alertes de securité Fermé

Question

J'ai de nombreuses alertes de securité Total XP Security et de Antivir.
Voici les rapport Hijackthis et spy bot
J'ai supprimé 1 fois les fichiers donnés par spybot mais 2 jours plus tard même chose.
Une solution?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:05, on 25/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Compaq_Propriétaire\Application 

Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device 

Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\windows\system32\wuaucldt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\Application 

Data\ave.exe
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAM FILES\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

http://y.lo.st
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = 

http://y.lo.st
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = 

Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet 

Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

Liens
R3 - URLSearchHook: Multi Media France Toolbar - 

{7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program 

Files\Multi_Media_France	bMul1.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers 

communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - 

{53707962-6F74-2D53-2644-206D7942484F} - 

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoBho - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - 

C:\Program Files\Microsoft\Search Enhancement Pack\Search 

Helper\SEPsearchhelperie.dll
O2 - BHO: Multi Media France Toolbar - 

{7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program 

Files\Multi_Media_France	bMul1.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - 

C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - 

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers 

communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} 

- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - 

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program 

Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Barre d'outils MSN Search Helper - 

{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar 

Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - C:\Program 

Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - 

{DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program 

Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - 

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program 

Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - 

{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON 

Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} 

- C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Barre d'outils MSN Search - 

{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar 

Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O3 - Toolbar: Multi Media France Toolbar - 

{7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program 

Files\Multi_Media_France	bMul1.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - 

C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and 

Settings\Compaq_Propriétaire\Application 

Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE 

C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir 

Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] 

C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program 

Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [syncman] c:\windows\system32\wuaucldt.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32egedit.exe
O4 - HKLM\..\Run: [ISW] "C:\Program 

Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKCU\..\Run: [swg] "C:\Program 

Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [syncman] 

c:\windows\system32\config\systemprofile\wuaucldt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE 

(User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE 

(User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] 

"c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] 

"c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - Startup: monxga32.exe
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN 

Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program 

Files\Google\Google 

Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsid

ewiki.html
O8 - Extra context menu item: Ouvrir dans un nouvel onglet 

d'arrière-plan - res://C:\Program Files\MSN Toolbar 

Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?332aa42a996421e8dd8efc

5056aa22
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier 

plan - res://C:\Program Files\MSN Toolbar 

Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?332aa42a996421e8dd8efc

5056aa22
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program 

Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - 

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - 

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - 

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - 

{E2D4D26B-0180-43a4-B05F-462D6D54C789} - 

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,

C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - 

{E2D4D26B-0180-43a4-B05F-462D6D54C789} - 

C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,

C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - 

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - 

{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network 

Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 

C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - 

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program 

Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo 

Uploader 5 Control) - 

http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploa

der5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload 

Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - 

http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo 

Uploader 5 Control) - 

http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUpl

oader55.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient 

Class) - 

http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 

1.6.0_13) - 
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags 

Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} 

- C:\Program Files\Logitech\Desktop 

Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - 

Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - 

C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program 

Files\Fichiers communs\Apple\Mobile Device 

Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - 

C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - 

C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers 

communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - 

C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program 

Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision 

Corporation - C:\Program Files\Fichiers 

communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - 

C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun 

Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA 

Corporation - C:\WINDOWS\system32
vsvc32.exe

moment de grace · Answer

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr => utiliser https://www.cjoint.com/

