Problème virus !

Résolu
July -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Salut tout le monde !

J'ai attrapé un virus et toutes les 5 secondes avast me dit qu'il détecte une menace (chxnxyx.exe). Je suis complètement novice, mais un ami m'a parlé d'un logiciel du style hitjackthis ou quelque chose comme çà. Est-ce une bonne idée, que dois-je faire ?

Merci beaucoup pour votre aide !

July.

18 réponses

  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    On va analyser ton PC:

    Télécharge ZHPDiag sur ton bureau
    ftp://zebulon.fr/ZHPDiag%201.24.25.exe

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    /!\L'outil a créé 2 icônes ZHPDiag et ZHPFix
    Clique sur la loupe pour lancer l'analyse.
    Laisse l'outil travailler, il peut être assez long.
    Ferme ZHPDiag en fin d'analyse.
    Pour transmettre le rapport clique sur ce lien :
    http://www.cijoint.fr/
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    Sélectionne le fichier ZHPDiag.txt.
    Clique sur "Cliquez ici pour déposer le fichier".
    Un lien de cette forme :
    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
    [est ajouté dans la page.
    Copie ce lien dans ta réponse.

    Smart
    0
  2. July
     
    Salut Smart !

    J'ai été un peu longue à répondre et à faire ce que tu me conseilles. Je m'en excuse, mais mon ordinateur est resté éteint tout ce temps.

    Donc comme tu me l'as dit, je te colle le lien cijoint.fr

    http://www.cijoint.fr/cjlink.php?file=cj201004/cij6Rm0DFK.txt

    Merci pour ton aide !

    July
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu as plusieurs barres d'outils dont certaines infectées que tu as dû installer en même temps qu'un autre programme gratuit ou payant d'ailleurs et qu'il faut faire attention de bien décocher une case avant de cliquer sur suivant pour ne pas installer ce genre de toolbar.
    Pour ton information va sur le le lien ci-dessous:
    Les Toolbars ce n'est pas obligatoires
    Et tu as une infection herss.exe qui se propage par supports amovibles.

    1. AD-Remover:
    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) :

    https://www.androidworld.fr/
    - Clique sur [gras>TÉLÉCHARGER</gras> et enregistre-le sur ton bureau.
    - Déconnecte toi et ferme toutes les applications en cours
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    2. Ensuite USBFix:
    Télécharge UsbFix et enregistre le sur ton bureau
    Tutoriel Recherche

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir

    - Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
    Si tu es sous Vista:
    - Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" sous Vista

    - Dans le menu principal choisis l'option "F" pour français et tape sur [entrée] .
    - Dans le second menu choisis l'option "1" (Recherche) et tape sur [entrée]
    - Laisse travailler l outil.
    - Ensuite post le rapport UsbFix.txt qui apparaitra.

    Note : Ce rapport UsbFix.txt est sauvegardé à la racine du disque. (C:\UsbFix.txt)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller)

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

    Smart
    0
  4. July
     
    Voilà les rapports Doc' !

    En premier Ad-report :


    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 31/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 19:48:04 le 16/04/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
    Nom du PC: L-BA48939957A94 | Utilisateur actuel: Lécuyer (Administrateur)
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    Service: *Application Updater*
    .
    C:\Documents and Settings\Lécuyer\Application Data\pdfforge
    C:\Documents and Settings\Lécuyer\Application Data\Search Settings
    C:\Program Files\Application Updater
    C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
    C:\Program Files\pdfforge Toolbar

