20:45:51
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  2010-01-20 17:12:09
VBASE003.VDF            : 7.10.3.75    996864 Bytes  2010-01-26 16:54:11
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  2010-03-05 18:00:20
VBASE005.VDF            : 7.10.4.204      2048 Bytes  2010-03-05 18:00:20
VBASE006.VDF            : 7.10.4.205      2048 Bytes  2010-03-05 18:00:20
VBASE007.VDF            : 7.10.4.206      2048 Bytes  2010-03-05 18:00:21
VBASE008.VDF            : 7.10.4.207      2048 Bytes  2010-03-05 18:00:21
VBASE009.VDF            : 7.10.4.208      2048 Bytes  2010-03-05 18:00:21
VBASE010.VDF            : 7.10.4.209      2048 Bytes  2010-03-05 18:00:21
VBASE011.VDF            : 7.10.4.210      2048 Bytes  2010-03-05 18:00:21
VBASE012.VDF            : 7.10.4.211      2048 Bytes  2010-03-05 18:00:21
VBASE013.VDF            : 7.10.4.242    153088 Bytes  2010-03-08 17:30:07
VBASE014.VDF            : 7.10.5.17     99328 Bytes  2010-03-10 17:30:16
VBASE015.VDF            : 7.10.5.44    107008 Bytes  2010-03-11 17:30:19
VBASE016.VDF            : 7.10.5.69     92672 Bytes  2010-03-12 15:05:08
VBASE017.VDF            : 7.10.5.91    119808 Bytes  2010-03-15 15:34:06
VBASE018.VDF            : 7.10.5.121    112640 Bytes  2010-03-18 16:15:42
VBASE019.VDF            : 7.10.5.138    139776 Bytes  2010-03-18 12:52:21
VBASE020.VDF            : 7.10.5.164    113152 Bytes  2010-03-22 19:16:35
VBASE021.VDF            : 7.10.5.182    108032 Bytes  2010-03-23 19:16:22
VBASE022.VDF            : 7.10.5.199    123904 Bytes  2010-03-24 19:16:23
VBASE023.VDF            : 7.10.5.217    279552 Bytes  2010-03-25 20:32:27
VBASE024.VDF            : 7.10.5.234    202240 Bytes  2010-03-26 20:32:25
VBASE025.VDF            : 7.10.5.254    187904 Bytes  2010-03-30 23:49:55
VBASE026.VDF            : 7.10.6.18    130560 Bytes  2010-04-01 09:05:58
VBASE027.VDF            : 7.10.6.34    136192 Bytes  2010-04-06 15:40:55
VBASE028.VDF            : 7.10.6.35      2048 Bytes  2010-04-06 15:40:55
VBASE029.VDF            : 7.10.6.36      2048 Bytes  2010-04-06 15:40:55
VBASE030.VDF            : 7.10.6.37      2048 Bytes  2010-04-06 15:40:55
VBASE031.VDF            : 7.10.6.40     33792 Bytes  2010-04-07 15:40:55
Version du moteur       : 8.2.1.210
AEVDF.DLL               : 8.1.1.3      106868 Bytes  2010-01-25 16:18:26
AESCRIPT.DLL            : 8.1.3.24    1282425 Bytes  2010-04-02 09:06:01
AESCN.DLL               : 8.1.5.0      127347 Bytes  2010-02-26 16:07:42
AESBX.DLL               : 8.1.2.1      254323 Bytes  2010-03-17 16:46:42
AERDL.DLL               : 8.1.4.3      541043 Bytes  2010-03-17 16:46:23
AEPACK.DLL              : 8.2.1.1      426358 Bytes  2010-03-20 12:52:28
AEOFFICE.DLL            : 8.1.0.41     201083 Bytes  2010-03-17 16:46:12
AEHEUR.DLL              : 8.1.1.16    2503031 Bytes  2010-03-26 20:32:28
AEHELP.DLL              : 8.1.11.3     242039 Bytes  2010-04-02 09:06:00
AEGEN.DLL               : 8.1.3.6      373108 Bytes  2010-04-02 09:06:00
AEEMU.DLL               : 8.1.1.0      393587 Bytes  2009-11-30 20:45:51
AECORE.DLL              : 8.1.13.1     188790 Bytes  2010-04-02 09:05:59
AEBB.DLL                : 8.1.0.3       53618 Bytes  2008-10-09 14:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  2008-12-12 08:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  2009-11-30 20:45:52
AVREP.DLL               : 8.0.0.7      159784 Bytes  2010-02-18 16:13:04
AVREG.DLL               : 9.0.0.0       36609 Bytes  2008-11-07 15:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  2009-03-24 15:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  2009-01-30 10:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  2009-01-28 15:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  2009-02-02 08:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  2008-11-07 15:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  2009-11-30 20:45:50
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  2009-11-30 20:45:50

