Trojan Drop.Kryptik.EHK

Link19 -  
 Link19 -
Bonjour,

Depuis peu je reçois régulièrement et toujours par deux des alertes de mon antivirus Avira de la sorte : (voir ci-dessous) et ce toujours le même dossier, juste le nom de fichier changeant.
Si besoin est je peux vous envoyez un rapport Hijack..
Merci d'avance!

Virus or unwanted program 'TR/Drop.Kryptik.EHK [trojan]'
detected in file 'C:\Users\(nom)\AppData\Local\Temp\5E20.tmp.
Action performed: Deny access

39 réponses

  • 1
  • 2
Résumé de la discussion

Les alertes répétées d'Avira signalent le cheval de Troie 'TR/Drop.Kryptik.EHK' dans un fichier temporaire situé dans le dossier AppData, avec des noms de fichiers différents mais le même chemin sur l'ordinateur.
Plusieurs recommandations préconisent un nettoyage en profondeur avec Malwarebytes en analyse complète, puis la suppression des éléments infectés et le redémarrage si nécessaire, afin d'éliminer les traces laissées par l'infection.
D'autres suggestions incluent des outils comme List_Kill'em, Gmer, ZHPDiag et HijackThis pour dépister les rootkits, les entrées de registre et les modules malveillants, avec des scripts ou rapports à partager pour analyse.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. olivier93612 Messages postés 271 Statut Membre 5
     
    Rapport HiJackThis stp
    0
  2. gen-hackman
     
    salut :

    ▶ Télécharge Dr Web CureIt sur ton Bureau :

    ▶ redemarre en mode sans échec

    ▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

    ▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

    Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

    ▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
    ▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
    ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    ▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
    ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
    ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

    ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

    ensuite :

    tu m'envoies l'archive comme ceci :

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶- Ferme Dr.Web Cureit
    ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

    0
  3. Link19
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:25:27, on 23/05/2010
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18444)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Nero\Nero 7\InCD\InCD.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\P4P\P4P.exe
    C:\Windows\ASScrPro.exe
    C:\Program Files\QuickTime\QTTask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Common Files\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Windows\system32\wuauclt.exe
    C:\Program Files\Java\jre1.6.0_06\bin\jucheck.exe
    C:\Program Files\iTunes\iTunes.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.asus.com/fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
    O1 - Hosts: ::1 localhost
    O2 - BHO: (no name) - {05CA7336-ED8E-45F6-A935-DB79C902E0F7} - C:\Windows\system32\dmdlgs32.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
    O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
    O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [Skytel] Skytel.exe
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [PowerForPhone] "C:\Program Files\P4P\P4P.exe"
    O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
    O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
    O4 - HKCU\..\Run: [RTHDBPL] C:\Users\Bastien\AppData\Local\Temp\552A.tmp
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O20 - AppInit_DLLs: C:\Windows\system32\dmband32.dll
    O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
    O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    0
  4. olivier93612 Messages postés 271 Statut Membre 5
     
    Je pense pas que ce soit ça mais supprime quand même ça :
    O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    rien à voir son probleme est là
    O4 - HKCU\..\Run: [RTHDBPL] C:\Users\Bastien\AppData\Local\Temp\552A.tmp
    ?G3?-?@¢??@?(TM)©®?
    0
  7. Link19
     
    Merci, je vais faire ton truc gen-hackman et effectivement le problème se situe dans le dossier Temp selon Avira mais ce que dit Olivier est peut être utile (pour autre chose bien entendu donc je l'ai supprimer dans le doute).
    0
    1. Link19
       
      ça me redirige également mes recherches google, par exemple en voulant aller sur ma messagerie Orange j'ai ce site là qui apparait :http://www.shopica.com/search.php?q=Orange&txn=3152-DECD364
      0
  8. gen-hackman
     
    il y a des outils specifiques pour supprimer les infections en profondeur ca ne sert à rien de supprimer manuellement
    0
  9. gen-hackman
     
    ok laisse tomber DrWeb


    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :
    ________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
    1. Link19
       
      ça marche, je fais ça de suite (DrWeb venant juste d'être arriver je le vire)
      merci
      0
  10. gen-hackman
     
    oui car drWeb ne supprimera que le fichier et non la clé , plus un autre detail que je viens juste de voir...