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKCU\Software\pdfforge
    HKCU\Software\Search Settings
    HKLM\Software\Application Updater
    HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\pdfforge
    HKLM\Software\Search Settings
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome.manifest
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\install.rdf
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome.manifest
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome\locale\en-US\searchsettingsplugin.dtd
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\install.rdf
    .
    (Orpheline) HKLM,Run - BEWINTERNET-FR-DMGP-V2SessionManager - C:\Program Files\Orange\IEWInternet\SessionManager\SessionManager.exe (Fichier manquant)
    (Orpheline) HKCU,Run - Microsoft Corp - C:\Documents and Settings\Lécuyer\Application Data\svchosts.exe (Fichier manquant)
    (Orpheline) HKCU,Run - cdoosoft - C:\DOCUME~1\LCUYER~1\LOCALS~1\Temp\herss.exe (Fichier manquant)
    (Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.0.16 (fr) *
    .
    C:\Documents and Settings\Lécuyer\..\fuoo9epf.default\prefs.js - browser.download.dir: D:\\Mes documents
    C:\Documents and Settings\Lécuyer\..\fuoo9epf.default\prefs.js - browser.download.lastDir: D:\\Mes documents
    C:\Documents and Settings\Lécuyer\..\fuoo9epf.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.16
    C:\Documents and Settings\Lécuyer\..\fuoo9epf.default\prefs.js - keyword.URL: www.google.fr
    .
    .
    * Internet Explorer Version 6.0.2900.5512 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://www.google.com/ie
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\DOCUME~1\LCUYER~1\LOCALS~1\Temp: 3 Fichier(s), 119 Dossier(s)
    C:\WINDOWS\temp: 3 Fichier(s), 5 Dossier(s)
    Temporary Internet Files: 2 Fichier(s), 7 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 80 Fichier(s)
    C:\Ad-Remover\Backup: 13 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 5583 Octet(s)
    .
    Fin à: 19:50:01, 16/04/2010
    .
    ============== E.O.F - CLEAN[1] ==============


    En deuxième USBFix :


    ############################## | UsbFix V6.104 |

    User : Lécuyer (Administrateurs) # L-BA48939957A94
    Update on 14/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 19:56:13 | 16/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 6.0.2900.5512
    Windows Firewall Status : Enabled
    AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 24,41 Go (14,6 Go free) [Windows] # NTFS
    D:\ -> Disque fixe local # 50,11 Go (46,72 Go free) [Vaio] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible
    G:\ -> Disque amovible # 3,74 Go (3,74 Go free) [CAROSE] # FAT32
    H:\ -> Disque CD-ROM

    ################## | Elements infectieux |

    C:\autorun.inf -> fichier appelé : "C:\chxnxyx.exe" ( Absent ! )
    C:\autorun.inf
    C:\SUD\SSOW\Desktop.ini
    C:\SUD\SSOW
    C:\SUD
    D:\autorun.inf -> fichier appelé : "D:\chxnxyx.exe" ( Absent ! )
    D:\autorun.inf
    G:\autorun.inf -> fichier appelé : "G:\chxnxyx.exe" ( Absent ! )
    G:\autorun.inf

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\F
    Shell\AutoRun\command =F:\LaunchU3.exe -a

    HKCU\..\..\Explorer\MountPoints2\{12be66ca-4974-11df-9a03-001302d6c8e8}
    Shell\AutoRun\command =chxnxyx.exe
    Shell\open\Command =chxnxyx.exe

    HKCU\..\..\Explorer\MountPoints2\{191b2084-4652-11df-9a00-001302d6c8e8}
    Shell\AutoRun\command =I:\chxnxyx.exe
    Shell\open\Command =I:\chxnxyx.exe

    HKCU\..\..\Explorer\MountPoints2\{1a6adb22-4796-11df-9a02-001302d6c8e8}
    Shell\AutoRun\command =chxnxyx.exe
    Shell\open\Command =chxnxyx.exe

    HKCU\..\..\Explorer\MountPoints2\{2a1fb296-f210-11de-9995-001302d6c8e8}
    Shell\AutoRun\command =G:\chxnxyx.exe
    Shell\open\Command =G:\chxnxyx.exe

    HKCU\..\..\Explorer\MountPoints2\{2a1fb2a7-f210-11de-9995-001302d6c8e8}
    Shell\AutoRun\command =F:\SUD\SSOW\sep.exe
    Shell\open\command =F:\SUD\SSOW\sep.exe

    HKCU\..\..\Explorer\MountPoints2\{5904e5c6-ee6e-11de-bf6e-806d6172696f}
    Shell\AutoRun\command =chxnxyx.exe
    Shell\open\Command =chxnxyx.exe

