Sujet Précédent Sujet Suivant

Chevaux de Troie et ouverture de fenêtres

Fermé
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010 - 26 avril 2010 à 21:34
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 - 3 mai 2010 à 19:28
Bonsoir. J'ai depuis quelques jours reçu des chevaux de Troie par l'intermédiaire d'une clé usb, J'ai fait plusieurs analyses et désinfections avec Antivir, Panda, CCleaner, Bitdefender, Virus Total. Il n'y a théoriquement plus beaucoup de menaces même si je reçois parfois une alerte, pourtant j'ai toujours une ouverture intempestive de fenêtres internet explorer.
Je ne sais donc pas quoi faire pour remédier au problème.

Merci de votre aide!

13 réponses

Réponse 1 / 13
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
26 avril 2010 à 21:35
Salut,
Tu as bien un seul antivirus installé sur ton PC au moins ?!

******

Pour établir un diagnostic plus en profondeur de ton PC :
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =

* Double clique sur RSIT.exe pour le lancer.
* Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt.
0
Réponse 2 / 13
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
26 avril 2010 à 21:45
A la base j'avais juste Antivir et depuis 2 jours Panda cohabite.
J'ai le rapport mais je n'arrive pas à le poster. Le message ne veut pas se poster.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
26 avril 2010 à 21:48
Supprime Panda pour ne garder qu'un seul antivirus sur ta machine.

***********

Envoie le rapport ici :
http://cijoint.fr/
Envoie ensuite le lien qui te sera donné pour que je puisse consulter le fichier.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
26 avril 2010 à 22:03
Voilà j'ai désinstallé Panda et refait un rapport
Au redémarrage j'ai eu la joie d'avoir de nouvelles alertes d'Antivir

http://www.cijoint.fr/cjlink.php?file=cj201004/cijKFATZ3c.txt
0
Réponse 3 / 13
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
26 avril 2010 à 22:20
En effet, tu es bien infecté et je n'arrive pas non plus à le poster non plus.


Désactive l'UAC (User Account Control) le temps de la désinfection.
Démarrer > Panneau de configuration > Comptes d'utilisateurs > Désactiver le contrôle des comptes d'utilisateur.
(Manipulation inverse pour le remettre en fin de désinfection).
(Cela va permettre aux outils de désinfection de travailler correctement).

*********

Tu es infecté par un ver qui se propage dans ton ordinateur par support amovibles (clé USB, disquettes, appareils photos numériques, disques durs externes, ...)

Télécharge et installe UsbFix de C_XX & El desaparecido :
= = = = >>> En cliquant ici <<< = = = =

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir !

* Clique droit sur le raccourci UsbFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur".
* Choisis ensuite l'option 1 (Recherche)
* Laisse travailler l'outil.
* Ensuite poste le rapport UsbFix.txt qui apparaîtra.

Notes :
- Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum).
- "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
26 avril 2010 à 22:54
Je n'ai pas à réussi à désactiver l'UAC. Quand j'ai effectué l'opération l'ordinateur a demandé un redémarrage mais windows n'a pas pu redémarrer. Le programme de restauration s'est alors lancé et a rétabli l'UAC.
J'ai lancé la recherche d'UsbFix.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
26 avril 2010 à 22:55
############################## | UsbFix V6.109 |

User : Hadrien (Administrateurs) # PC-DE-HADRIEN
Update on 26/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 22:49:09 | 26/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Disabled
AV : Norton Internet Security 2007 [ Enabled | (!) Outdated ]
FW : Norton Internet Security[ Enabled ]2007

C:\ -> Disque fixe local # 111,69 Go (33,91 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 111,43 Go (19,32 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 980,72 Mo (936,22 Mo free) # FAT
I:\ -> Disque amovible # 967,73 Mo (959,45 Mo free) [MEMORY 8000] # FAT

################## | Elements infectieux |

C:\Users\Hadrien\csrss.exe
C:\Users\Hadrien\csrss.exe
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\Users\Hadrien\AppData\Local\Temp\a.dat
C:\Users\Hadrien\AppData\Local\Temp\b.dat
C:\Users\Hadrien\AppData\Local\Temp\295.exe
C:\Users\Hadrien\AppData\Local\Temp\Lz1.exe
C:\Users\Hadrien\AppData\Local\Temp\Lz3.exe
C:\Users\Hadrien\AppData\Local\Temp\295.exe
C:\Users\Hadrien\AppData\Local\Temp\AutoRun.exe
C:\Users\Hadrien\AppData\Local\Temp\debug.exe
C:\Users\Hadrien\AppData\Local\Temp\Setup.exe
C:\Users\Hadrien\AppData\Local\Temp\spoolsv.exe
C:\Users\Hadrien\AppData\Local\Temp\win.exe
G:\autorun.inf
I:\autorun.inf -> fichier appelé : "I:\LIJEPA\\\\\\\\\\\\KARLA.exe" ( Présent ! )
I:\autorun.inf -> fichier appelé : "I:\LIJEPA\\\\\\\\\\\\KARLA.exe" ( Présent ! )
I:\autorun.inf

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Handle]
[HKCU\SOFTWARE\QZAIB7KITK]
[HKCU\SOFTWARE\XML]
[HKCU\SOFTWARE\YVIBBBHA8C]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Canaveral"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Test321"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "YVIBBBHA8C"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{5b684825-193f-11de-887c-00038a000015}
shell\AutoRun\command =G:\LIJEPA\\\\\\\\\\KARLA.exe
shell\explore\command =G:\LIJEPA\\\\\\\\\\\\KARLA.exe
shell\open\command =G:\LIJEPA\\\\\\\\\\\\KARLA.exe

HKCU\..\..\Explorer\MountPoints2\{62e29e24-4648-11df-8ec5-00038a000015}
shell\AutoRun\command =G:\AutoRunCardDetector.exe

HKCU\..\..\Explorer\MountPoints2\{62e29e32-4648-11df-8ec5-00038a000015}
shell\AutoRun\command =G:\AutoRunCardDetector.exe

HKCU\..\..\Explorer\MountPoints2\{a6b32632-2f2f-11de-b811-00038a000015}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

HKCU\..\..\Explorer\MountPoints2\{faa28665-ef37-11de-8ef6-00038a000015}
shell\AutoRun\command =tmpfix.exe
shell\explore\command =tmpfix.exe
shell\open\command =tmpfix.exe

HKCU\..\..\Explorer\MountPoints2\{ffdbb8b2-8769-11dd-9a22-00038a000015}
shell\AutoRun\command =F:\autorun.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.109 ! |
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
26 avril 2010 à 22:55
Ok.
J'ai lancé la recherche d'UsbFix.
As-tu eu le rapport ? Poste-le.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
26 avril 2010 à 23:00
oui c'est fait dsl du double post
0
Réponse 4 / 13
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
26 avril 2010 à 23:02
Très bien !

Nettoyage avec UsbFix :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir !

* Relance UsbFix par un clic droit sur le raccourci UsbFix présent sur ton bureau et en sélectionnant "Exécuter en tant qu'administrateur".
* Choisis l'option 2 (Suppression)
* Ton bureau disparaîtra et le PC redémarrera.
* Au redémarrage, UsbFix scannera ton PC. Laisse travailler l'outil.
* Ensuite poste l'intégralité du rapport UsbFix.txt qui apparaîtra avec le bureau.

Note :
Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
26 avril 2010 à 23:20
Le processus n'a pu s'achever car windows n'a à nouveau pas pu redémarrer et Startup Repair s'est donc enclenché.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
26 avril 2010 à 23:22
Arf, recommence quand c'est bon.
Étrange ces erreurs, ce ne devrait pas le faire.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
Modifié par hami11 le 26/04/2010 à 23:38
S'il crash et qu'il me redemande, je lance le programme de réparation(recommandé) ou je démarre windows normalement? Je peux peux être tenter l'option 4 : suppression (MSE) ?
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
26 avril 2010 à 23:39
Fais ce qui est recommandé.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
27 avril 2010 à 00:09
Windows a de nouveau crashé et j'ai eu beaucoup de mal à redémarrer.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
27 avril 2010 à 20:43
Télécharge Malwarebytes' Anti-Malware
= = = = >>> En cliquant ici <<< = = = =

- Enregistre le sur le bureau
- Double clique sur le fichier téléchargé pour lancer le processus d'installation
- Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l'icône de malwarebytes pour le relancer
- Dans l'onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
- Rends toi dans l'onglet rapport/log
- Tu clique dessus pour l'afficher.
- Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller

Si tu as besoin d'aide regarde ce tutorial [https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0
Réponse 6 / 13
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
28 avril 2010 à 06:58
Alors certains éléments n'ont pu être supprimés.
Voici le rapport

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4043

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

28/04/2010 06:53:39
mbam-log-2010-04-28 (06-53-39).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 342274
Temps écoulé: 5 heure(s), 23 minute(s), 24 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 41

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mcexecwin (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87sdhfush87fsufhuie3fddf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\canaveral (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\test321 (Worm.AutoRun) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87efjhdsf87f3jfsdi7fhsujfd (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,C:\Users\Hadrien\AppData\Roaming\kyrnmy.exe,explorer.exe,C:\Users\Hadrien\csrss.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$R87MBTE.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$R0AZBS6.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$REOP3F8.dll (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$ROF150P.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$RANFP0I.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$RBAC4HZ.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$RCWW7AI.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$RDA4RE8.dll (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$RPO20QP.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$RL5MZZL.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$RN3RRZC.dll (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$RN56DM9.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\$RECYCLE.BIN\S-1-5-21-1792653465-392304458-2896977966-1000\$RZ8179Z.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\tmp71.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\user.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\ho1df8d9.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\sbzp40omd.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\install.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\m7006m.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\mdm.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\zpbvgk.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\csrss.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\debug.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\vfnfi.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\vmpyjg90w.dll (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\win.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\avp32.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\notepad.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\ovx4x1v8rznfdonh.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\smss.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\spoolsv.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\system.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\taskmgr.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\setup.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Local\Temp\Temp1_u.zip\u.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\rnmhcp.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\Users\Hadrien\AppData\Roaming\kyrnmy.exe (Trojan.Agent) -> Delete on reboot.
C:\Users\Hadrien\AppData\Local\Temp\isfwff.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Hadrien\csrss.exe (Trojan.Agent) -> Delete on reboot.
C:\Users\Hadrien\AppData\Local\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
28 avril 2010 à 19:00
Voilà un bon déblayage qui fait du bien!
Vide la quarantaine de MBAM.

Réessaye USBFix.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
28 avril 2010 à 19:13
Alors voici la nouvelle recherche avec usbfix
J'effectue à présent la suppression
############################## | UsbFix V6.110 |

User : Hadrien (Administrateurs) # PC-DE-HADRIEN
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:08:44 | 28/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Disabled
AV : Norton Internet Security 2007 [ Enabled | (!) Outdated ]
FW : Norton Internet Security[ Enabled ]2007

C:\ -> Disque fixe local # 111,69 Go (34,58 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 111,43 Go (18,96 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 980,72 Mo (936,22 Mo free) # FAT
I:\ -> Disque amovible # 967,73 Mo (959,45 Mo free) [MEMORY 8000] # FAT

################## | Elements infectieux |

C:\Users\Hadrien\csrss.exe
C:\Users\Hadrien\csrss.exe
C:\Users\Hadrien\AppData\Local\Temp\utt27CB.tmp.bat
C:\Users\Hadrien\AppData\Local\Temp\utt27F9.tmp.bat
C:\Users\Hadrien\AppData\Local\Temp\uttC0EE.tmp.bat
C:\Users\Hadrien\AppData\Local\Temp\uttC18A.tmp.bat
C:\Users\Hadrien\AppData\Local\Temp\uttDC6A.tmp.bat
C:\Users\Hadrien\AppData\Local\Temp\uttDCE7.tmp.bat
C:\Users\Hadrien\AppData\Local\Temp\a.dat
C:\Users\Hadrien\AppData\Local\Temp\b.dat
C:\Users\Hadrien\AppData\Local\Temp\295.exe
C:\Users\Hadrien\AppData\Local\Temp\295.exe
C:\Users\Hadrien\AppData\Local\Temp\AutoRun.exe
G:\autorun.inf
I:\autorun.inf -> fichier appelé : "I:\LIJEPA\\\\\\\\\\\\KARLA.exe" ( Présent ! )
I:\autorun.inf -> fichier appelé : "I:\LIJEPA\\\\\\\\\\\\KARLA.exe" ( Présent ! )
I:\autorun.inf

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{5b684825-193f-11de-887c-00038a000015}
shell\AutoRun\command =G:\LIJEPA\\\\\\\\\\KARLA.exe
shell\explore\command =G:\LIJEPA\\\\\\\\\\\\KARLA.exe
shell\open\command =G:\LIJEPA\\\\\\\\\\\\KARLA.exe

HKCU\..\..\Explorer\MountPoints2\{62e29e24-4648-11df-8ec5-00038a000015}
shell\AutoRun\command =G:\AutoRunCardDetector.exe

HKCU\..\..\Explorer\MountPoints2\{62e29e32-4648-11df-8ec5-00038a000015}
shell\AutoRun\command =G:\AutoRunCardDetector.exe

HKCU\..\..\Explorer\MountPoints2\{a6b32632-2f2f-11de-b811-00038a000015}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

HKCU\..\..\Explorer\MountPoints2\{eab33c92-a663-11dc-b8fe-e5eaf27726f0}
shell\AutoRun\command =I:\LIJEPA\\\\\\\\\\KARLA.exe
shell\explore\command =I:\LIJEPA\\\\\\\\\\\\KARLA.exe
shell\open\command =I:\LIJEPA\\\\\\\\\\\\KARLA.exe

HKCU\..\..\Explorer\MountPoints2\{faa28665-ef37-11de-8ef6-00038a000015}
shell\AutoRun\command =tmpfix.exe
shell\explore\command =tmpfix.exe
shell\open\command =tmpfix.exe

HKCU\..\..\Explorer\MountPoints2\{ffdbb8b2-8769-11dd-9a22-00038a000015}
shell\AutoRun\command =F:\autorun.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.110 ! |
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
28 avril 2010 à 19:23
J'effectue à présent la suppression
Ok j'attend le rapport.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
28 avril 2010 à 19:29
L'opération a réussi! Enfin!

