Sujet Précédent Sujet Suivant

Virus TR/Hijacker.gen et TR/Crypt.ZPACK.Gen

Résolu/Fermé
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010 - 11 avril 2010 à 17:38
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 - 22 avril 2010 à 20:40
Bonjour,

On me dépose deux pc portables identiques avec tous les deux, deux virus TR/Hijacker.gen et TR/Crypt.ZPACK.Gen. J'ai fait un scan avec RSIT, voir les liens du log et du rapport.

http://www.cijoint.fr/cjlink.php?file=cj201004/cijv3i6AKY.txt

et l'autre

http://www.cijoint.fr/cjlink.php?file=cj201004/cijX19kqVj.txt

Merci de bien vouloir m'indiquer la démarche à suivre pour détruire ces virus.

25 réponses

  • 1
  • 2
Réponse 1 / 25
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
11 avril 2010 à 19:25
bonjour

Télécharge UsbFix de C_XX & Chiquitine29

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

* Double clic sur "UsbFix.exe" présent sur ton bureau ( clic droit "exécuter en tant qu'administrateur" pour Vista & 7 )

* Choisis l'option F pour français et tape sur [entrée] .

* Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

* Laisse travailler l'outil.

* Ensuite poste le rapport UsbFix.txt qui apparaitra.

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 2 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
12 avril 2010 à 17:34
Bonjour

Voilà le rapport Usb.Fix


############################## | UsbFix V6.102 |

User : Quentin PASQUEREAU (Administrateurs) # PC-DE-QUENTINPA
Update on 10/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:24:20 | 12/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm) SI-42
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 222,94 Go (157,45 Go free) # NTFS
D:\ -> Disque fixe local # 9,94 Go (1,74 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
H:\ -> Disque amovible # 819,27 Mo (819 Mo free) [USB_DISK] # FAT

################## | Elements infectieux |

H:\autorun.inf
H:\Documents .lnk
H:\Music .lnk
H:\New Folder .lnk
H:\Passwords .lnk
H:\Pictures .lnk
H:\Video .lnk

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\F
shell\AutoRun\command =F:\wd_windows_tools\WDSetup.exe

HKCU\..\..\Explorer\MountPoints2\{1d72b37c-3e66-11de-8d7f-001f166a67e8}
shell\AutoRun\command =F:\wd_windows_tools\WDSetup.exe

HKCU\..\..\Explorer\MountPoints2\{41f5121a-83fa-11de-ab3d-001f166a67e8}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\nUiBUu.eXE

HKCU\..\..\Explorer\MountPoints2\{d8d29b22-d686-11de-9e89-001f166a67e8}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\laiOM.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.102 ! |

Merci de m'indiquer la suite à effectuer
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
12 avril 2010 à 18:30
Suppression

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir

(1) Double clic sur le raccourci UsbFix présent sur ton bureau

(2) Choisi l option 2 ( Suppression )

Ton bureau disparaitra et le pc redémarrera .

Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
12 avril 2010 à 21:55
Voici le rapport pour le deuxième.


############################## | UsbFix V6.102 |

User : Quentin PASQUEREAU (Administrateurs) # PC-DE-QUENTINPA
Update on 10/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:39:00 | 12/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm) SI-42
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 222,94 Go (156,95 Go free) # NTFS
D:\ -> Disque fixe local # 9,94 Go (1,74 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
H:\ -> Disque amovible # 819,27 Mo (819,08 Mo free) [USB_DISK] # FAT

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-2245400894-94728932-212463395-500
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2933639312-578527201-987519331-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2933639312-578527201-987519331-500
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2933639312-578527201-987519331-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2933639312-578527201-987519331-500
Supprimé ! H:\autorun.inf
Supprimé ! H:\Documents .lnk
Supprimé ! H:\Music .lnk
Supprimé ! H:\New Folder .lnk
Supprimé ! H:\Passwords .lnk
Supprimé ! H:\Pictures .lnk
Supprimé ! H:\Video .lnk