    HKCU\..\..\Explorer\MountPoints2\{5904e5c7-ee6e-11de-bf6e-806d6172696f}
    Shell\AutoRun\command =chxnxyx.exe
    Shell\open\Command =chxnxyx.exe

    HKCU\..\..\Explorer\MountPoints2\{87246584-0041-11e6-99c1-001302d6c8e8}
    Shell\AutoRun\command =SYSTEM.EXE
    Shell\eXpLorE\CoMmAnD =SYSTEM.EXE
    Shell\oPEN\cOMMaNd =SYSTEM.EXE

    HKCU\..\..\Explorer\MountPoints2\{b5e443ee-0525-11df-99d0-001302d6c8e8}
    Shell\AutoRun\command =F:\AutoRunCardDetector.exe

    HKCU\..\..\Explorer\MountPoints2\{cba3dce2-2d33-11df-99f4-001302d6c8e8}
    Shell\AutoRun\command =k1d.exe
    Shell\open\Command =k1d.exe

    HKCU\..\..\Explorer\MountPoints2\{cba3dce9-2d33-11df-99f4-001302d6c8e8}
    Shell\AutoRun\command ="G:\WD SmartWare.exe" autoplay=true

    HKCU\..\..\Explorer\MountPoints2\{d537bf0a-2c1b-11df-99f1-001302d6c8e8}
    Shell\AutoRun\command =k1d.exe
    Shell\open\Command =k1d.exe

    HKCU\..\..\Explorer\MountPoints2\{f23af560-0363-11df-99cc-001302d6c8e8}
    Shell\AutoRun\command =F:\SUD\SSOW\sep.exe
    Shell\open\command =F:\SUD\SSOW\sep.exe

    ################## | Vaccin |

    ################## | ! Fin du rapport # UsbFix V6.104 ! |
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va faire le nettoyage et vaccination
    tutoriel nettoyage

    - Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

    susceptible d'avoir été infectés sans les ouvrir

    - Double clic sur le raccourci UsbFix présent sur ton bureau
    - Choisis l'option 2 ( Suppression )
    -Ton bureau disparaîtra et le pc redémarrera .
    - Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
    - Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
    - Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.(C:\UsbFix.txt )
    - (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    UsbFix te proposera d'envoyer un dossier compressé à cette adresse :

    https://www.ionos.fr/?affiliate_id=77097
    Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
    Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

    - Il faut sélectionner "UsbFix" dans le menu déroulant
    - Merci d'avance pour ta contribution !!

    Mais il me semble que tu as du utilisr d'autres supports USB (Peut-être les clés d'amis). Il faudra les vacciner avant de les ouvrir.

    Smart
    0
  7. July
     
    Voici le nouveau rapport !

    ############################## | UsbFix V6.104 |

    User : Lécuyer (Administrateurs) # L-BA48939957A94
    Update on 14/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 20:17:39 | 16/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 6.0.2900.5512
    Windows Firewall Status : Enabled
    AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 24,41 Go (14,58 Go free) [Windows] # NTFS
    D:\ -> Disque fixe local # 50,11 Go (46,72 Go free) [Vaio] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible
    G:\ -> Disque amovible # 3,74 Go (3,74 Go free) [CAROSE] # FAT32
    H:\ -> Disque CD-ROM

    ################## | Elements infectieux |

    C:\autorun.inf -> fichier appelé : "C:\chxnxyx.exe" ( Absent ! )
    Supprimé ! C:\autorun.inf
    Supprimé ! C:\SUD\SSOW\Desktop.ini
    Supprimé ! C:\SUD\SSOW
    Supprimé ! C:\SUD
    Supprimé ! C:\Recycler\S-1-5-21-1078081533-884357618-1177238915-1004
    D:\autorun.inf -> fichier appelé : "D:\chxnxyx.exe" ( Absent ! )
    Supprimé ! D:\autorun.inf
    Supprimé ! D:\Recycler\S-1-5-21-1078081533-884357618-1177238915-1004
    G:\autorun.inf -> fichier appelé : "G:\chxnxyx.exe" ( Absent ! )
    Supprimé ! G:\autorun.inf

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{191b2084-4652-11df-9a00-001302d6c8e8}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{1a6adb22-4796-11df-9a02-001302d6c8e8}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{2a1fb296-f210-11de-9995-001302d6c8e8}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{2a1fb2a7-f210-11de-9995-001302d6c8e8}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{87246584-0041-11e6-99c1-001302d6c8e8}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{b5e443ee-0525-11df-99d0-001302d6c8e8}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{cba3dce2-2d33-11df-99f4-001302d6c8e8}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{cba3dce9-2d33-11df-99f4-001302d6c8e8}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{d537bf0a-2c1b-11df-99f1-001302d6c8e8}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{f23af560-0363-11df-99cc-001302d6c8e8}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [21/12/2009 22:00|--a------|0] C:\AUTOEXEC.BAT
    [22/12/2009 02:51|--ahs----|216] C:\boot.ini
    [18/04/2008 14:00|-rahs----|4952] C:\Bootfont.bin
    [21/12/2009 22:00|--a------|0] C:\CONFIG.SYS
    [21/12/2009 22:00|-rahs----|0] C:\IO.SYS
    [21/12/2009 22:00|-rahs----|0] C:\MSDOS.SYS
    [18/04/2008 14:00|-rahs----|47564] C:\NTDETECT.COM
    [18/04/2008 14:00|-rahs----|252240] C:\ntldr
    [?|?|?] C:\pagefile.sys
    [16/04/2010 20:19|--a------|3051] C:\UsbFix.txt
    [14/04/2010 16:59|--a------|27648] G:\Lettre de mission Carose.doc
    [15/04/2010 08:33|--a------|24576] G:\mail chateaux.doc
    [15/04/2010 11:19|--a------|20992] G:\Terra Botanica.doc
    [15/04/2010 11:22|--a------|20480] G:\guide du routard.doc
    [15/04/2010 11:23|--a------|20480] G:\Petit fut'.doc
    [15/04/2010 15:35|--a------|37376] G:\Enqu^te consommateur.doc
    [16/04/2010 18:23|--a------|74570] G:\ZHPDiag.Txt
    [16/04/2010 19:45|--a------|1328219] G:\C_XX_AD-R.exe
    [16/04/2010 19:54|--a------|1777625] G:\UsbFix.exe

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_L-BA48939957A94.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.104 ! |
    0
  8. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    He bien on a bien avancé refais un rapport ZHPdiag

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  9. July
     
    Voici le lien cijoint.fr

    http://www.cijoint.fr/cjlink.php?file=cj201004/cij02NQfit.txt
    0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il reste encore une m**de

    Télécharge Malwarebytes

    - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    - Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    - Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    - L'analyse peut durer un bon moment.....
    - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Smart
    0
  11. July
     
    Je viens de lancer le scan malwarebytes'. Puis-je te demander comment lit-on un rapport tel que celui ci-dessus ? Comment te repères-tu ? Quelles sont les lignes clés ? Crois tu que je pourrais y arriver seule un jour ?

    Je poste le rapport dès que possible.

    Encore merci pour tout.

    July.
    0
  12. July
     
    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3999

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    17/04/2010 01:53:47
    mbam-log-2010-04-17 (01-53-47).txt

    Type d'examen: Examen complet (C:\|D:\|G:\|)
    Elément(s) analysé(s): 121475
    Temps écoulé: 24 minute(s), 41 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe (Rogue.Removeit) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\Lécuyer\Local Settings\Application Data\Install.exe (Rogue.Removeit) -> Quarantined and deleted successfully.
    0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. Vide la quarantaine de MBAM et refais un rapport ZHPDiag

    Smart
    0
  14. July
     
    Salut,

    Voici le rapport ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijxAoB7ex.txt
    0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Copie/colle les lignes suivantes et place les dans ZHPFix :

    ----------------------------------------------------------
    O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\System32\activation.dll

    ----------------------------------------------------------

    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    0
  16. July
     
    Ok. Déjà un grand merci pour ta patience et pour ton aide. Ensuite dans le doute, je te colle deux rapports : celui qui apparait tout de suite après, et un nouveau rapport ZHPDiag.

    ZHPFix v1.12.21 by Nicolas Coolman - Rapport de suppression du 18/04/2010 18:57:29
    Fichier d'export Registre : C:\ZHPExportRegistry-18-04-2010-18-57-29.txt
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\System32\activation.dll => Clé supprimée avec succès

    Valeur du Registre :
    (Néant)

    Elément de données du Registre :
    (Néant)

    Dossier :
    (Néant)

    Fichier :
    c:\windows\system32\activation.dll => Supprimé et mis en quarantaine

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Autre :
    (Néant)

    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 1
    Valeur du Registre : 0
    Elément de données du Registre : 0
    Dossier : 0
    Fichier : 1
    Logiciel : 0
    Autre : 0

    End of the scan

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijpuVZxph.txt

    Encore merci !
    0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Super. On a presque terminé. On va optimiser, ensuite faire une purge de ton PC c'est à dire enlever les outils que je t'ai fait installer et je me permettrais de te donner quelques conseils de préventions quand on surfe sur Internet
    Tout d'abord lance Hijackthis
    Fais un do scan Only et tu coches les lignes suvantes:
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Adobe®Reader
    O4 - HKLM\..\Run: [QuickTime Task] C:\Program Files\QuickTime\QTTask.exe" -atboottime => Apple®Quick Time
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe => Microsoft®NT CTF Loader
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Google®Toolbar
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE => Microsoft®Windows NT
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE => Microsoft®Windows NT
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE => Microsoft®Windows NT
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE => Microsoft®Windows NT
    O23 - Service: Service Bonjour (Bonjour Service) - C:\Program Files\Bonjour\mDNSResponder.exe => Apple Computer®Bonjour for Windows

    Ensuite tu fais Fix checked

    Mises à jour:
    Internet Explorer vers la version 8 ==> https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

    Console Java (Très impotant):
    Télécharge JavaRa.zip de Paul McLain et Fred de Vries.
    http://raproducts.org/click/click.php?id=1
    * Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
    * Double-clique sur le répertoire JavaRa.
    * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
    * Choisis Français puis clique sur Select.
    * Clique sur Recherche de mises à jour.
    * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
    * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
    * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
    * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
    * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
    * Ferme l'application.

    Fais déjà ceci ensuite on passe à la purge

    Smart
    0
  18. July
     
    et hop, voici le rapport !

    JavaRa 1.15 Removal Log.

    Report follows after line.

    ------------------------------------

    The JavaRa removal process was started on Sun Apr 18 20:13:57 2010

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

    Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

    ------------------------------------

    Finished reporting.
    0
    1. July
       
      Ah, oui, j'utilise firefox, donc je me permets de ne pas installer la dernière version de IE. C'est pas grave ?
      0
    2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Il faut absolument faire la mise à à jour de IE parceque les mises à jour de Windows passe par IE

      Smart
      0
    3. July
       
      Là, tout est fini ?
      0
    4. July
       
      J'installe IE en ce moment même ! ;)
      0
  19. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Ensuite on va faire la purge de ton PC:

    1. Désinstallation des outils

    Télécharge Toolscleaner sur ton Bureau:
    - Double-clique sur ToolsCleaner2.exe et laisse le travailler
    - Clique sur Recherche et laisse le scan se terminer.
    - Clique sur Suppression pour finaliser.
    - Tu peux, si tu le souhaites, te servir des Options facultatives.
    - Clique sur Quitter, pour que le rapport puisse se créer.
    - Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)...colle le dans ta prochaine réponse.

    Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

    2. Nettoyage
    Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
    - Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    - Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    - Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

    3.Désactiver la restauration système et céer un point de restauration
    Dans la barre des tâches de Windows, clique sur Démarrer.
    Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
    Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
    Clique sur Appliquer.
    Ensuite décoche "Désactiver la restauration du systeme"
    Clique sur appliquer puis ok
    Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

    Conseils de Prévention

    Les Toolbars ce n'est pas obligatoires
    Infections par disques amovibles
    Infections par disques amovibles 2
    Par rapport au P2P :
    http://www.libellules.ch/...
    Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
    Prévention et Protection

    Sois plus vigilant sur Internet à l'avenir

    Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas...

    Smart
    0