Voici le rapport :


############################## | UsbFix V6.110 |

User : Hadrien (Administrateurs) # PC-DE-HADRIEN
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:19:44 | 28/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Disabled
AV : Norton Internet Security 2007 [ Enabled | (!) Outdated ]
FW : Norton Internet Security[ Enabled ]2007

C:\ -> Disque fixe local # 111,69 Go (34,61 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 111,43 Go (18,96 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 980,72 Mo (936,22 Mo free) # FAT
I:\ -> Disque amovible # 967,73 Mo (959,45 Mo free) [MEMORY 8000] # FAT

################## | Elements infectieux |

Supprimé ! C:\Users\Hadrien\csrss.exe
Supprimé ! C:\Users\Hadrien\AppData\Local\Temp\ubiA09B.tmp.exe
Supprimé ! C:\Users\Hadrien\AppData\Local\Temp\a.dat
Supprimé ! C:\Users\Hadrien\AppData\Local\Temp\b.dat
Supprimé ! C:\Users\Hadrien\AppData\Local\Temp\295.exe
Supprimé ! C:\Users\Hadrien\AppData\Local\Temp\utt27CB.tmp.bat
Supprimé ! C:\Users\Hadrien\AppData\Local\Temp\utt27F9.tmp.bat
Supprimé ! C:\Users\Hadrien\AppData\Local\Temp\uttC0EE.tmp.bat
Supprimé ! C:\Users\Hadrien\AppData\Local\Temp\uttC18A.tmp.bat
Supprimé ! C:\Users\Hadrien\AppData\Local\Temp\uttDC6A.tmp.bat
Supprimé ! C:\Users\Hadrien\AppData\Local\Temp\uttDCE7.tmp.bat
Supprimé ! C:\Users\Hadrien\AppData\Local\Temp\AutoRun.exe
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1792653465-392304458-2896977966-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1792653465-392304458-2896977966-500
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1792653465-392304458-2896977966-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1792653465-392304458-2896977966-500
G:\autorun.inf -> fichier appelé : "G:\LIJEPA\\\\\\\\\\\\KARLA.exe" ( Présent ! )
Supprimé ! G:\LIJEPA\\\\\\\\\\\\KARLA.exe
Supprimé ! G:\autorun.inf
I:\autorun.inf -> fichier appelé : "I:\LIJEPA\\\\\\\\\\\\KARLA.exe" ( Présent ! )
Supprimé ! I:\LIJEPA\\\\\\\\\\\\KARLA.exe
Supprimé ! I:\autorun.inf