2 mains gauches · Answer

Voici le lien du rapport de ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201004/cijBPgumki.txt

moment de grace · Answer

ok fais ceci dans cet ordre et poster les rapports au fur et à mesure 1 Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ". ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ces lignes O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\ave.exe O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\ave.exe Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". Copie/Colle le rapport à l'écran dans ton prochain message ( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt ) ..................................... 2) Infection Navipromo....Pour info : Il s'installe via certains programmes, dont ceux-ci qu'il faut éviter à tout prix: * Funky Emoticons * go-astro * Games Attack * GoRecord * HotTVPlayer / HotTVPlayer & Paris Hilton * Live-Player * MailSkinner * Messenger Skinner * Instant Access * InternetGameBox * Officiale Emule (Version d'Emule modifiée) * Original Solitaire * SuperSexPlayer * Speed Downloading * Sudoplanet * Webmediaplayer il faudrait télécharge navilog1 sur le bureau : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Certaines infections bloquent les téléchargements d' outils de désinfection utilisez ce lien alternatif: http://ww38.toofiles.com/fr/oip/documents/exe/yop3.html 1°Double-clique sur navilog1.exe présent sur ton bureau 2°Sélectionnez la langue désirée dans le menu puis valide le choix par la touche « entrer » 3°Petit message d'avertissement, appuyez sur une touche pour passe à la suite 4°un nouveau avertissement, appuie sur une touche pour suivre 5°Vérification de l'installation de Navilog1 : si tout est bon, appuyez sur une touche pour continuer 6°Choisir option 1 : recherche/désinfection automatique 7°La recherche va se lancer automatiquement et peut durée quelques minutes, patientez 8°Une fois l'analyse terminé, fermez et enregistrez votre travail en cours, puis appuiez sur une touche pour que votre pc puisse démarrer 9°Au redémarrage du pc, Navilog va supprimer ce qu'il a trouvé, patientez quelques instants. Un rapport est gèneré par l'outil. Il se trouve à cette emplacement : XP : demarrer/poste de travail/c:/cleannavi.txt Vista : logo « demarrer »/ordinateur/c:/ cleannavi.txt ....................... 3) * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe Miroir: https://www.androidworld.fr/ /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. - Double-clique sur l'icône Ad-remover située sur ton Bureau. - Sur la page, clique sur le bouton « NETTOYER » - Confirme lancement du scan - Laisse travailler l'outil. - Poste le rapport qui apparaît à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) ........................ 4) Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite) http://www.malwarebytes.org/mbam/program/mbam-setup.exe . Enregistres le sur le bureau . Double cliques sur le fichier téléchargé pour lancer le processus d'installation. . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte . Une fois la mise à jour terminé . Rend-toi dans l'onglet, Recherche . Sélectionnes Exécuter un examen complet (examen assez long) . Cliques sur Rechercher . Le scan démarre. . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. . Cliques sur Ok pour poursuivre. . Si des malwares ont été détectés, clique sur Afficher les résultats . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. . Rends toi dans l'onglet rapport/log . Tu cliques dessus pour l'afficher, une fois affiché . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse . tu cliques droit dans le cadre de la reponse et coller Si tu as besoin d'aide regarde ces tutoriels : Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

2 mains gauches · Answer

Merci beaucoup de ton aide.

Je lance la procédure.

2 mains gauches · Answer

Voici le rapport de ZHPFix ZHPFix v1.12.3094 by Nicolas Coolman - Rapport de suppression du 25/04/2010 21:12:37 Fichier d'export Registre : C:\ZHPExportRegistry-25-04-2010-21-12-37.txt Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Processus mémoire : (Néant) Module mémoire : (Néant) Clé du Registre : (Néant) Valeur du Registre : (Néant) Elément de données du Registre : O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\ave.exe => Donnée supprimée avec succès O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\ave.exe => Donnée supprimée avec succès Dossier : (Néant) Fichier : (Néant) Logiciel : (Néant) Script Registre : (Néant) Master Boot Record : (Néant) Autre : (Néant) Récapitulatif : Processus mémoire : 0 Module mémoire : 0 Clé du Registre : 0 Valeur du Registre : 0 Elément de données du Registre : 2 Dossier : 0 Fichier : 0 Logiciel : 0 Master Boot Record : 0 Autre : 0 End of the scan

2 mains gauches · Answer

Voici le rapport de ADremover (ça a été long)