    combofix fera du bon boulot

    surtout suis bien les instructions et si tu as un emulateur de disque desactive le
    0
  11. Link19
     
    ComboFix 10-05-22.03 - Bastien 23/05/2010 17:41:07.1.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2046.1290 [GMT 2:00]
    Lancé depuis: c:\users\Bastien\Desktop\Bastien.exe
    SP: AVG Anti-Spyware *disabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
    SP: Avira AntiVir PersonalEdition *enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\users\Bastien\AppData\Roaming\02000000fac76b55924C.manifest
    c:\users\Bastien\AppData\Roaming\02000000fac76b55924O.manifest
    c:\users\Bastien\AppData\Roaming\02000000fac76b55924P.manifest
    c:\users\Bastien\AppData\Roaming\02000000fac76b55924S.manifest
    c:\users\Bastien\AppData\Roaming\Microsoft\HTML Help\hh.dat
    c:\users\Bastien\AppData\Roaming\Mozilla\Firefox\Profiles\gsu5k7j9.default\extensions\{93ea4067-1ad9-4c8f-b747-364df19455b0}
    c:\users\Bastien\AppData\Roaming\Mozilla\Firefox\Profiles\gsu5k7j9.default\extensions\{93ea4067-1ad9-4c8f-b747-364df19455b0}\chrome.manifest
    c:\users\Bastien\AppData\Roaming\Mozilla\Firefox\Profiles\gsu5k7j9.default\extensions\{93ea4067-1ad9-4c8f-b747-364df19455b0}\chrome\xulcache.jar
    c:\users\Bastien\AppData\Roaming\Mozilla\Firefox\Profiles\gsu5k7j9.default\extensions\{93ea4067-1ad9-4c8f-b747-364df19455b0}\defaults\preferences\xulcache.js
    c:\users\Bastien\AppData\Roaming\Mozilla\Firefox\Profiles\gsu5k7j9.default\extensions\{93ea4067-1ad9-4c8f-b747-364df19455b0}\install.rdf
    c:\users\Bastien\AppData\Roaming\SystemProc
    c:\users\Bastien\AppData\Roaming\SystemProc\lsass.exe
    c:\users\Bastien\AppData\Roaming\SystemProc\upd.exe
    c:\windows\system32\DMBAND32.DLL
    c:\windows\system32\DMDLGS32.DLL