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, E:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : 2010-04-08  12:51

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gqhcz	ype
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gqhcz\start
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gqhcz\errorcontrol
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gqhcz\group
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gqhcz\lrteg7mn5
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gqhcz\cn6ia5r8ey8
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gqhcz\pt2rd3wk8j
    [INFO]      L'entrée d'enregistrement n'est pas visible.
'111693' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WinMail.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CFSwMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynToshiba.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CEC_MAIN.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAAnotif.exe' - '1' module(s) sont contrôlés
Processus de recherche 'traybar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TOPI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DesktopSMS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NDSTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TCrdMain.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SmoothView.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TPwrMain.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'KeNotify.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosCoSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TODDSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TNaviSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAANTmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CFSvcs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ASKUpgrade.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AskService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'agrsmsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Vdr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PresentationFontCache.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'75' processus ont été contrôlés avec '75' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'E:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '52' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <Vista>
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Users\Marion\AppData\Local\Temp\avp.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.50004
C:\Users\Marion\AppData\Local\Temp\b063ne4z2x.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.20000
C:\Users\Marion\AppData\Local\Temp\hsb15ta.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.20000
C:\Users\Marion\AppData\Local\Temp\login.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.50004
C:\Users\Marion\AppData\Local\Temp
x8jsnlw6i5dk.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.50004
C:\Users\Marion\AppData\Local\Temp\services.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.50004
C:\Users\Marion\AppData\Local\Temp\win32.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.50004

Début de la désinfection :
C:\Users\Marion\AppData\Local\Temp\avp.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.50004
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2dbecd.qua' !
C:\Users\Marion\AppData\Local\Temp\b063ne4z2x.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.20000
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bf3be87.qua' !
C:\Users\Marion\AppData\Local\Temp\hsb15ta.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.20000
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c1fbeca.qua' !
C:\Users\Marion\AppData\Local\Temp\login.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.50004
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c24bec6.qua' !
C:\Users\Marion\AppData\Local\Temp
x8jsnlw6i5dk.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.50004
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bf5becf.qua' !
C:\Users\Marion\AppData\Local\Temp\services.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.50004
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2fbebc.qua' !
C:\Users\Marion\AppData\Local\Temp\win32.exe
    [RESULTAT]  Contient le cheval de Troie TR/A.50004
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2bbec0.qua' !


Fin de la recherche : 2010-04-08  13:30
Temps nécessaire: 39:09 Minute(s)

La recherche a été interrompue !

   9078 Les répertoires ont été contrôlés
 310625 Des fichiers ont été contrôlés
      7 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      7 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 310616 Fichiers non infectés
   2552 Les archives ont été contrôlées
      2 Avertissements
      9 Consignes
 111693 Des objets ont été contrôlés lors du Rootkitscan
      7 Des objets cachés ont été trouvés

moment de grace · Answer

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

baalti · Answer

Bonjour à toi,

merci pour ta réponse rapide. 
J'ai seulement pu te repondre ce matin je m'en vois désolé....

voilà le lien où se trouve le rapport du scan ZHP

http://www.cijoint.fr/cjlink.php?file=cj201004/cijxL77aSR.txt

Merci d'avance :)

moment de grace · Answer

ok 

à faire dans cet ordre et poster les rapports au fur et à mesure 

1) 

Téléchargez USBFIX de El Desaparecido, C_xx 

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe 
ou 
https://www.ionos.fr/?affiliate_id=77097 

/!\ Utilisateur de vista et windows 7 : 
ne pas oublier de désactiver Le contrôle des comptes utilisateurs  
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac  

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir  

Double clic sur le raccourci UsbFix présent sur le bureau .  

 Choisir l'option2 suppression 
(d'autres options disponibles, voir le tutoriel).  
 Laissez travailler l'outil. 
Le menu démarrer et les icônes vont disparaître.. c'est normal.  

Si un message te demande de redémarrer l'ordinateur fais le ...  

 Au redémarrage, le fix se relance... laisses l'opération s'effectuer.  

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse 

  
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )  

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )  

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.  


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html 


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097  

 Il est enregistré sur ton bureau.  

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.  

.................................. 

2) 

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)  
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe  

Miroir:  

https://www.androidworld.fr/  

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\  

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau.  
- Sur la page, clique sur le bouton « NETTOYER »  
- Confirme lancement du scan  
- Laisse travailler l'outil.  
- Poste le rapport qui apparaît à la fin.  

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)  

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)  

.............................. 