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{1d72b37c-3e66-11de-8d7f-001f166a67e8}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{41f5121a-83fa-11de-ab3d-001f166a67e8}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d8d29b22-d686-11de-9e89-001f166a67e8}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[12/04/2010 21:37|--a------|24425] C:\aaw7boot.log
[18/09/2006 23:43|--a------|24] C:\autoexec.bat
[11/04/2009 08:36|-rahs----|333257] C:\bootmgr
[18/09/2006 23:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[29/02/2004 17:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[12/04/2010 21:50|--a------|2255] C:\UsbFix.txt
[28/03/2009 21:25|---hs----|13] D:\BLOCK.RIN
[04/10/2006 01:02|---hs----|438328] D:\bootmgr
[12/09/2008 20:00|---hs----|1199] D:\Desktop.ini
[10/09/2002 18:14|---hs----|8134] D:\Folder.htt
[01/04/2009 22:23|--ahs----|22] D:\HPCD.sys
[12/04/2010 21:38|--ahs----|243] D:\MASTER.LOG
[12/09/2008 19:18|---hs----|156098] D:\protect.arabic
[15/09/2008 18:06|---hs----|151163] D:\protect.bulgarian
[12/09/2008 19:22|---hs----|149947] D:\protect.chinese hong kong
[12/09/2008 19:30|---hs----|150503] D:\protect.chinese simplified
[12/09/2008 19:30|---hs----|149947] D:\protect.chinese traditional
[12/09/2008 19:31|---hs----|149591] D:\protect.czech
[12/09/2008 19:31|---hs----|148911] D:\protect.danish
[12/09/2008 19:32|---hs----|148212] D:\protect.dutch
[12/09/2008 19:32|---hs----|148950] D:\protect.ed
[12/09/2008 19:32|---hs----|148952] D:\protect.english
[12/09/2008 19:32|---hs----|148000] D:\protect.finnish
[12/09/2008 19:33|---hs----|147655] D:\protect.french
[12/09/2008 19:33|---hs----|147825] D:\protect.german
[12/09/2008 19:33|---hs----|152670] D:\protect.greek
[12/09/2008 19:34|---hs----|155060] D:\protect.hebrew
[12/09/2008 19:34|---hs----|148303] D:\protect.hungarian
[12/09/2008 19:35|---hs----|147443] D:\protect.italian
[12/09/2008 19:35|---hs----|151323] D:\protect.japanese
[12/09/2008 19:35|---hs----|158134] D:\protect.korean
[12/09/2008 19:36|---hs----|147950] D:\protect.norwegian
[12/09/2008 19:36|---hs----|149293] D:\protect.polish
[12/09/2008 19:36|---hs----|148077] D:\protect.portuguese
[12/09/2008 19:36|---hs----|148808] D:\protect.portuguese brazilian
[15/09/2008 18:06|---hs----|152201] D:\protect.romanian
[12/09/2008 19:37|---hs----|148947] D:\protect.russian
[12/09/2008 19:37|---hs----|149967] D:\protect.slovak
[12/09/2008 19:37|---hs----|147739] D:\protect.spanish
[12/09/2008 19:38|---hs----|148308] D:\protect.swedish
[12/09/2008 19:38|---hs----|149334] D:\protect.turkish
[01/04/2009 21:04|-r-hs----|26] D:\RCBoot.sys
[10/04/2010 12:38|-r-hs----|0] H:\toufu.exe

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-QuentinPA.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.102 ! |


Merci, pour la suite
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
12 avril 2010 à 21:57
télécharge

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

Une fois a jour, le programme va se lancer; clic sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

A la fin du scan clique sur Afficher les résultats

Vérifier si tout est coché et clic Supprimer la sélection

S'il t'es demandé de redémarrer >>> clique sur "Yes"