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-23 au 2010-05-23 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-23 16:03 . 2010-05-23 16:07 -------- d-----w- c:\users\Bastien\AppData\Local\temp
    2010-05-23 16:03 . 2010-05-23 16:03 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-05-23 15:28 . 2010-05-23 15:28 284672 ----a-w- c:\windows\system32\devenum32.dll
    2010-05-22 12:57 . 2010-05-22 13:58 -------- d-----w- c:\programdata\PopCap Games
    2010-05-19 11:36 . 2010-05-19 11:36 -------- d-----w- c:\windows\system32\EventProviders
    2010-05-11 21:22 . 2010-01-29 16:21 738304 ----a-w- c:\windows\system32\inetcomm.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-23 16:05 . 2007-10-08 18:18 45056 ----a-w- c:\windows\system32\acovcnt.exe
    2010-05-23 16:04 . 2007-04-18 08:33 12 ----a-w- c:\windows\bthservsdp.dat
    2010-05-23 15:35 . 2007-04-18 09:09 681712 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-23 15:35 . 2007-04-18 09:09 128882 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-22 20:56 . 2010-03-20 15:55 -------- d-----w- c:\users\Bastien\AppData\Roaming\vlc
    2010-05-22 16:35 . 2009-05-10 18:00 -------- d-----w- c:\users\Bastien\AppData\Roaming\LimeWire
    2010-05-21 18:00 . 2008-01-16 20:53 -------- d-----w- c:\program files\MSNFix
    2010-05-13 11:24 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-05-13 10:11 . 2007-10-08 16:52 -------- d-----w- c:\programdata\Microsoft Help
    2010-04-19 16:09 . 2008-05-03 11:47 -------- d-----w- c:\program files\Common Files\Adobe
    2010-04-12 15:27 . 2007-10-08 17:41 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-03-30 16:42 . 2006-11-02 12:37 -------- d-----w- c:\program files\Microsoft Games
    2010-03-29 16:35 . 2009-03-30 16:24 -------- d-----w- c:\users\Bastien\AppData\Roaming\DAEMON Tools Lite
    2010-03-29 16:26 . 2009-03-30 16:27 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
    2010-03-29 16:25 . 2009-03-30 16:32 -------- d-----w- c:\programdata\DAEMON Tools Lite
    2010-03-09 16:28 . 2010-03-31 16:19 833024 ----a-w- c:\windows\system32\wininet.dll
    2010-03-09 16:25 . 2010-03-31 16:19 78336 ----a-w- c:\windows\system32\ieencode.dll
    2010-03-09 14:01 . 2010-03-31 16:19 26624 ----a-w- c:\windows\system32\ieUnatt.exe
    2010-03-04 18:54 . 2010-04-15 17:16 430080 ----a-w- c:\windows\system32\vbscript.dll
    2010-02-28 14:48 . 2007-12-12 14:53 105848 ----a-w- c:\users\Bastien\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-02-24 01:37 . 2010-02-24 01:37 1955624 ----a-w- c:\users\Bastien\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
    2010-02-23 11:32 . 2010-04-15 17:16 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
    2010-02-23 11:32 . 2010-04-15 17:16 78848 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
    2010-02-23 11:32 . 2010-04-15 17:16 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05CA7336-ED8E-45F6-A935-DB79C902E0F7}]
    2010-05-23 15:28 284672 ----a-w- c:\windows\System32\devenum32.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
    @="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
    [HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
    2007-06-02 00:08 143360 ----a-w- c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
    "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-26 161328]
    "InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-03-26 1057328]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
    "Skytel"="Skytel.exe" [2007-06-15 1826816]
    "JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-01 857648]
    "PowerForPhone"="c:\program files\P4P\P4P.exe" [2007-08-03 778240]
    "ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2007-10-08 33136]
    "ASUS Camera ScreenSaver"="c:\windows\ASScrProlog.exe" [2007-10-08 37232]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2004-12-17 278528]
    "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
    "Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]
    "!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-02 40368]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-327584761-1432533102-1209779725-1000]
    "EnableNotificationsRef"=dword:00000003

    R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [x]
    S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-03-29 691696]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    bthsvcs REG_MULTI_SZ BthServ
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-23 c:\windows\Tasks\User_Feed_Synchronization-{3D17D377-582C-4312-BA94-9F26F9C0F501}.job
    - c:\windows\system32\msfeedssync.exe [2008-06-24 07:33]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    FF - ProfilePath - c:\users\Bastien\AppData\Roaming\Mozilla\Firefox\Profiles\gsu5k7j9.default\
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    URLSearchHooks-{ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
    Toolbar-{ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
    WebBrowser-{ECDEE021-0D17-467F-A1FF-C7A115230949} - (no file)
    SafeBoot-AVG Anti-Spyware Driver
    AddRemove-free-downloads.net Toolbar - c:\progra~1\FREE-D~1.NET\UNWISE.EXE

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-23 18:07
    Windows 6.0.6001 Service Pack 1 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    C:\ADSM_PData_0150

    Scan terminé avec succès
    Fichiers cachés: 1

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys spah.sys >>UNKNOWN [0x851D1938]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0x887a8322
    \Driver\ACPI -> acpi.sys @ 0x807bdd4c
    \Driver\atapi -> 0x8521b1f8
    \Driver\iaStor -> iaStor.sys @ 0x826b4d80
    IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !
    user & kernel MBR OK

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'Explorer.exe'(2836)
    c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt.dll
    c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
    c:\program files\ATK Hotkey\ASLDRSrv.exe
    c:\program files\ATKGFNEX\GFNEXSrv.exe
    c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    c:\program files\Nero\Nero 7\InCD\InCDsrv.exe
    c:\program files\Common Files\LightScribe\LSSrvc.exe
    c:\windows\system32\PnkBstrA.exe
    c:\program files\ASUS\NB Probe\SPM\spmgr.exe
    c:\windows\system32\conime.exe
    c:\program files\ATK Hotkey\Hcontrol.exe
    c:\program files\ATKOSD2\ATKOSD2.exe
    c:\program files\ASUS\Splendid\ACMON.exe
    c:\program files\P4G\BatteryLife.exe
    c:\windows\System32\ACEngSvr.exe
    c:\windows\RtHDVCpl.exe
    c:\program files\Windows Media Player\wmpnscfg.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
    c:\program files\iPod\bin\iPodService.exe
    c:\program files\Common Files\Teleca Shared\Generic.exe
    c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    c:\windows\servicing\TrustedInstaller.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-05-23 18:16:45 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-05-23 16:16