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{5b684825-193f-11de-887c-00038a000015}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{62e29e24-4648-11df-8ec5-00038a000015}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{62e29e32-4648-11df-8ec5-00038a000015}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a6b32632-2f2f-11de-b811-00038a000015}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{eab33c92-a663-11dc-b8fe-e5eaf27726f0}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{faa28665-ef37-11de-8ef6-00038a000015}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ffdbb8b2-8769-11dd-9a22-00038a000015}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[10/08/2007 09:34|--a------|3380] C:\-20070810.log
[18/09/2006 23:43|--a------|24] C:\autoexec.bat
[11/04/2009 08:36|-rahs----|333257] C:\bootmgr
[10/08/2007 16:43|-ra-s----|8192] C:\BOOTSECT.BAK
[18/09/2006 23:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[30/09/2008 22:02|-rahs----|0] C:\IO.SYS
[23/12/2007 11:25|--ah-----|606] C:\IPH.PH
[16/08/2005 08:49|---------|40960] C:\junction.exe
[29/11/2006 17:35|--a------|512] C:\MDR.iss
[30/09/2008 22:02|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[27/01/2009 00:28|--a------|13030] C:\PDOXUSRS.NET
[10/08/2007 08:32|--a------|420] C:\RHDSetup.log
[10/08/2007 09:19|--a------|178] C:\setup.log
[28/04/2010 19:27|--a------|3938] C:\UsbFix.txt
[09/12/2007 14:40|--a------|1150608] C:\vcredist_x86.log
[14/03/2010 17:49|--a------|121955032] D:\195.62_notebook_winvista_win7_32bit_international_whql.exe
[14/09/2008 02:29|--a------|1316161] D:\300 SL STRIP 2.zip
[15/09/2008 17:34|--a------|38626297] D:\Audio_Relatek_v6.0.1.5413_R167_Vistax64.zip
[15/09/2008 23:20|--a------|78] D:\Carmania 3 ACURA Chromium.zip.loc
[16/07/2008 16:32|--a------|39968152] D:\CoD4MW-1.6-1.7-PatchSetup.exe
[21/09/2008 01:11|--a------|4743112] D:\daemon4301-lite.exe
[24/06/2008 00:26|--a------|54608834] D:\DreamMatchTennisProSetup.exe
[14/06/2008 19:50|--a------|22018304] D:\eadm-installer.exe
[12/09/2008 00:03|--a------|365976] D:\emoticones1_5.exe
[31/07/2008 23:28|--a------|7601152] D:\Firefox Setup 3.0.1.exe
[02/08/2008 16:40|--a------|13423004] D:\Fr Full Codec Pack Ver 0.9.exe
[19/09/2008 16:54|--a------|35733103] D:\gfgo_100.97beta-vista32(www.station-drivers.com).exe
[16/06/2008 19:08|--a------|15822554] D:\HDMI_R196.exe
[16/08/2008 16:40|--a------|1495112] D:\install_flash_player.exe
[15/09/2008 17:49|--a------|281845] D:\mplayerplug-in-3.55.tar.gz
[28/11/2008 19:55|--a------|120353] D:\PhotoFunia_aa3a00(2).jpg
[28/11/2008 19:54|--a------|0] D:\PhotoFunia_aa3a00.jpg
[28/11/2008 19:54|--a------|70722] D:\PhotoFunia_aa3a00.jpg.part
[04/08/2008 12:28|--a------|2857749] D:\Radio_Fr_solo-Install.exe
[08/07/2008 21:50|--a------|206225] D:\u.zip
[26/05/2008 20:02|--a------|24] D:\url_history.xml
[19/09/2008 20:51|--a------|267056] D:\utorrent.exe
[10/09/2008 22:01|--a------|21431024] D:\VeohSetup-3.9.8.1077.exe
[01/09/2008 22:40|--a------|58809218] D:\VGA_NV_156.72_Vistax32.zip
[01/09/2008 22:40|--a------|65419675] D:\VGA_NV_167.46(0307)(for_NB9MGE)_Vistax32.zip
[16/06/2008 19:02|--a------|23265667] D:\Vista-R195.exe
[02/08/2008 16:33|--a------|25839688] D:\wmp11-windowsxp-x86-FR-FR.exe
[15/09/2008 17:42|--a------|318904] D:\wmpfirefoxplugin(2).exe
[02/08/2008 16:36|--a------|318904] D:\wmpfirefoxplugin.exe
[21/09/2008 00:34|--a------|1271557] D:\wrar371fr.exe
[22/09/2008 10:33|--ah-----|6148] G:\.DS_Store
[22/09/2008 10:32|--ah-----|4096] G:\._.Trashes
[21/04/2010 09:56|--a------|2905114] G:\Afrase 76.pdf
[21/04/2010 09:59|--a------|190557] G:\fwpublicationsfinalesclairei.zip
[22/09/2008 10:33|--ah-----|368] G:\._7.The french automotive industry - Analysis and Statistics - 2008 edition - copie.pdf
[21/04/2010 09:57|--a------|10752] G:\instructions.doc
[21/04/2010 09:44|---------|31381] G:\ASE 2010.JPG
[22/09/2008 10:33|--ah-----|368] G:\._8.Des Mots et des autos - 'dition 2008 .pdf
[21/04/2010 09:46|---------|12491] G:\vingt-ans.JPG
[22/09/2008 10:33|--ah-----|368] G:\._6.Industrie automobile fran#aise - Analyse et Statistiques - 'dition 2008.pdf
[21/04/2010 09:44|---------|80896] G:\Publications finales Claire.doc
[22/09/2008 10:33|--ah-----|368] G:\._5.ITA_MONDIAL 08 - copie.pdf
[21/04/2010 09:44|---------|6156] G:\anthropologie_n2.JPG
[22/09/2008 10:33|--ah-----|368] G:\._4.ESP-MONDIAL 08 - copie.pdf
[21/04/2010 09:44|---------|31193] G:\Atlais minorit's musul.JPG
[22/09/2008 10:33|--ah-----|368] G:\._3.ALL_MONDIAL 08 - copie.pdf
[21/04/2010 09:44|---------|31015] G:\De-Jiao-Cover.GIF
[22/09/2008 10:33|--ah-----|368] G:\._2.ANG_MONDIAL 08.pdf
[21/04/2010 09:44|---------|21747] G:\Ducourtieux.JPG
[22/09/2008 10:33|--ah-----|368] G:\._1.FR_MONDIAL 08.pdf
[21/04/2010 09:44|---------|13877] G:\Ambigous Colonization Brocheux Hemery .JPG
[21/04/2010 09:44|---------|33390] G:\Crick c'ramiques chinoises .JPG
[21/04/2010 10:01|--a------|401642] G:\fwpublicationsfinalesclaireiicouvsuite.zip
[21/04/2010 09:46|---------|32192] G:\Gilquin minorit's musulmanes.JPG
[21/04/2010 09:46|---------|15726] G:\grands_commis.JPG
[21/04/2010 09:46|---------|13623] G:\lechec_de_la_paix.JPG
[21/04/2010 09:46|---------|289660] G:\Pratt Sandokan.JPG
[21/04/2010 09:46|---------|30808] G:\Religion et soci't's Orient Houtard.JPG
[21/04/2010 09:46|---------|18163] G:\Vietnam 1946 Tonnesson.JPG
[21/04/2010 09:46|---------|13804] G:\Voisset pasarmalam_lechant_g.JPG
[21/04/2010 10:02|--a------|187968] G:\fwpublicationsfinalesclaireiii.zip
[21/04/2010 10:03|--a------|62464] G:\IndexRevues-76 final Claire.doc
[21/04/2010 09:47|---------|37888] G:\Les derniSres publications Irasec.doc
[21/04/2010 09:47|---------|38030] G:\catastrophes naturelles.JPG
[21/04/2010 09:47|---------|42574] G:\Education, Thailand.JPG
[21/04/2010 09:47|---------|36625] G:\Islam and Indonesian elections.JPG
[21/04/2010 09:47|---------|29075] G:\monnaie frontiSresl.JPG
[21/04/2010 09:47|---------|33439] G:\Perceptions of borders Thailand.JPG
[23/04/2010 13:11|--a------|4038656] G:\Afrase76-Dossier_HM.indd
[21/04/2010 17:20|--a------|3831024] G:\Afrase76 Hadrien Mercier.pdf
[21/04/2010 14:01|--a------|33280] G:\Actualit's Euroseas.doc
[21/04/2010 14:02|--a------|32121] G:\Hoasenuniversitylogo.png
[21/04/2010 14:19|--a------|53760] G:\Interview Bui Tran Phuong DerniSre version (Enregistr' automatiquement).doc
[23/04/2010 11:26|--a------|45568] G:\Interview_Bui_Tran_Phuong_DerniSre_version_ revue par Phuong.doc
[23/04/2010 13:09|--a------|7316893] G:\Afrase76_Dossier_HM.pdf
[21/04/2009 22:18|---hs----|57] G:\desktop.ini
[28/01/2010 11:06|--a------|40448] I:\Emploi du temps.xls
[19/04/2010 15:50|--a------|598826] I:\Scan permis H.pdf
[03/06/2009 13:37|--a------|4591811] I:\acte naissance.pdf

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-Hadrien.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.110 ! |
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
28 avril 2010 à 20:20
Tu connais tous ces fichiers exécutables qui sont sur le disque local D ?!

**********

Poste un nouveau rapport RSIT stp.
0
Réponse 7 / 13
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
28 avril 2010 à 21:21
1) Affiche les fichiers et dossiers cachés :

Affiche les fichiers et dossiers cachés :
Dans Mes documents, Outils, Options des dossiers, Onglet Affichage, coche Afficher les fichiers et dossiers cachés.

*********

2) Que contiennent ces dossiers ?
C:\RECYCLER(120) (Avec une parenthèse et un chiffre dedans).

*********

3) Comment va le PC ?
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
Modifié par hami11 le 28/04/2010 à 21:43
Même avec les fichiers et dossiers cachés affichés, ces dossier "recycler" ne contiennent rien.
Sinon le pc va bien depuis la suppresion effectué par Malwarebytes
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
28 avril 2010 à 21:49
Supprime-les dossier RECYCLER qui ont une parenthèse et un chiffre !
Ne supprime pas C:\RECYCLER

*********

Lance Hijackthis par clic droit, `Exécuter en tant qu'administrateur`.
Il se situe ici :
C:\Program Files\trend micro\Hadrien.exe


Clique sur "Do a system scan only".
Coche ces lignes : 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"    => Apple®Itunes Helper
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1197474016\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

Clique ensuite sur "Fix checked".
Ferme Hijackthis.