Et tu poste le rapport générer
0
Réponse 3 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
12 avril 2010 à 22:00
ok, je lance, et ensuite je poste
0
Réponse 4 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
13 avril 2010 à 01:31
Voici le rapport :

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3982

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

13/04/2010 01:28:48
mbam-log-2010-04-13 (01-28-48).txt

Type d'examen: Examen complet (C:\|D:\|E:\|H:\|)
Elément(s) analysé(s): 249043
Temps écoulé: 1 heure(s), 34 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\Temp\ameb.tmp\svchost.exe (Trojan.PWS.Gen) -> Quarantined and deleted successfully.
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
13 avril 2010 à 07:04
bonjour

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-1.archive-host.com/...


double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.

? laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
13 avril 2010 à 17:53
Bonjour,

Voici le rapport, qui devrait être bon car je n'ai plus de fenêtre qui s'ouvre par Antivir.

List'em by g3n-h@ckm@n 1.7.0.5

User : Quentin PASQUEREAU (Administrateurs)
Update on 12/04/2010 by g3n-h@ckm@n ::::: 06.20
Start at: 17:16:53 | 13/04/2010

AMD Sempron(tm) SI-42
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 222,94 Go (157,18 Go free) | NTFS
D:\ -> Disque fixe local | 9,94 Go (1,74 Go free) [RECOVERY] | NTFS
E:\ -> Disque CD-ROM
H:\ -> Disque amovible | 819,27 Mo (819,17 Mo free) [USB_DISK] | FAT

Boot: Normal


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\svchost.exe
C:\Program Files\SMINST\BLService.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\pv.exe

======================
Keys "Run"
======================

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
LightScribe Control Panel REG_SZ C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
avgnt REG_SZ "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
TkBellExe REG_SZ "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
Malwarebytes Anti-Malware (reboot) REG_SZ "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2)
ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 1 (0x1)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 1 (0x1)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)
EnableUIADesktopToggle REG_DWORD 0 (0x0)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 255 (0xff)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
BindDirectlyToPropertySetStorage REG_DWORD 0 (0x0)
NoDriveAutoRun REG_DWORD 255 (0xff)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
ReportBootOk REG_SZ 1
Shell REG_SZ explorer.exe
Userinit REG_SZ C:\Windows\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
AutoRestartShell REG_DWORD 1 (0x1)
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ShutdownWithoutLogon REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
WinStationsDisabled REG_SZ 0
DisableCAD REG_DWORD 1 (0x1)
scremoveoption REG_SZ 0
ShutdownFlags REG_DWORD 43 (0x2b)

===============


===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============

[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\D27CDB6E-AE6D-11CF-96B8-444553540000]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{166B1BCA-3F9C-11CF-8075-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2A202491-F00D-11cf-87CC-0020AFEECF20}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]

===
DNS
===

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B2F02EB1-19AA-43CA-B366-7C0521451AF3}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C391D3A0-E413-48BD-9DA4-8176FD8776BE}: DhcpNameServer=172.168.45.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B2F02EB1-19AA-43CA-B366-7C0521451AF3}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C391D3A0-E413-48BD-9DA4-8176FD8776BE}: DhcpNameServer=172.168.45.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B2F02EB1-19AA-43CA-B366-7C0521451AF3}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C391D3A0-E413-48BD-9DA4-8176FD8776BE}: DhcpNameServer=172.168.45.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr
Local Page REG_SZ C:\Windows\System32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://forums.commentcamarche.net/forum/
Local Page REG_SZ C:\Windows\system32\blank.htm
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x4 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

========
Safemode
========

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot" : OK !!
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal" : OK !!
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network" : OK !!