3) 

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite) 

http://www.malwarebytes.org/mbam/program/mbam-setup.exe 
  
. Enregistres le sur le bureau 
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.  
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte 
. Une fois la mise à jour terminé 
. Rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet (examen assez long) 
. Cliques sur Rechercher 
. Le scan démarre.  
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, clique sur  Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.  
. Rends toi dans l'onglet rapport/log  
. Tu cliques dessus pour l'afficher, une fois affiché 
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous  
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. tu cliques droit dans le cadre de la reponse et coller  


Si tu as besoin d'aide regarde ces tutoriels :  
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

baalti · Answer

voilà le rapport usbfix

merci


############################## | UsbFix V6.101 |

User : Marion (Administrateurs) # PC-DE-MARION
Update on 08/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:58:44 | 09/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  T2310  @ 1.46GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 7.0.6000.17037
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 74,22 Go (11,23 Go free) [Vista] # NTFS
D:\ -> Disque fixe local # 149,05 Go (85,55 Go free) [Externe] # NTFS
E:\ -> Disque fixe local # 73,37 Go (73,28 Go free) [Data] # NTFS
F:\ -> Disque CD-ROM

################## | Elements infectieux |

Supprimé ! C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 
Supprimé ! C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job 
Supprimé ! C:\Users\Marion\AppData\Roaming\lowsec\local.ds 
Supprimé ! C:\Users\Marion\AppData\Roaming\lowsec\user.ds 
Supprimé ! C:\Users\Marion\AppData\Roaming\lowsec 
Supprimé ! C:\Users\Marion\AppData\Roaming\sdra64.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\a.dat 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\1on.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\e.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\q1.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\Vdp.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\Vdq.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\Vdr.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\1270673569.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\1your_exe.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\4_pinnew.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\5_odbnsy.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\60325cahp25ca1.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\6_ldry3no.exe 
Supprimé ! C:\Users\Marion\AppData\Local\Temp\iexplore.exe 
Supprimé ! C:\$Recycle.Bin\S-1-5-18 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1643969366-1937786268-369828714-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2446354535-3758926445-94421575-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2684149497-3850842202-121147292-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2820803949-3729524370-2303368394-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3104489088-2836857065-1364713530-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3442162285-2208181009-2984458773-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-402374355-2776029083-1576359178-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3442162285-2208181009-2984458773-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-354304513-2596250688-94916889-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-4055304128-2221804651-210871663-1000 
Supprimé ! D:\Recycler\S-1-5-21-1801674531-1682526488-1343024091-1003 
Supprimé ! E:\$Recycle.Bin\S-1-5-21-2684149497-3850842202-121147292-500 
Supprimé ! E:\$Recycle.Bin\S-1-5-21-3442162285-2208181009-2984458773-1000 

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]  
Supprimé ! [HKCU\SOFTWARE\WEK9EMDHI9]  
Supprimé ! [HKCU\SOFTWARE\XML]  
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "userinit"  
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{1da34d40-a080-11de-9413-001b38a975e4}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{1da34d48-a080-11de-9413-001b38a975e4}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{38d45281-26cb-11de-be3f-001b38a975e4}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{6f806156-00e0-11de-b8b0-001b38a975e4}\Shell\Auto\Command  

################## | Listing des fichiers présent |

[18/09/2006 23:43|--a------|24] C:\autoexec.bat 
[02/11/2006 11:53|-rahs----|438840] C:\bootmgr 
[18/04/2007 07:03|-ra-s----|8192] C:\BOOTSECT.BAK 
[01/07/2009 18:30|--a------|4976] C:\Bug.txt 
[21/01/2009 17:54|--a------|12260] C:\ComboFix.txt 
[18/09/2006 23:43|--a------|10] C:\config.sys 
[21/01/2009 14:26|--a------|4566] C:\FindyKill.txt 
[?|?|?] C:\hiberfil.sys 
[21/01/2009 16:44|-rahs----|0] C:\IO.SYS 
[21/01/2009 16:44|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[18/04/2007 07:57|--a------|420] C:\RHDSetup.log 
[16/10/2007 06:42|--ah-----|282] C:\SWSTAMP.TXT 
[09/04/2010 12:16|--a------|4620] C:\UsbFix.txt 
[05/09/2008 10:01|--a----t-|24624] C:\_wdsuef.dmp 
[18/06/2008 08:25|--a------|25088] D:\BIBLIOGRAPHIEmem.doc 
[26/07/2006 00:54|--a------|734806016] D:\Kiss Kiss Bang Bang FR.avi 
[18/06/2008 10:29|--a------|28260352] D:\Mémoirefinis 2.doc 
[13/06/2008 13:17|--a------|311808] D:\PARTIE 2  ANTOINE.doc 
[01/04/2006 17:56|--a------|1000960] D:\petites annonces.doc 
[01/04/2006 17:56|--a------|1275392] D:\PhotosDuMonde_1.pps 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-Marion.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .

moment de grace · Answer

vu

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-Marion.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

=> Ad Remover

baalti · Answer

fichier zip envoyé :)

scan AD-R en cours

PS: je sais pas si j'ai bien désactivé les antispywares ( j'en ai peut être pas).

baalti · Answer

Je n'arrive pas à envoyer le rapport d'AD-R.