*********

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

Télécharge Toolscleaner sur ton Bureau
= = = =>>> En cliquant ici <<<= = = =
* Clique droit sur ToolsCleaner2.exe et clique sur "Exécuter en tant qu'administrateur" pour le lancer. Laisse le travailler (même s'il est écrit "Ne répond plus").
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse.

*********************

Mets à jour Adobe Acrobat Reader en téléchargeant la version 9 = = = =>>> En cliquant ici <<<= = = =. Il faut le faire car c'est une faille de sécurité de ne pas le tenir à jour.

*********************

Tu peux garder Malwarebytes anti malware en tant qu'anti malware, il est très efficace. (Même s'il ne résout pas tous les problèmes, bien entendu ... !)
Par contre, il n'a pas de scan résident en mode gratuit ! Il faut donc pour l'utiliser le lancer, faire les mises à jour et faire un scan complet après.

*********************

* Télécharge Ccleaner Slim :
= = = = >>> En cliquant ici <<< = = = =

* Installe le.
* Choisis l'onglet Nettoyeur

Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui.
Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant.

* Choisis l'onglet Registre

- Clique sur Chercher des erreurs
- Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça)
- Au message Voulez-vous sauvegarder les changements faits dans le registre, réponds Oui et enregistre le fichier au format « .reg » en le nommant par la date par exemple en le mettant sur le bureau. Puis continue.
- A la fenêtre qui s'ouvre ensuite, clique sur Corriger toutes les erreurs sélectionnées puis OK
- Recommence jusqu'à ce qu'aucune erreur n'apparaisse (ou une seule récurrente).
- Ferme Ccleaner.

* Tutoriel en images ICI si besoin.

Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m'est jamais arrivé ! Il vaut mieux prendre des précautions, c'est tout. ;-)

********

Réactive l'UAC.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
28 avril 2010 à 23:10
Voilà tout est fait!
Merci beaucoup pour ton aide précieuse!
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
28 avril 2010 à 23:11
J'attends les rapports : ne te volatilise pas ;-).
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
29 avril 2010 à 00:21
Ah oui j'avais oublié!

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix.txt: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Users\Hadrien\Documents\Mes fichiers reçus\UsbFix.exe: trouvé !
C:\Users\Hadrien\Documents\Mes fichiers reçus\Rsit.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Users\Hadrien\Documents\Mes fichiers reçus\UsbFix.exe: supprimé !
C:\Users\Hadrien\Documents\Mes fichiers reçus\Rsit.exe: supprimé !
C:\UsbFix: ERREUR DE SUPPRESSION !!
C:\Rsit: supprimé !

Fichiers temporaires nettoyés !
0
Réponse 8 / 13
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
29 avril 2010 à 09:36
Fais ceci stp :

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-Hadrien.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
29 avril 2010 à 10:35
L'opération ne s'effectue pas. Le site affiche que je n'envoie pas le fichier.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
Modifié par crapoulou le 29/04/2010 à 13:10
Tu fais parcourir et tu sélectionnes le fichier au moins ?
"Vous n'avez pas choisi de fichier !"
0
hami11
29 avril 2010 à 14:33
oui oui bien sûr.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
29 avril 2010 à 15:35
Et toujours rien ?.
Quel est le message exact qui t'est envoyé ?
Chez moi ça marche bien...
0
hami11
29 avril 2010 à 17:08
Et bien la page rame et c'est comme s'il ne se passait rien. Au bout d'un moment la page change et affiche qu'il faut mettre un fichier
0
Réponse 9 / 13
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
1 mai 2010 à 16:51
Fais une analyse complète avec Antivir que tu auras préalablement mis à jour stp.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
1 mai 2010 à 17:16
entendu! Merci bien
0
Réponse 10 / 13
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
1 mai 2010 à 20:20
Je poste le rapport Antivir:

Un cheval de Troie a été trouvé dans le système mais n'a pas pu être supprimé. Antivir m'a informé que la menace était faible.

Avira AntiVir Personal
Date de création du fichier de rapport : samedi 1 mai 2010 17:16

La recherche porte sur 2062283 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PC-DE-HADRIEN

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:21:05
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 18:33:54
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 20:45:19
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 19:29:51
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 09:09:35
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 09:09:35
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 09:09:36
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 09:09:36
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 09:09:36
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 09:09:36
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 09:09:37
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 09:09:37
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 09:09:37
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 09:09:20
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 16:27:29
VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 18:23:08
VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 18:29:21
VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 22:58:52
VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 09:29:47
VBASE020.VDF : 7.10.7.3 2048 Bytes 30/04/2010 09:29:47
VBASE021.VDF : 7.10.7.4 2048 Bytes 30/04/2010 09:29:47
VBASE022.VDF : 7.10.7.5 2048 Bytes 30/04/2010 09:29:48
VBASE023.VDF : 7.10.7.6 2048 Bytes 30/04/2010 09:29:48
VBASE024.VDF : 7.10.7.7 2048 Bytes 30/04/2010 09:29:48
VBASE025.VDF : 7.10.7.8 2048 Bytes 30/04/2010 09:29:48
VBASE026.VDF : 7.10.7.9 2048 Bytes 30/04/2010 09:29:48
VBASE027.VDF : 7.10.7.10 2048 Bytes 30/04/2010 09:29:48
VBASE028.VDF : 7.10.7.11 2048 Bytes 30/04/2010 09:29:48
VBASE029.VDF : 7.10.7.12 2048 Bytes 30/04/2010 09:29:48
VBASE030.VDF : 7.10.7.13 2048 Bytes 30/04/2010 09:29:48
VBASE031.VDF : 7.10.7.16 43520 Bytes 30/04/2010 09:29:49
Version du moteur : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 23/04/2010 18:23:12
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23/04/2010 18:23:12
AESCN.DLL : 8.1.5.0 127347 Bytes 25/02/2010 19:14:35
AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 18:23:12
AERDL.DLL : 8.1.4.6 541043 Bytes 17/04/2010 09:09:51
AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 23:09:17
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 20:32:02
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 17/04/2010 09:09:51
AEHELP.DLL : 8.1.11.3 242039 Bytes 01/04/2010 18:37:00
AEGEN.DLL : 8.1.3.7 373106 Bytes 17/04/2010 09:09:48
AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 18:23:11
AECORE.DLL : 8.1.13.1 188790 Bytes 01/04/2010 18:36:55
AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 18:23:11
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 19:03:55
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +PFS,+SPR,

Début de la recherche : samedi 1 mai 2010 17:16

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rnmhcp\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rnmhcp\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rnmhcp\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rnmhcp\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rnmhcp\ttf4p6tj2
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rnmhcp\um3d2dl1y3
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rnmhcp\shva5nx2g
[INFO] L'entrée d'enregistrement n'est pas visible.
'125630' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtkBtMnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApMsgFwd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Mise-a-jour-LiveSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Acer.Empowering.Framework.Supervisor.ex' - '1' module(s) sont contrôlés
Processus de recherche 'ePower_DMC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eNMTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Notification-LiveSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'uTorrent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'daemon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CardDetector.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'aolsoftware.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eAudio.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAAnotif.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PMVService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ePowerSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'capuserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRecoveryService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wanmpsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrB.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MobilityService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAANTmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eNet Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eLockServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BR040286.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AOLacsd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALaunchSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSLoader.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'93' processus ont été contrôlés avec '93' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '58' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <ACER>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Windows\System32\drivers\rnmhcp.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Windows\System32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <DATA>