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 24/04/10 à 20:50
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 23:01:56 le 25/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM)  Service Pack 3 - X86
Nom du PC: NOM-EB85C523610
Utilisateur actuel: Compaq_Propriétaire (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\EoRezo
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ItsLabel

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\EoRezo
HKCU\Software\FunkyEmoticons
HKCU\Software\ItsLabel
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\Software\Classes\AppID\EoRezoBHO.DLL
HKLM\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\Software\EoRezo
HKLM\Software\FunkyEmoticons
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Eoengine
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Softwarehelper
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Softwarehelper
.
(Orpheline) HKLM,Run - Regedit32 - C:\WINDOWS\system32egedit.exe (Fichier manquant)
(Orpheline) HKCU,Run - syncman - c:\windows\system32\config\systemprofile\wuaucldt.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - NVIDIA nView Desktop Manager - C:\Program Files\NVIDIA Corporation
View
ViewSetup.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - PDFTiger_is1 - C:\Program Files\PDFTiger\unins000.exe (Fichier manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6 (fr) *
.
C:\Documents and Settings\Compaq_Propriétaire\..\jhv878f7.default\prefs.js - browser.startup.homepage: hxxp://y.lo.st
C:\Documents and Settings\Compaq_Propriétaire\..\jhv878f7.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2
.
EFFACÉ: C:\Documents and Settings\Compaq_Propriétaire\..\jhv878f7.default\prefs.js - user_pref("browser.startup.homepage", "hxxp://y.lo.st");
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp: 0 Fichier(s), 11 Dossier(s)
C:\WINDOWS	emp: 0 Fichier(s), 331 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 5 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 4608 Octet(s)
.
Fin à: 23:59:03, 25/04/2010
.
============== E.O.F - CLEAN[1] ==============

moment de grace · Answer

me manque ce rapport qui devait précéder celui de Ad Remover

c:/cleannavi.txt   (Navilog)

tu peux enchainer ensuite avec MalwareByte's Anti-Malware

2 mains gauches · Answer

Exact, le voici.
MalwareByte's Anti-Malware tourne en ce moment.

Fix Navipromo version 4.0.8 commencé le 25/04/2010 21:20:26,98

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3200+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : Compaq_Propriétaire ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.32 (Activated)


C:\ (Local Disk) - NTFS - Total:143 Go (Free:121 Go)
D:\ (Local Disk) - FAT32 - Total:5 Go (Free:2 Go)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)


Recherche executée en mode normal 


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 25/04/2010 21:22:51,99 ***

2 mains gauches · Answer

Bonjour,
Voici le rapport.
Le message final est que tout n'a pas pu être éliminé et qu'il faut redémarrer pour terminer le processus de suppression

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4036

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

26/04/2010 19:56:42
mbam-log-2010-04-26 (19-56-42).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 204542
Temps écoulé: 8 heure(s), 58 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\secfile\shell\open\command\(default) (Rogue.MultipleAV) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP114\A0027343.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP114\A0027344.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP114\A0027362.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP114\A0027385.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP114\A0027386.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP115\A0027550.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP115\A0027551.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\SYSTEM32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\carlton (Trojan.Dialer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\Démarrage\monxga32.exe (Trojan.Agent) -> Delete on reboot.

moment de grace · Answer

ok

redemarres bien sûr le pc et vides ensuite la quarantaine...

apres ca tu me dis comment va le pc 
et
fais un nouveau ZHPdiag et postes le lien stp

2 mains gauches · Answer

comment vider la quarantaine STP?

moment de grace · Answer

lances MBAM
onglets quarantaine
tout selectionner
supprimer

2 mains gauches · Answer

Voilà! La procédure est terminée et tout semble nominal.
Merci beaucoup de ton aide précise, claire et efficace.
A+

moment de grace · Answer

bonjour

on ne finit pas ainsi...

fais un nouveau ZHPdiag et postes le lien stp

Alertes de securité

14 réponses

Discussions similaires