De plus le scan Malwarbytes anti-malware s'est interrompu en cours. :( 

Que doit je faire ?

merci

baalti · Answer

J'ai essayé d'envoyer le rapport en deux parties mais rien en se passe......
Je ne comprend pas pourquoi il refuse d'accépter ce message.

En revanche depuis 30 min j'ai relancé un scan Malwarbytes... qui est toujours en  cours d'exécution. (il a détécté  6 éléments inféctés pour le moment)   :(


J'attend la fin du scan Malwarbytes... et tente d'envoyer le rapport. 


Merci :)

baalti · Answer

Scan MAlwarbytes s'est encore arrêter en cours. au bout de 39min. 

Je suis un peu embêté et je ne sais plus trop comment avancer. 

d'avance merci

moment de grace · Answer

ok

pour ad remover utilises ci joint pour poster le rapport

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport C:\Ad-report(Scan/clean 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


.................

pour MBAM

dans l'onglet rapport, trouves tu un rapport ?

sinon, le refaire en mode sans echec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

baalti · Answer

http://www.cijoint.fr/cjlink.php?file=cj201004/cijFvZmXhe.txt

rapport AD-R :)

baalti · Answer

Pardon j'avais oublié, il n'y a aucun rapport

moment de grace · Answer

Télécharge rkill 

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe 
https://download.bleepingcomputer.com/grinler/rkill.exe 

Rkill COM: Rkill COM: 
https://download.bleepingcomputer.com/grinler/rkill.com
 https://download.bleepingcomputer.com/grinler/rkill.com 

Rkill SCR: Rkill RCS: 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.scr 

Rkill PIF: Rkill PIF: 
http://download.bleepingcomputer.com/grinler/rkill.pif 
http://download.bleepingcomputer.com/grinler/rkill.pif

une fois qu'il aura terminé 

relances MBAM
Mise à jour
examen complet
suppression de ce qu'il trouve
poster le rapport

baalti · Answer

je suis en train de commencer un scan avec MBAM en mode sans échec doit je l'interrompre et relancer le pc en morde normal pour télécharger rkill ?

baalti · Answer

ok merci il est en cours

baalti · Answer

le scan en mode sans échec c'est déroulé normalement 

Après redémarrage en mode normal je ne trouve pas le rapport 

Est il possible de le retrouver? 

merci

baalti · Answer

Je doit partir je ne serais pas là du week end. Je suis vraiment désolé mais un train m'attend

J'éspère reprendre notre réparation à la fin du week end 

merci pour ton aide et à lundi je l'éspère

PS: dernière manip, scan MBAM réussi en mode sans echec et ne trouve pas son rapport.  Le problème n'as pas l'air réglé...

baalti · Answer

Bonjour,

le scan en mode normal a réussi à s'efféctuer entierrement.

J'ai supprimé les dossiers inféctés et voilà le rapport obtenu. 

Merci d'avance 

PS: j'y crois encore :)



Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3979

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

12/04/2010 13:15:13
mbam-log-2010-04-12 (13-15-13).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 249301
Temps écoulé: 1 heure(s), 34 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\user16 (Trojan.Dropper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87efjhdsf87f3jfsdi7fhsujfd (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Marion\AppData\Local\Temp\avto.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Marion\AppData\Local\Temp\avto1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Marion\AppData\Local\Temp\avto2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Marion\AppData\Local\Temp\opeF3A1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\gqhcz.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
tuser_mssec.exe (Trojan.VirTool) -> Quarantined and deleted successfully.
C:\Users\Marion\AppData\Local\Temp\svchosty.exe (Trojan.Agent) -> Quarantined and deleted successfully.

moment de grace · Answer

vu 

vides la quarantaine

peux tu refaire un nouveau rapport ZHPdiag et poster le lien stp 

Je cherche beaucoup...et maintenant je trouve !  
(sourire)

baalti · Answer

http://www.cijoint.fr/cjlink.php?file=cj201004/cijRFuVD2V.txt 

Liens du nouveau rapport ZHPdiag.

moment de grace · Answer

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection) 

Télécharge et installe List&Kill'em et enregistre le sur ton bureau 

http://sd-1.archive-host.com/...



double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation 

coche la case "creer une icone sur le bureau" 

une fois terminée , clic sur "terminer" et le programme se lancer seul 

choisis la langue puis choisis l'option SEARCH

 laisse travailler l'outil 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué. 

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini. 

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED" 

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

Contient cheval de Troie TR/A.20000et 50004

21 réponses

Discussions similaires