=========
Atapi.sys
=========

MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4] :: C:\Windows\System32\drivers\atapi.sys
MD5 :: [9c0e70031905adbf94edb9ea14af943b] :: C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7f3e4ed9\atapi.sys
MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4] :: C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys
MD5 :: [e26ddfe464b464daf1c739122978d1d6] :: C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b7393fc6\atapi.sys
MD5 :: [4f4fcb8b6ea06784fb6d475b7ec7300f] :: C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
MD5 :: [2d9c903dc76a66813d350a562de40ed9] :: C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
MD5 :: [e26ddfe464b464daf1c739122978d1d6] :: C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20847_none_dbb74a7b3d9afbc1\atapi.sys
MD5 :: [2d9c903dc76a66813d350a562de40ed9] :: C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
MD5 :: [9c0e70031905adbf94edb9ea14af943b] :: C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.22193_none_dd6376773aedb5e4\atapi.sys
MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4] :: C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys

Référence :
==========

Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

=======
Drive :
=======

Défragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.

Rapport d'analyse pour le volume C:

Taille du volume = 223 Go
Espace libre = 157 Go
Étendue d'espace libre la plus grande = 53.45 Go
Pourcentage de fragmentation des fichiers = 4 %

Remarque : sur les volumes NTFS, les fragments de fichiers de plus de 64 Mo ne sont pas inclus dans les statistiques de fragmentation.

Il n'est pas nécessaire de défragmenter ce volume.

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\ProgramData\{051B9612-4D82-42AC-8C63-CD2DCEDC1CB3}.log
Present !! : C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
Present !! : C:\ProgramData\{23F3DA62-2D9E-4A69-B8D5-BE8E9E148092}.log
Present !! : C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
Present !! : C:\ProgramData\{4FC670EB-5F02-4B07-90DB-022B86BFEFD0}.log
Present !! : C:\ProgramData\{9867824A-C86D-4A83-8F3C-E7A86BE0AFD3}.log
Present !! : C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
Present !! : C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
Present !! : C:\ProgramData\{d36dd326-7280-11d8-97c8-000129760cbe}.log
Present !! : C:\ProgramData\hpqp.ini
Present !! : C:\ProgramData\hpqp.txt
Present !! : C:\ProgramData\nvModes.001
Present !! : C:\ProgramData\nvModes.dat
Present !! : C:\ProgramData\{051B9612-4D82-42AC-8C63-CD2DCEDC1CB3}.log
Present !! : C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
Present !! : C:\ProgramData\{23F3DA62-2D9E-4A69-B8D5-BE8E9E148092}.log
Present !! : C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
Present !! : C:\ProgramData\{4FC670EB-5F02-4B07-90DB-022B86BFEFD0}.log
Present !! : C:\ProgramData\{9867824A-C86D-4A83-8F3C-E7A86BE0AFD3}.log
Present !! : C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
Present !! : C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
Present !! : C:\ProgramData\{d36dd326-7280-11d8-97c8-000129760cbe}.log
Present !! : C:\ProgramData\hpqp.ini
Present !! : C:\ProgramData\hpqp.txt
Present !! : C:\ProgramData\nvModes.001
Present !! : C:\ProgramData\nvModes.dat
Present !! : C:\ProgramData\{051B9612-4D82-42AC-8C63-CD2DCEDC1CB3}.log
Present !! : C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
Present !! : C:\ProgramData\{23F3DA62-2D9E-4A69-B8D5-BE8E9E148092}.log
Present !! : C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
Present !! : C:\ProgramData\{4FC670EB-5F02-4B07-90DB-022B86BFEFD0}.log
Present !! : C:\ProgramData\{9867824A-C86D-4A83-8F3C-E7A86BE0AFD3}.log
Present !! : C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
Present !! : C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
Present !! : C:\ProgramData\{d36dd326-7280-11d8-97c8-000129760cbe}.log
Present !! : C:\ProgramData\hpqp.ini
Present !! : C:\ProgramData\hpqp.txt
Present !! : C:\ProgramData\nvModes.001
Present !! : C:\ProgramData\nvModes.dat
Present !! : C:\ProgramData\{051B9612-4D82-42AC-8C63-CD2DCEDC1CB3}.log
Present !! : C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
Present !! : C:\ProgramData\{23F3DA62-2D9E-4A69-B8D5-BE8E9E148092}.log
Present !! : C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
Present !! : C:\ProgramData\{4FC670EB-5F02-4B07-90DB-022B86BFEFD0}.log
Present !! : C:\ProgramData\{9867824A-C86D-4A83-8F3C-E7A86BE0AFD3}.log
Present !! : C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
Present !! : C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
Present !! : C:\ProgramData\{d36dd326-7280-11d8-97c8-000129760cbe}.log
Present !! : C:\Users\Quentin PASQUEREAU\AppData\Local\d3d9caps.dat
Present !! : C:\Users\Quentin PASQUEREAU\AppData\Local\GDIPFONTCACHEV1.DAT
Present !! : C:\Users\Quentin PASQUEREAU\AppData\Roaming\EoRezo