Début de la désinfection :
C:\Windows\System32\drivers\rnmhcp.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK


Fin de la recherche : samedi 1 mai 2010 20:16
Temps nécessaire: 2:31:08 Heure(s)

La recherche a été effectuée intégralement

28244 Les répertoires ont été contrôlés
733013 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
4 Impossible de contrôler des fichiers
733008 Fichiers non infectés
9544 Les archives ont été contrôlées
4 Avertissements
3 Consignes
125630 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
1 mai 2010 à 21:27
J'ai fait un scan rapide avec Malwarebytes qui a supprimé deux fichiers infectés dont celui détecté par Antivir.
0
Réponse 11 / 13
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
1 mai 2010 à 21:28
Télécharge Combofix :
= = = = >>> En cliquant ici <<< = = = =

* On va enregistrer ce fichier sur le Bureau : pour cela, sur le panneau de gauche, clique sur le Bureau.
* Clique enfin sur le bouton Enregistrer en bas de page à droite.
* Assure toi que tous les programmes sont fermés avant de lancer le fix ! Ne lance pas le fix tout de suite !
* Fais un clic droit sur combofix.exe et sélectionne "Exécuter en mode administrateur".
* Clique sur Oui au message de Limitation de Garantie qui s'affiche.
* Il est possible que ton pare-feu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure : accepte !
Note :
Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
* Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
* Note : Le rapport se trouve également là : C:\ComboFix.txt
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
1 mai 2010 à 23:43
ComboFix 10-05-01.01 - Hadrien 01/05/2010 23:14:52.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2045.1263 [GMT 2:00]
Lancé depuis: c:\users\Hadrien\Desktop\ComboFix.exe
AV: Norton Internet Security *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
SP: Avira AntiVir PersonalEdition *enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Norton Internet Security *enabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1792653465-392304458-2896977966-500
c:\drv\Tuner\Yuan\Resources\_desktop.ini
c:\windows\system32\jgaw400.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-01 au 2010-05-01 ))))))))))))))))))))))))))))))))))))
.

2010-05-01 21:32 . 2010-05-01 21:33 -------- d-----w- c:\users\Hadrien\AppData\Local\temp
2010-05-01 21:32 . 2010-05-01 21:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-04-28 20:34 . 2010-04-28 20:35 -------- d-----w- c:\program files\Common Files\Adobe(20)
2010-04-28 20:34 . 2010-04-28 20:34 -------- d-----w- c:\program files\Adobe(4)
2010-04-28 20:21 . 2010-04-28 20:21 -------- d-----w- c:\users\Hadrien\Recent(70)
2010-04-28 18:02 . 2010-04-28 21:32 -------- d-----w- c:\programdata\TrackMania
2010-04-28 17:27 . 2010-04-28 17:27 23379298 ----a-w- C:\UsbFix_Upload_Me_PC-de-Hadrien.zip
2010-04-27 23:29 . 2010-04-27 23:29 -------- d-----w- c:\program files\iPod(32)
2010-04-27 23:29 . 2010-04-27 23:30 -------- d-----w- c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-04-27 23:23 . 2010-04-27 23:24 -------- d-----w- c:\program files\QuickTime(41)
2010-04-27 23:18 . 2010-05-01 19:24 -------- d-----w- c:\users\Hadrien\{248952e6-a7b2-4f05-ac37-a8018eef86e4}
2010-04-27 23:17 . 2010-04-27 23:17 -------- d-----w- c:\program files\Bonjour
2010-04-27 23:16 . 2010-04-27 23:16 -------- d-----w- c:\users\Hadrien\AppData\Roaming\Malwarebytes
2010-04-27 23:16 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-27 23:16 . 2010-04-27 23:16 -------- d-----w- c:\programdata\Malwarebytes
2010-04-27 23:16 . 2010-04-27 23:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-27 23:16 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-26 20:46 . 2010-04-28 20:21 -------- d-----w- C:\UsbFix
2010-04-26 18:16 . 2010-04-30 17:13 -------- d-----w- c:\program files\trend micro
2010-04-24 17:56 . 2010-04-25 09:41 -------- d-----w- c:\program files\Panda Security
2010-04-22 11:01 . 2010-04-22 17:54 -------- d-----w- c:\program files\a-squared Anti-Malware
2010-04-21 20:51 . 2010-04-26 16:11 -------- d-----w- c:\users\Hadrien\AppData\Roaming\QuickScan
2010-04-14 19:10 . 2010-02-23 11:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-14 19:10 . 2010-02-23 11:10 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-14 19:10 . 2010-02-23 11:10 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-14 19:10 . 2010-02-18 14:07 3600776 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-04-14 19:10 . 2010-02-18 14:07 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-04-14 19:10 . 2010-03-04 17:33 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-04-14 19:10 . 2010-02-18 14:07 904576 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-04-14 19:10 . 2010-02-18 13:30 200704 ----a-w- c:\windows\system32\iphlpsvc.dll
2010-04-14 19:10 . 2010-02-18 11:28 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
2010-04-14 14:41 . 2009-12-23 11:33 172032 ----a-w- c:\windows\system32\wintrust.dll
2010-04-14 14:41 . 2010-01-13 17:34 98304 ----a-w- c:\windows\system32\cabview.dll
2010-04-12 19:07 . 2007-10-30 16:31 28224 ----a-w- c:\windows\system32\drivers\PCAMp50.sys
2010-04-12 19:07 . 2007-10-30 16:31 27072 ----a-w- c:\windows\system32\drivers\PCASp50.sys
2010-04-12 19:06 . 2010-04-28 21:15 -------- d-----w- c:\program files\OrangeBS
2010-04-12 19:04 . 2010-04-12 19:04 -------- d-----w- c:\program files\Common Files\France Telecom
2010-04-12 19:02 . 2007-08-08 19:07 101504 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2010-04-12 19:00 . 2010-04-12 19:00 -------- d-----w- c:\program files\CardDetector
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-04-07 19:37 . 2010-04-07 19:37 -------- d-----w- c:\users\Hadrien\AppData\Roaming\Template

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-01 21:09 . 2008-09-19 18:51 -------- d-----w- c:\users\Hadrien\AppData\Roaming\uTorrent
2010-05-01 20:24 . 2008-04-01 20:53 -------- d-----w- c:\users\Hadrien\AppData\Roaming\Skype
2010-05-01 19:24 . 2009-12-22 21:32 -------- d-----w- c:\program files\QuickTime
2010-05-01 19:24 . 2008-04-06 10:13 -------- d-----w- c:\program files\SystemRequirementsLab
2010-05-01 19:24 . 2007-08-10 08:01 -------- d-----w- c:\program files\Common Files\Oberon Media
2010-05-01 19:23 . 2009-12-22 21:28 -------- d-----w- c:\program files\Common Files\Apple
2010-05-01 19:19 . 2010-03-14 16:33 53021 ----a-w- c:\programdata\nvModes.dat
2010-05-01 19:18 . 2010-02-26 11:34 -------- d-----w- c:\users\Hadrien\AppData\Roaming\InstallShield Installation Information
2010-05-01 19:11 . 2010-02-04 15:28 -------- d-----w- c:\program files\iPod
2010-05-01 19:11 . 2008-03-03 18:00 -------- d-----w- c:\program files\Common Files\Adobe
2010-05-01 18:15 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-01 18:15 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-01 14:09 . 2008-04-01 20:54 -------- d-----w- c:\users\Hadrien\AppData\Roaming\skypePM
2010-04-30 20:31 . 2008-04-06 10:13 -------- d-----w- c:\users\Hadrien\AppData\Roaming\SystemRequirementsLab
2010-04-28 21:25 . 2007-08-10 06:31 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-28 21:24 . 2008-06-12 10:00 -------- d-----w- c:\programdata\Codemasters
2010-04-28 21:15 . 2007-08-10 08:01 -------- d-----w- c:\program files\Acer GameZone
2010-04-28 05:03 . 2010-02-06 09:08 -------- d-----w- c:\program files\uTorrent
2010-04-23 20:41 . 2008-01-20 15:22 1356 ----a-w- c:\users\Hadrien\AppData\Local\d3d9caps.dat
2010-04-16 09:05 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-04-15 00:08 . 2007-08-10 07:53 -------- d-----w- c:\programdata\Microsoft Help
2010-04-14 15:42 . 2010-04-07 19:37 140 ----a-w- c:\users\Hadrien\AppData\Roaming\wklnhst.dat
2010-04-11 08:59 . 2009-06-08 17:56 22528 ----a-w- c:\windows\system32\drivers\nhcDriver.sys
2010-04-11 08:42 . 2008-02-17 12:08 -------- d-----w- c:\program files\Common Files\Java
2010-04-11 08:36 . 2008-02-17 12:08 -------- d-----w- c:\program files\Java
2010-03-14 16:33 . 2007-09-18 12:17 -------- d-----w- c:\programdata\NVIDIA
2010-03-14 16:29 . 2010-03-14 16:28 -------- d-----w- c:\program files\NVIDIA Corporation
2010-03-13 22:19 . 2010-02-13 17:31 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-03-09 16:25 . 2010-03-31 18:35 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 15:42 . 2010-03-31 18:35 834048 ----a-w- c:\windows\system32\wininet.dll
2010-03-09 02:28 . 2008-12-20 09:41 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-06 08:41 . 2010-03-06 08:40 -------- d-----w- c:\program files\Microsoft Games for Windows - LIVE
2010-03-06 03:19 . 2009-01-16 21:48 -------- d-----w- c:\programdata\DriverCure
2010-02-26 11:34 . 2010-02-26 11:34 2033404 ----a-w- c:\users\Hadrien\AppData\Roaming\InstallShield Installation Information\{F57A7C3E-AA0D-4F1A-B7EC-F7583571A517}\ISSetup.dll
2010-02-26 11:34 . 2010-02-26 11:34 10134 ----a-r- c:\users\Hadrien\AppData\Roaming\Microsoft\Installer\{F57A7C3E-AA0D-4F1A-B7EC-F7583571A517}\ARPPRODUCTICON.exe
2010-02-26 11:32 . 2010-02-26 11:34 337232 ----a-w- c:\users\Hadrien\AppData\Roaming\InstallShield Installation Information\{F57A7C3E-AA0D-4F1A-B7EC-F7583571A517}\setup.exe
2010-02-25 17:32 . 2007-12-09 12:41 70672 ----a-w- c:\users\Hadrien\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-24 08:16 . 2009-10-03 09:35 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-20 23:06 . 2010-03-11 00:12 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-02-20 23:05 . 2010-03-11 00:12 30720 ----a-w- c:\windows\system32\httpapi.dll
2010-02-20 20:53 . 2010-03-11 00:12 411648 ----a-w- c:\windows\system32\drivers\http.sys
2010-02-13 12:21 . 2010-02-13 12:21 88064 ----a-w- c:\users\Hadrien\AppData\Roaming\SystemRequirementsLab\srlproxy_cyri_4.1.62.0A.dll
2010-02-12 10:32 . 2010-02-25 22:18 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-02-04 15:22 . 2010-02-04 15:22 72488 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe
2007-12-13 16:55 . 2007-12-13 16:55 278528 ----a-w- c:\program files\Common Files\FDEUnInstaller.exe
2008-07-16 17:34 . 2008-01-27 22:06 67696 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2008-07-16 17:34 . 2008-01-27 22:06 54376 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2008-07-16 17:34 . 2008-01-27 22:06 34952 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
2008-07-16 17:34 . 2008-01-27 22:06 46720 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
2008-07-16 17:34 . 2008-01-27 22:06 172144 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-02-06 21898024]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-04-27 321328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216]
"BisonInst0402"="c:\windows\BR040286.exe" [2007-05-08 53248]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-06-27 752136]
"PlayMovie"="c:\program files\Acer Arcade Deluxe\Play Movie\PMVService.exe" [2007-05-24 206952]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-06-06 159744]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-05-22 151552]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"eAudio"="c:\acer\Empowering Technology\eAudio\eAudio.exe" [2007-06-11 1286144]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"AOLDialer"="c:\program files\Common Files\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"HostManager"="c:\program files\Common Files\AOL\1197474016\ee\AOLSoftware.exe" [2006-09-26 50736]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"RtHDVCpl"="RtHDVCpl.exe" [2008-09-15 4468736]
"Skytel"="Skytel.exe" [2008-09-15 1826816]
"NotebookHardwareControl"="c:\program files\Notebook Hardware Control\nhc.exe" [2007-05-04 2629632]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"iTunesHelper"="d:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]
"CardDetectorHUAWEI220"="c:\program files\CardDetector\HUAWEI220\CardDetector.exe" [2007-11-14 278528]
"BEWINTERNET-FR-DMESessionManager"="c:\program files\OrangeBS\BEWInternet\SessionManager\SessionManager.exe" [2007-10-30 102400]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-03-29 1086856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

c:\users\Hadrien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Outil de notification Live Search.lnk - c:\users\Hadrien\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe [2008-12-3 143360]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-8-10 535336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\eNetHook.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):bb,0c,37,b9,0d,8a,ca,01

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-09-20 717296]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2007-10-30 28224]
R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys [2006-03-01 217088]
S2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl [2006-11-02 13560]
S2 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [2007-01-26 50688]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2007-06-05 179712]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - rnmhcp

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-03-06 c:\windows\Tasks\DriverCure.job
- d:\program files\ParetoLogic\DriverCure\DriverCure.exe [2009-08-07 19:36]

2010-05-01 c:\windows\Tasks\ParetoLogic Registration.job
- c:\program files\Common Files\ParetoLogic\UUS2\UUS.dll [2009-01-21 05:36]

2010-04-14 c:\windows\Tasks\ParetoLogic Update Version2.job
- c:\program files\Common Files\ParetoLogic\UUS2\Pareto_Update.exe [2009-01-21 05:36]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mStart Page = hxxp://fr.fr.acer.yahoo.com
uInternet Settings,ProxyOverride = local;*.local
IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 4.0\resources\fr-FR\local\search.html
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {50DC58D0-C870-4BE6-BC41-971ED2D5F022} - hxxp://www.super-messenger.fr/tab/HookWlmEx.cab
FF - ProfilePath - c:\users\Hadrien\AppData\Roaming\Mozilla\Firefox\Profiles\ie4rqka7.default\
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: c:\program files\Virtools\3D Life Player\npvirtools.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: d:\program files\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\npornap.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Acer Tour Reminder - (no file)
HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
HKLM-Run-IgfxTray - c:\windows\system32\igfxtray.exe
HKLM-Run-HotKeysCmds - c:\windows\system32\hkcmd.exe
HKLM-Run-Persistence - c:\windows\system32\igfxpers.exe
HKLM-Run-ALaunch - c:\acer\ALaunch\AlaunchClient.exe
HKLM-Run-Acer Tour - (no file)
HKLM-Run-eRecoveryService - (no file)
HKLM-Run-SetPanel - c:\acer\APanel\APanel.cmd
AddRemove-AOL Toolbar - c:\program files\AOL Toolbar\UNWISE.EXE
AddRemove-Eufloria Demo_is1 - d:\program files\Eufloria Demo\unins000.exe
AddRemove-Radio_Fr - d:\program files\Radio Fr Solo\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-01 23:33
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\rnmhcp]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1792653465-392304458-2896977966-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:81,98,6c,d9,6b,64,a9,c2,a1,5e,9c,a2,1a,55,40,18,05,1c,a3,43,30,db,21,
e3,06,4b,42,59,8b,0e,05,f5,cd,85,70,d5,d1,22,58,07,a1,f5,91,cd,51,d2,18,d9,\
"??"=hex:04,cb,d3,15,eb,83,a0,0a,39,59,23,b6,d3,e9,93,47

[HKEY_USERS\S-1-5-21-1792653465-392304458-2896977966-1000\Software\SecuROM\License information*]
"datasecu"=hex:3b,5f,0d,24,6e,3b,5f,d6,6a,46,36,77,98,47,97,33,d4,99,bf,a2,0e,
e3,c6,cb,f1,63,3f,79,d6,be,21,be,40,bd,73,49,88,6e,e0,5a,7e,8b,cd,1b,e2,b0,\
"rkeysecu"=hex:9a,66,e4,34,99,5f,58,ff,0b,d0,f2,ad,c9,7f,6c,e4

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1100)
c:\windows\system32\eNetHook.dll

- - - - - - - > 'lsass.exe'(728)
c:\windows\system32\eNetHook.dll
.
Heure de fin: 2010-05-01 23:39:41
ComboFix-quarantined-files.txt 2010-05-01 21:39

Avant-CF: 38 193 528 832 octets libres
Après-CF: 42 660 536 320 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 069A3DEFDBE3EEEC3E672D7283B64864
0
Réponse 12 / 13
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
1 mai 2010 à 23:55
Tu as des traces d'un ancien antivirus : Norton.

Suis cette procédure pour supprimer toutes les traces de Norton :
= = = =>>> En cliquant ici <<<= = = =
Tu ne fais bien entendu pas l'étape 3 de la réinstallation.


*****************

Tu semble avoir des traces de Panda antivirus aussi !
Désinstalle-le !

*****************

Si tu as bien envoyé le fichier à USBFix, supprime ce fichier :
C:\UsbFix_Upload_Me_PC-de-Hadrien.zip

*****************

/!\ Procédure réservée à hami11. Ne tentez pas de la reproduire si vous avez un problème similaire sous peine de planter votre machine /!\
Télécharge OTM (de Old_Timer) sur ton Bureau.
= = = = >>> En cliquant ici <<< = = = =
Une fois installé sur le bureau, clique droit sur OTM.exe puis `Exécuter en tant qu'administrateur`pour le lancer.
Copie la liste qui se trouve en gras ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :
Paste Instructions for Items to be moved.

:Procedureis:

:reg
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rnmhcp]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\rnmhcp]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rnmhcp]
[-HKEY_LOCAL_MACHINE\System\ControlSet004\Services\rnmhcp]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rnmhcp]

:Commands
[purity]
[emptytemp]
[Reboot]

Clique sur MoveIt! pour lancer la suppression.
Après avoir fait Moveit!, une fenêtre s'affiche :
"The system requires a reboot to finish removing files. Do you want to reboot now ?"
Réponds Yes.
Le résultat apparaîtra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
2 mai 2010 à 00:38
J'ai effectué les trois premières tâches sans souci.
Pr la quatrième, Startup Repair s'est enclenché et a annulé les actions d'OTM.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
2 mai 2010 à 00:39
Essaye de le faire en mode sans échec.
0
hami11 Messages postés 32 Date d'inscription lundi 26 avril 2010 Statut Membre Dernière intervention 3 mai 2010
2 mai 2010 à 10:00
Tu pourrais m'indiquer la marche à suivre stp car j'ai essayé mais mon pc n'a pas vraiment aimé et ne voulait plus redémarrer après.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
2 mai 2010 à 12:02
Regarde ici pour démarrer en mode sans échec :
https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/

Tu n'auras pas Internet et les couleurs différentes, c'est normal !
0
hami11
2 mai 2010 à 23:43
Même pour redémarrer en mode sans échec le pc plante.
Je ne peux quasiment plus l'arreter ou le redémarrer sinon je suis quasi sûr qu'il va planter et il démarre très difficilement. Il y a souvent plusieurs échecs.
0
Réponse 13 / 13
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
3 mai 2010 à 19:28
On va faire autrement.

- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

KillAll::

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rnmhcp]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\rnmhcp]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rnmhcp]
[-HKEY_LOCAL_MACHINE\System\ControlSet004\Services\rnmhcp]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rnmhcp]

- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image ICI

(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).
0

Discussions similaires

Adobe Reader X - documents inaccessibles
expletif -
expletif -

5 réponses
Problème de clavier, des fenêtre s'ouvrent !!
Lyon691D -
tanteelise -

5 réponses
Comment faire que le clapet ne soit plus actif
Joesandro -
Joesandro -

3 réponses
impossible d'ouvrir ces fichiers vos paramètres de sécurité internet
cs_mourad555 -
cs_mourad555 -

1 réponse
Ouverture de session compte gmail.com
Jean-Fanch -
Keneth koffi -

3 réponses