    Avant-CF: 7 195 275 264 octets libres
    Après-CF: 15 094 304 768 octets libres

    - - End Of File - - 8B6CCB51ECC832862E11617D330DE7D8
    0
  12. gen-hackman
     
    ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    * - Coche Afficher les fichiers et dossiers cachés
    * - Décoche Masquer les extensions des fichiers dont le type est connu
    * - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

    ▶ clique sur Appliquer, puis OK.

    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

    c:\windows\system32\devenum32.dll

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

    Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
    0
  13. Link19
     
    Désolé pour le retard ... Voici le résultat :

    Fichier devenum32.dll reçu le 2010.05.23 18:51:23 (UTC)
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.50 2010.05.10 -
    AhnLab-V3 2010.05.23.00 2010.05.22 Spyware/Win32.BHO
    AntiVir 8.2.1.242 2010.05.23 TR/Kryptik.ehk.1
    Antiy-AVL 2.0.3.7 2010.05.21 -
    Authentium 5.2.0.5 2010.05.23 -
    Avast 4.8.1351.0 2010.05.23 Win32:Dracur
    Avast5 5.0.332.0 2010.05.23 Win32:Dracur
    AVG 9.0.0.787 2010.05.23 Cryptic.PX
    BitDefender 7.2 2010.05.23 -
    CAT-QuickHeal 10.00 2010.05.21 -
    ClamAV 0.96.0.3-git 2010.05.22 -
    Comodo 4920 2010.05.23 -
    DrWeb 5.0.2.03300 2010.05.23 Trojan.Searcher.102
    eSafe 7.0.17.0 2010.05.23 -
    eTrust-Vet None 2010.05.21 -
    F-Prot 4.6.0.103 2010.05.23 -
    F-Secure 9.0.15370.0 2010.05.23 Trojan-Downloader:W32/Tracur.A
    Fortinet 4.1.133.0 2010.05.23 W32/Tracur!tr
    GData 21 2010.05.23 Win32:Dracur
    Ikarus T3.1.1.84.0 2010.05.23 Trojan-Downloader.Win32.Tracur
    Jiangmin 13.0.900 2010.05.22 -
    Kaspersky 7.0.0.125 2010.05.23 Trojan-Spy.Win32.BHO.it
    McAfee 5.400.0.1158 2010.05.23 Generic.dx!sti
    McAfee-GW-Edition 2010.1 2010.05.23 Heuristic.LooksLike.Trojan.Dldr.Tracur.I
    Microsoft 1.5802 2010.05.23 TrojanDownloader:Win32/Tracur.J
    NOD32 5139 2010.05.23 a variant of Win32/Kryptik.EHK
    Norman 6.04.12 2010.05.23 -
    nProtect 2010-05-23.01 2010.05.23 -
    Panda 10.0.2.7 2010.05.23 Generic Malware
    PCTools 7.0.3.5 2010.05.23 -
    Prevx 3.0 2010.05.23 High Risk Cloaked Malware
    Rising 22.48.06.04 2010.05.23 -
    Sophos 4.53.0 2010.05.23 Troj/Tracur-Gen
    Sunbelt 6343 2010.05.23 Trojan.Win32.Generic!BT
    Symantec 20101.1.0.89 2010.05.23 -
    TheHacker 6.5.2.0.285 2010.05.23 -
    TrendMicro 9.120.0.1004 2010.05.23 -
    TrendMicro-HouseCall 9.120.0.1004 2010.05.23 -
    VBA32 3.12.12.5 2010.05.22 -
    ViRobot 2010.5.20.2326 2010.05.23 -
    VirusBuster 5.0.27.0 2010.05.23 -
    Information additionnelle
    File size: 284672 bytes
    MD5...: ac3dab835a6db11d31945ee142a7c550
    SHA1..: 67eb94f1e7a64c11fee4e66152ddf6534094ca63
    SHA256: 1db9ac51ae58b24b64655011808b180bbd606d10b0893d4f7cabbfcfac92bd33
    ssdeep: 6144:BFYbpop1BlS9erUhEXJkPZZa5oT0shWyhiuiV:R1Bw9erSc2imVIqiui<br>
    PEiD..: -
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x3e09e<br>timedatestamp.....: 0x4995a206 (Fri Feb 13 16:38:30 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x3d11c 0x3d200 6.95 e710bd499f41abd333e733edc539471a<br>DATA 0x3f000 0x2cf65 0x600 3.93 e8bb7da3952f67d34c0ecca7079f8795<br>BSS 0x6c000 0xecd 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x6d000 0x700 0x800 4.07 04ebf579facf61630f3f9a895bf8a673<br>.reloc 0x6e000 0x319e 0x3200 6.75 d2f243a10ce49a6c9bef6c174c0f30ee<br>.rsrc 0x72000 0x5000 0x4200 3.99 5c6b43fd3347e09711890287a16a405a<br><br>( 8 imports ) <br>> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, WideCharToMultiByte, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<br>> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA<br>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>> oleaut32.dll: SysFreeString<br>> kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc<br>> kernel32.dll: WriteFile, VirtualQuery, GetVersionExA, GetThreadLocale, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetDiskFreeSpaceA, GetCPInfo, GetACP, EnumCalendarInfoA, CreateFileA<br>> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA<br>> dsound.dll: DirectSoundCreate<br><br>( 0 exports ) <br>
    RDS...: NSRL Reference Data Set<br>-
    pdfid.: -
    trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
    <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=77040B6C009DC323584D04CBA85C0200B0BE1039' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=77040B6C009DC323584D04CBA85C0200B0BE1039</a&gt
    0
  14. Link19
     
    Je suppose que c'est fini, dans ce cas merci d'avoir pris le temps de m'aider, en te souhaitant une bonne continuation, pour tout.. Encore merci!
    0
    1. Link19
       
      Sujet à supprimer ou mettre en résolu
      0
  15. gen-hackman
     
    heu tu as reussi a le supprimer le fichier ? ce n'est pas fini :

    Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge :

    Malwarebytes

    ou :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    ▶ Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
    1. Link19
       
      Ok mais je mais je le ferais tout à l'heure, après avoir dormir car je suppose que ça va prendre un peu de temps
      0
  16. gen-hackman
     
    oui une heure et quelque suivant l'espace occupé
    0
  17. Link19
     
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4134

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    24/05/2010 13:18:57
    mbam-log-2010-05-24 (13-18-57).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 259579
    Temps écoulé: 1 heure(s), 21 minute(s), 15 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 4
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05ca7336-ed8e-45f6-a935-db79c902e0f7} (Trojan.BHO.H) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{05ca7336-ed8e-45f6-a935-db79c902e0f7} (Trojan.BHO.H) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{05ca7336-ed8e-45f6-a935-db79c902e0f7} (Trojan.Tracur) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\.fsharproj (Trojan.Tracur) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\System32\devenum32.dll (Trojan.BHO.H) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Users\Bastien\AppData\Roaming\SystemProc\lsass.exe.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dmband32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Windows\System32\dmdlgs32.dll.vir (Trojan.Tracur) -> Quarantined and deleted successfully.
    0
  18. gen-hackman
     
    ▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

    Desactive toutes tes protections le temps du scan de gMer

    Pour XP => double clique sur gmer.exe
    Pour Vista et 7 => clique droit "executer en tant que...."

    ▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

    ▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

    Ensuite

    ▶ sur les lignes rouge:

    ▶ Services:cliques droit delete service
    ▶ Process:cliques droit kill process
    ▶ Adl ,file:cliques droit delete files
    0
  19. Link19
     
    Après plusieurs essais ça marche bien puis plus rien ne répond, le dernier étant sur /fatCD quelque chose de ce genre mais aucune ligne rouge n'est jamais apparue...
    Je retente ou bien?
    0
  • 1
  • 2