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : HKCR\EoRezoBHO.EoBho
Present !! : HKCR\EoRezoBHO.EoBho.1
Present !! : HKCU\SOFTWARE\EoRezo
Present !! : HKCU\SOFTWARE\ItsLabel
Present !! : HKLM\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
Present !! : HKLM\SOFTWARE\Classes\AppID\EoRezoBHO.dll
Present !! : HKLM\Software\Classes\EoRezoBHO.EoBho
Present !! : HKLM\Software\Classes\EoRezoBHO.EoBho.1
Present !! : HKLM\SOFTWARE\ItsLabel
Present !! : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-13 17:44:13
Windows 6.0.6002 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85871AC8]<<
kernel: MBR read successfully
user & kernel MBR OK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval REG_DWORD 1 (0x1)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 17:44:19,13

Par contre pour l'autre pc, j'ai toujours des fenêtres.
J'attends la suite pour celui-ci et on fera l'autre après.
Merci
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
13 avril 2010 à 19:21
? Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

? choisis l'Option Clean

ton PC va redémarrer,

laisse travailler l'outil.

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

? colle le contenu dans ta réponse
0
Réponse 6 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
13 avril 2010 à 21:37
J'ai relancé List_Kill'em, et l'option Clean. Le scan est fini en 2 secondes mais aucun rapport sur le bureau.

Donc je fais quoi ?
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
13 avril 2010 à 21:46
tu la lancer avec un clic droit et exécuter en tant qu'administrateur ?
0
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
13 avril 2010 à 21:49
oui, je viens de le refaire, et c'est pareil
0
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
13 avril 2010 à 21:51
non désolée, il redémarre en faisant un scan
0
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
13 avril 2010 à 22:32
Voici le scan

Kill'em by g3n-h@ckm@n 1.7.1.0

User : Quentin PASQUEREAU (Administrateurs)
Update on 13/04/2010 by g3n-h@ckm@n ::::: 17.10
Start at: 21:50:28 | 13/04/2010

AMD Sempron(tm) SI-42
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 222,94 Go (157,35 Go free) | NTFS
D:\ -> Disque fixe local | 9,94 Go (1,74 Go free) [RECOVERY] | NTFS
E:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\svchost.exe
C:\Program Files\SMINST\BLService.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\ProgramData\{051B9612-4D82-42AC-8C63-CD2DCEDC1CB3}.log
Quarantined & Deleted !! : C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
Quarantined & Deleted !! : C:\ProgramData\{23F3DA62-2D9E-4A69-B8D5-BE8E9E148092}.log
Quarantined & Deleted !! : C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
Quarantined & Deleted !! : C:\ProgramData\{4FC670EB-5F02-4B07-90DB-022B86BFEFD0}.log
Quarantined & Deleted !! : C:\ProgramData\{9867824A-C86D-4A83-8F3C-E7A86BE0AFD3}.log
Quarantined & Deleted !! : C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
Quarantined & Deleted !! : C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
Quarantined & Deleted !! : C:\ProgramData\{d36dd326-7280-11d8-97c8-000129760cbe}.log
Quarantined & Deleted !! : C:\ProgramData\hpqp.ini
Quarantined & Deleted !! : C:\ProgramData\hpqp.txt
Quarantined & Deleted !! : C:\ProgramData\nvModes.001
Quarantined & Deleted !! : C:\ProgramData\nvModes.dat

Quarantined & Deleted !! : C:\Users\Quentin PASQUEREAU\AppData\Local\d3d9caps.dat
Quarantined & Deleted !! : C:\Users\Quentin PASQUEREAU\AppData\Local\GDIPFONTCACHEV1.DAT
Quarantined & Deleted !! : C:\Users\Quentin PASQUEREAU\AppData\Roaming\EoRezo

==============
host file OK !
==============

========
Registry
========

Deleted : HKCR\EoRezoBHO.EoBho
Deleted : HKCR\EoRezoBHO.EoBho.1
Deleted : HKCU\SOFTWARE\EoRezo
Deleted : HKCU\SOFTWARE\ItsLabel
Deleted : HKLM\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
Deleted : HKLM\SOFTWARE\Classes\AppID\EoRezoBHO.dll
Deleted : HKLM\SOFTWARE\ItsLabel
Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval REG_DWORD 1 (0x1)
FirstRunDisabled REG_DWORD 1 (0x1)
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
============

=================
anti-ver blaster : OK !!
=================

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
13 avril 2010 à 22:37
pour voir s'il reste du EoRezo.

Télécharge AD-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe


Double-clique sur le raccourci Ad-Remover sur ton Bureau.(Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista)

Dans la fenêtre qui s'ouvre clique sur scanner

L'outil,va débuter sa phase de Recherche

!! Laisse Travailler l'outil !


Appuie sur une touche,le rapport s'affiche..,

Poste le rapport.
0
Réponse 7 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
14 avril 2010 à 17:20
Bonjour,

Voici le rapport de AD-R

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 17:15:29 le 14/04/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) HomeBasic Service Pack 2 - X86
Nom du PC: PC-DE-QUENTINPA | Utilisateur actuel: Quentin PASQUEREAU (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Users\Quentin PASQUEREAU\AppData\Roaming\ItsLabel
.
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 8.0.6001.18904 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=91&bd=Presario&pf=cnnb
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.google.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: hxxp://y.lo.st
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Users\QUENTI~1\AppData\Local\Temp: 7 Fichier(s), 4 Dossier(s)
C:\Windows\temp: 3 Fichier(s), 355 Dossier(s)
C:\Users\Quentin PASQUEREAU\AppData\Roaming\Microsoft\Windows\Cookies: 104 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 36 Fichier(s), 21 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 1997 Octet(s)
.
Fin à: 17:18:22, 14/04/2010
.
============== E.O.F - SCAN[1] ==============
0
Réponse 8 / 25
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
14 avril 2010 à 20:35
relance AD-R et fait l'option nettoyer
0
Réponse 9 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
14 avril 2010 à 20:54
Voila le rapport de nettoyage

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:44:31 le 14/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) HomeBasic Service Pack 2 - X86
Nom du PC: PC-DE-QUENTINPA | Utilisateur actuel: Quentin PASQUEREAU (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Users\Quentin PASQUEREAU\AppData\Roaming\ItsLabel

(!) -- Fichiers temporaires supprimés.
.
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 8.0.6001.18904 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Users\QUENTI~1\AppData\Local\Temp: 2 Fichier(s), 4 Dossier(s)
C:\Windows\temp: 0 Fichier(s), 367 Dossier(s)
C:\Users\Quentin PASQUEREAU\AppData\Roaming\Microsoft\Windows\Cookies: 2 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 21 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 15 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2171 Octet(s)
.
Fin à: 20:47:35, 14/04/2010
.
============== E.O.F - CLEAN[1] ==============
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
14 avril 2010 à 20:59
pour nettoyer les fix qui ont servit

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.
http://pc-system.fr/

Double clique sur ToolsCleaner2.exe >
puis Recherche
et sur Suppression
Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

tu poste le rapport générer après suppression
0
Réponse 10 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
14 avril 2010 à 21:38
voici le rapport, mais mon bureau n'a pas disparu

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Ad-remover: trouvé !
C:\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files\List_Kill'em\catchme.exe: trouvé !
C:\Program Files\List_Kill'em\mbr.exe: trouvé !
C:\Users\Quentin PASQUEREAU\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: trouvé !
C:\Users\Quentin PASQUEREAU\Desktop\Ad-R.exe: trouvé !

---------------------------------
--> Suppression:

C:\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files\List_Kill'em\catchme.exe: supprimé !
C:\Users\Quentin PASQUEREAU\Desktop\Ad-R.exe: supprimé !
C:\Program Files\List_Kill'em\mbr.exe: supprimé !
C:\Users\Quentin PASQUEREAU\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: supprimé !
C:\Ad-remover: supprimé !
0
Réponse 11 / 25
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
14 avril 2010 à 21:49
(--------------------------) Désinstallation (----------------------)


Double clic sur le raccourci UsbFix présent sur ton bureau

Choisi l option Désinstaller

de même pour List&Kill'em

ensuite

tu va télécharger Ccleaner http://dl.commentcamarche.net/www.commentcamarche.net/download/files/ccsetup227_slim.exe

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
. Tu refais tous ca 4-5 fois (le nettoyage et le registre).

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".

içi mode d'emploi pour ccleaner

https://www.malekal.com/tutoriel-ccleaner/
0
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
14 avril 2010 à 22:31
OK, c'est fait, plus d'erreur, mais pas de rapport non plus

Qu'est-ce qu'on fait pour la suite
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
14 avril 2010 à 22:35
des signes TR/Hijacker.gen et TR/Crypt.ZPACK.Gen ?
0
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
15 avril 2010 à 08:46
non, plus aucune fenêtre qui s'ouvre, même sur l'autre pc.
0
Réponse 12 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
15 avril 2010 à 19:51
Bonsoir,

j'ai rallumé les pc ce soir, et plus de virus, tout est ok.

Merci beaucoup "benurrr".
0
Réponse 13 / 25
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
15 avril 2010 à 20:21
salut

content de t'avoir aider bye et bon surf
0
Réponse 14 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
16 avril 2010 à 20:21
Bonjour,

J'ai à nouveau les virus TR/Hijacker.gen de revenu, depuis ce soir sur chaque pc.
Antivir ouvre une fenêtre à chaque instant avec le message :
C:Windows\temps\jptb.tmp\svchost.exe
contient le cheval de troie : TR/Hijacker.gen

Pourriez-vous à nouveau m'aider ?
merci
0
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
16 avril 2010 à 21:46
J'ai refait un scan avec List_Kill et voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201004/cijBtxAITP.txt

merci de votre aide
0
Réponse 15 / 25
lepinblanc
17 avril 2010 à 09:37
Bonjour

Oui, les virus étaient supprimés, et ils sont revenus, mais dans un autre fichier.

Le scan malwarebytes n'a rien donné, le voici

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4000

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

17/04/2010 09:31:11
mbam-log-2010-04-17 (09-31-11).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 248796
Temps écoulé: 1 heure(s), 40 minute(s), 40 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 16 / 25
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
17 avril 2010 à 11:47
salut


sa a etait nettoyer

va içi et fait un scan pour être plus sure http://www.bitdefender.fr/scanner/online/free.html
0
Réponse 17 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
17 avril 2010 à 14:22
J'ai essayé le lien ci-dessus, et aucun scan n'est possible sur les ordinateurs.
Quand je clique sur démarrer, il me met mise à jour impossible, scan impossible.

Alors j'ai téléchargé la version essai gratuite 30 jours, qui ralentit énormément le pc, et sur tout le scan, aucun virus, trojan ou autres ont été trouvés.
mais une fenetre s'ouvre et m'indique que BitDefender à bloqué un virus :
Trojan.Généric.3314168, accèdé par svchost
destination 188.40.50.214/inst_n105.exe

Voilà,
Si tu veux bien continuer à m'indiquer la démarche à suivre
0
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
17 avril 2010 à 18:48
Et j'ai aussi laissé Antivir, qui affiche souvent, voir très souvent mais pas toujours à la même vitesse, une fenêtre qui dit que
C:\Windows\Temp\...........tmp\svchost.exe contient le cheval de troie TR/Hijacker.gen

Bitdefender est en cours d'analyse sur un pc, et sur l'autre c'est le scan en ligne Panda activescan. Ca fait maintenant plus de 2 heures qu'ils sont en cours de scan.

Voilà, je commence à désespérer, et penser sérieusement à la réinitialisation complète de chaque pc.
0
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
17 avril 2010 à 19:41
Alors, le scan bitdefender a beugué et fait beugué tout le pc, écran noir, obliger d'éteindre par le bouton, en appuyant au moins 1 minutes et maintenant je n'arrive pas à le désinstaller.
Et sur l'autre, le scan avec Panda a déclaré : aucun nuisible. Et pourtant sur les 2 pc les fenêtres d'antivir qui bloque le cheval de troie n'arrête pas de s'ouvrir.
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
17 avril 2010 à 19:48
en mode sans échec pour le désinstaller

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit


Tutoriel pour t'aider

https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
0
Réponse 18 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
19 avril 2010 à 19:59
Bonsoir,

Voici l'info après le scan RSIT :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijLXnxAHv.txt

et le log :

http://www.cijoint.fr/cjlink.php?file=cj201004/cij4RQ22VH.txt

Merci pour la suite.
0
Réponse 19 / 25
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 avril 2010 à 20:14
salut
Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3
* Lance l'installation du programme en exécutant le fichier téléchargé. double clique Ou ( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )
* double clique Ou ( clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)
0
Réponse 20 / 25
lepinblanc Messages postés 58 Date d'inscription lundi 15 mai 2006 Statut Membre Dernière intervention 21 avril 2010
19 avril 2010 à 20:45
Voici le rapport :


-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft® Windows Vista(TM) Édition Familiale Basique ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Sempron(tm) SI-42 )
BIOS : PhoenixBIOS 4.0 Release 6.1
USER : Robine PASQUEREAU ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:222 Go (Free:155 Go)
D:\ (Local Disk) - NTFS - Total:9 Go (Free:1 Go)
E:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [1] ( 19/04/2010|20:42 )

[ UAC => 1 ]

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr"
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp"
"Default_search_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search bar"="http://go.microsoft.com/fwlink/?linkid=54896"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr"
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Search bar"="http://www.bing.com/spresults.aspx"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !

[ UAC => 1 ]


1 - "C:\ToolBar SD\TB_1.txt" - 19/04/2010|20:41 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 19/04/2010|20:43 - Option : [1]

-----------\\ Fin du rapport a 20:43:21,33


J'ai toujours des fenêtres Antivir pour bloquer le cheval de troie
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 avril 2010 à 20:53
Tu peux virer cette toolbar qui a mauvaise réputation via ajout/suppression de programmes :

==> Médiabar

Télécharge Superantispyware (SAS)

http://www.superantispyware.com/superantispywarefreevspro.ht%C2%ADml



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning (Fermer Navigateur avant le scan)

Scan for tracking cookies (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

https://www.malekal.com/?s=SUPERAntiSpyware
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Signification "TR"
andromeid -
matrix4422 -

3 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses