Virus impossible à enlever Résolu

Question

Bonjour à tous, 

je vous contacte aujourd'hui car j'ai quelques difficultés à supprimer un virus.

J'ai fait un nettoyage avec CCleaner, une correction des erreurs.

J'ai lancé HijackThis, voici le rapport :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:00:03, on 31/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcAppFlt.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
TrayFw.exe
F:\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\FREEDO~1\FDM.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - F:\Adobe/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IEpbrowserrecordplugin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - F:\Adobe/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
TrayFw.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "F:\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "F:\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\Nuance\NaturallySpeaking9\Ereg.ini
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HD Writer AE 1.0.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: winimq32 - winimq32.dll (file missing)
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

Smart91 · Answer

Bonjour,

On va faire une analyse plus poussée:

Télécharge ZHPDiag sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

cara · Answer

Merci pour la rapidité de la réponse. Je suis un peu en retard mais voici le lien 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijvzumymL.txt

Smart91 · Answer

Hé bien dis-donc. Ton PC est sacrément infecté. Mais on va s'en occuper

Tout d'abord il faudrait que tu fasses de la place sur ton disque C:
Il faudrait que tu aies au minimum 13 GO de libre

Ensuite:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
MBRFix
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified

----------------------------------------------------------

- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Ensuite:

- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
- Clique sur [gras>TÉLÉCHARGER</gras> et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Smart;

PS: Cela te fait deux rapports à poster
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

cara · Answer

rapport zhp :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijZBrt6e5.txt


rapport AD-R :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijUjnqPif.txt

Smart91 · Answer

1. Le rapport ZHP n'est pas le bon. Il se trouve dans le répertoire de ZHPDiag et se nomme ZHPFix.txt (document texte)

2. le rapport AD-R est incomplet. Peux le reposter directement dans ta réponse en faisant un copié/collé

Smart

cara · Answer

Ok je vais corriger ça.

Pour AD-R, ça a provoqué un reboot, ce qui explique sans doute le fait qu'il soit incomplet. J'ai pensé sur le coup que c'était normal.

cara · Answer

Voici le rapport ZHP :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijik1tvYJ.txt

Smart91 · Answer

C'est bon pour le rapport ZHPFix. Pour ADR, il n'ya pas de reboot normalement

Essaie de voir si le rapport se trouve à la racine du disque c: ==>
C:\Ad-report.log) 


Smart

cara · Answer

Je n'ai rien, je dois aller au travail, je réessaye quand je rentre.

Merci beaucoup pour l'aide et bonne soirée :)

Smart91 · Answer

oK. On attend. de tes nouvelles. Sinon refais AD-R comme je l'ai dit plus haut

Smart

cara · Answer

Voici le rapport AD-R :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijDLo8lFT.txt

le rapport est issu de l'option "Scanner", quand je clique sur Nettoyer, ça reboot mon pc :'(

Smart91 · Answer

On va laisser de côté AD-R pour le moment

- Télécharge sur le bureau Navilog1  
- Si ton antivirus s'affole , le désactiver
- Sous vista et W7 : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur"
- Sous XP : double-clic dessus pour le lancer 
- Tape F 
- Appuie sur une touche jusqu'à arriver aux options 
- Choisir Recherche/Désinfection automatique ( = taper 1 )
- Un rapport : fixnavi.txt  dans ==> C : 
- Copier  ce rapport et colle le dans la réponse

Smart

cara · Answer

Bonjour,

Voici le rapport de Navilog1 :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijnyEORwB.txt 

J'ai eu 2 avertissements au redémarrage : Windows a récupéré d'une erreur sérieuse.

cara · Answer

Simplement : Windows à récupéré d'une erreur sérieuse.

Smart91 · Answer

Refais un rapport ZHDiag

Smart

cara · Answer

voilà :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijaRO0tXd.txt

Smart91 · Answer

OK. Y a encore du boulot.

- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart

cara · Answer

L'analyse est lancée, je poste le rapport dès mon retour du travail. Merci encore Smart91.

Smart91 · Answer

OK. A ce soir

Smart

cara · Answer

Me revoici avec le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijcYJuBtd.txt

Smart91 · Answer

Il ya vais encore pas mal d'infection. Mais MBAM n'a rien supprimé.
Relance MBAM et surtout:
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" 
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum (Tu n'espas obligé d'utiliser cijoint car le rapport est court)

Smart

cara · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4160

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

02/06/2010 19:05:37
mbam-log-2010-06-02 (19-05-37).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 383303
Temps écoulé: 7 heure(s), 39 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winimq32 (Trojan.Dialer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Fichier(s) infecté(s):
C:\System Volume Information\_restore{6C326E64-450A-4E2C-A04B-D1B6E13B59C6}\RP472\A0060157.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
E:\CS4\MAZUKi\adobe-master-cs4pre-keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
F:\Incoming\AE7TC-plugins_jdwashere\AE7TC-plugins\Trapcode.Multikeygen.v1.3.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local(2)(2).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local(3)(2).ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.
C:\WINDOWS\system32\winimq32.dll (Trojan.Dialer) -> Quarantined and deleted successfully.

Smart91 · Answer

Tu n'as pas coché tous les élémenst infectieux et cliquer sur supprimer comme je l'avais dit.
Relance MBAM:
Lance une analyse complète en cliquant sur "Exécuter un examen complet" 
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen" 
- L'analyse peut durer un bon moment..... 
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats" 
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" 
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

Smart

cara · Answer

Tout était coché et j'ai bien cliqué sur supprimer, je vais relancer le processus tout de suite.
Merci :)

Smart91 · Answer

Désolé. Comme je réponds à plusieurs en même temps je peux m'être trompé
Laisse tomber le nouveau scan.
Relance MBAM, vide la quarantaine et redémarre ton PC.

Ensuite tu refais un rapport ZHPDiag

Smart

cara · Answer

Voici tout de meme le résultat du rapport mbam :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4160

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

03/06/2010 11:51:22
mbam-log-2010-06-03 (11-51-22).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 382945
Temps écoulé: 12 heure(s), 30 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

cara · Answer

et le lien pour le rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201006/cij8P3ELL4.txt

Smart91 · Answer

Il faut faire attention sur les sites que tu visites quand tu surfes sur Internet. Surtout pendant la désinfection. Tu as de nouvelles infections qui n'étaient pas présentes dans les rapports précedent.
Il faut que l'on recommence

- Télécharge The Avenger par Swandog46 sur ton Bureau: 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

- Click sur Avenger.zip pour ouvrir le fichier 
- Extraire avenger.exe sur ton bureau 
- Lance The Avenger en cliquant sur son icône du bureau. 
- Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 


--------------------------------------------------------------------------------------

Drivers to disable: 
uacflt.sys

Drivers to delete: 
uacflt.sys

Files to delete: 
C:\WINDOWS\system32\drivers\uacflt.sys 

-------------------------------------------------------------------------------------


- Colle ce texte (Ctrl+V) dans le cadre :Input script here 
-  Appuie sur Execute 
- Le PC va redémarrer 
- Colle le rapport qui va apparaître dans ta réponse

Ensuite

- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ 
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer. 
- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 

---------------------------------------------------------------------------------
:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"{E2A691E4-AA43-6AA6-35E4-4687EFD610BF}"=-

:files
c:\documents and settings\caracal\application data\ynuvw\ziki.exe
c:\windows\system32\ssprs.dll
c:\windows\surcode.ini
c:\windows\system32\lsprst7.dll

:commands
[purity] 
[emptytemp] 
[Reboot] 

----------------------------------------------------------------------------------



- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved. 

- Clique maintenant sur le bouton MoveIt! 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log


Cela fait deux rapports à poster

Smart

cara · Answer

Avenger :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "uacflt.sys"
Disablement of driver "uacflt.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\uacflt.sys" not found!
Deletion of driver "uacflt.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\drivers\uacflt.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

cara · Answer

Avec OTM le pc redémarre sur la page bleue (mémoire physique) et je dois rebooter le pc.

Smart91 · Answer

Mais est-ce que OTM s'est lancé et as-tu un rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Si ce n'est pas le cas on va faire autrement 
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes et place les dans ZHPFix : 

---------------------------------------------------------- 
O4 - HKCU\..\Run: [{E2A691E4-AA43-6AA6-35E4-4687EFD610BF}] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Caracal\Application Data\Ynuvw\ziki.exe 
[HKCU\Software\Live-Player] 
[HKLM\Software\Live-Player] 
O44 - LFC:[MD5.9AF2927788ADFF3A70AFA2F1B9EB5FC1] - 27/05/2010 - 10:06:38 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\lsprst7.tgz   [219] 
O44 - LFC:[MD5.144F47D8B1212E66FD359039CFC6932B] - 27/05/2010 - 10:06:38 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ssprs.tgz   [87] 
O44 - LFC:[MD5.4AA1108231E158A00AFBDE5C719E54EE] - 27/05/2010 - 02:21:06 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ssprs.dll   [73] 
O44 - LFC:[MD5.7F53B91F1E1765F9C5C50F40B2CBF792] - 27/05/2010 - 02:21:05 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\SurCode.INI   [21] 
O44 - LFC:[MD5.991FDBA1853C2547E682E5F7AA5AA140] - 27/05/2010 - 02:21:05 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\lsprst7.dll   [205] 

---------------------------------------------------------- 

-  Clique sur « Tous », puis sur « Nettoyer » 
-  Copie/colle la totalité du rapport dans ta prochaine réponse 

Smart 

"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

cara · Answer

OTM se lance correctement, je n'ai aucun fichier, seulement la page bleue qui indique que la mémoire physique a été vidée.

ZHPFix :

ZHPFix v1.12.3102  by Nicolas Coolman - Rapport de suppression du 03/06/2010 21:19:58
Fichier d'export Registre : C:\ZHPExportRegistry-03-06-2010-21-19-58.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
HKCU\Software\Live-Player  => Clé supprimée avec succès
HKLM\Software\Live-Player  => Clé supprimée avec succès

Valeur du Registre :
O4 - HKCU\..\Run: [{E2A691E4-AA43-6AA6-35E4-4687EFD610BF}] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Caracal\Application Data\Ynuvw\ziki.exe  => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
c:\documents and settings\caracal\application data\ynuvw\ziki.exe  => Supprimé et mis en quarantaine
c:\windows\system32\lsprst7.tgz  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\lsprst7.dll (Trojan.Vundo)   => Supprimé et mis en quarantaine
c:\windows\system32\ssprs.tgz  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\ssprs.dll (Trojan.Vundo)   => Supprimé et mis en quarantaine
c:\windows\system32\ssprs.dll  => Fichier absent
c:\windows\surcode.ini  => Supprimé et mis en quarantaine
c:\windows\system32\lsprst7.dll  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 8
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

Smart91 · Answer

Est-ce que tu peux refaire un ZHPDiag

Smart

cara · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cij92Ii7GB.txt

Smart91 · Answer

Il reste encore qq chose
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes en gras suivantes et place les dans ZHPFix :

----------------------------------------------------------
MBRFix

----------------------------------------------------------

-  Clique sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Ensuite il se peut qu'un emulateur de CD puisse être considéré comme une infection

Peux-tu faire ceci: Utilise Defogger pour les désactiver temporairement :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

Et ensuite tu refais un ZHPDiag.

Cela te fait deux rapports à poster

Smart

cara · Answer

ZHPFix v1.12.3102 by Nicolas Coolman - Rapport de suppression du 03/06/2010 23:49:58 Fichier d'export Registre : Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Contact : nicolascoolman@yahoo.fr Processus mémoire : (Néant) Module mémoire : (Néant) Clé du Registre : (Néant) Valeur du Registre : (Néant) Elément de données du Registre : (Néant) Préférences navigateur : (Néant) Dossier : (Néant) Fichier : (Néant) Logiciel : (Néant) Script Registre : (Néant) Master Boot Record : Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x867671F8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x867d71f8 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection ! Resultat après le fix : Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Autre : (Néant) Récapitulatif : Processus mémoire : 0 Module mémoire : 0 Clé du Registre : 0 Valeur du Registre : 0 Elément de données du Registre : 0 Dossier : 0 Fichier : 0 Logiciel : 0 Master Boot Record : 19 Préférences navigateur : 0 Autre : 0 End of the scan

Smart91 · Answer

Ensuite tu lance defogger plus un ZHpDiag

Smart

cara · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cijAj7L8pa.txt

Smart91 · Answer

Voilà c'est bon. Encore une petite chose et on a terminé
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Smart

cara · Answer

J'ai refait un rapport ZHPDiag mais impossible de le poster avec cijoint (ça marque aucun fichier sélectionné).

Voici le rapport usbfix :

############################## | Usbfix 7.004 | [Suppression]

Utilisateur: Caracal (Administrateur) # CARA [ ]
Mis à jour le 03/06/10 par El Desaparecido / C_XX
Lancé à 01:01:56 | 04/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: Avira AntiVir PersonalEdition Classic 8.0.1.30 [Enabled | Updated]
Firewall: NVIDIA Firewall 1.0 [Enabled]

RAM -> 1022 Mo 
C:\ (%systemdrive%) -> Disque fixe # 39 Go (17 Go libre(s) - 45%) [] # NTFS
D:\ -> Disque fixe # 49 Go (10 Go libre(s) - 21%) [] # NTFS
E:\ -> Disque fixe # 37 Go (6 Go libre(s) - 17%) [Docs] # NTFS
F:\ -> Disque fixe # 184 Go (7 Go libre(s) - 4%) [Dl] # NTFS
G:\ -> CD-ROM
H:\ -> CD-ROM
K:\ -> Disque fixe # 931 Go (537 Go libre(s) - 58%) [VERBATIM] # FAT32

cara · Answer

############################## | Usbfix 7.004 | [Recherche]

Utilisateur: Caracal (Administrateur) # CARA [ ]
Mis à jour le 03/06/10 par El Desaparecido / C_XX
Lancé à 02:01:04 | 04/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: Avira AntiVir PersonalEdition Classic 8.0.1.30 [Enabled | Updated]
Firewall: NVIDIA Firewall 1.0 [Enabled]

RAM -> 1022 Mo 
C:\ (%systemdrive%) -> Disque fixe # 39 Go (17 Go libre(s) - 45%) [] # NTFS
D:\ -> Disque fixe # 49 Go (10 Go libre(s) - 21%) [] # NTFS
E:\ -> Disque fixe # 37 Go (6 Go libre(s) - 17%) [Docs] # NTFS
F:\ -> Disque fixe # 184 Go (7 Go libre(s) - 4%) [Dl] # NTFS
G:\ -> CD-ROM
H:\ -> CD-ROM
K:\ -> Disque fixe # 931 Go (537 Go libre(s) - 58%) [VERBATIM] # FAT32

################## | Éléments infectieux |

Présent! C:\Recycler\S-1-5-21-220523388-606747145-725345543-1003
Présent! D:\Recycler\S-1-5-21-220523388-1482476501-839522115-1003
Présent! D:\Recycler\S-1-5-21-220523388-606747145-725345543-1003
Présent! E:\Recycler\S-1-5-21-220523388-1336601894-839522115-1003
Présent! E:\Recycler\S-1-5-21-220523388-1482476501-839522115-1003
Présent! E:\Recycler\S-1-5-21-220523388-606747145-725345543-1003
Présent! F:\Recycler\S-1-5-21-220523388-1482476501-839522115-1003
Présent! F:\Recycler\S-1-5-21-220523388-606747145-725345543-1003

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{9e1bd250-37d2-11df-b172-00508ddb580e}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL clg joUdIOu.EXE

HKCU\.\.\.\.\Explorer\MountPoints2\{e2bb958e-f911-11dd-9908-806d6172696f}
Shell\AutoRun\Command = H:\Autorun.exe root.ini


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

cara · Answer

Je tient également à préciser que mon casque audio ne fonctionne plus ... (carte son intégrée, désinstallée et impossible à réinstaller)

cara · Answer

J'ai pu réinstaller mon casque en utilisant un fichier système du dossier reinstallbackup. (uacflt.sys)

Son absence empêchait l'utilisation du casque ... et j'en ai besoin pour travailler. J'espère que ça ne gène pas pour la désinfection ;)

cara · Answer

Que dois je faire pour la suite svp ?

Smart91 · Answer

Je ne comprends pas je t'avais répondu et je ne vois plus ma répons. D'ailleurs on passe du message 45 (permalink) au message 47. Bug du forum sans doute. 

Donc je te disais que tu avais bien de remettre le driver. C'était une erreur de ma part, comme quoi il faut regarder à deux fois. Mais je m'en étais aperçu et je te l'aurai fait installer à la fin 

Pour la suite on va faire le nettoyage et la vaccination: 
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir 
-  Double clique sur le raccourci UsbFix sur ton Bureau 
- Clique sur "Suppression" 
- Laisse travailler l'outil 
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal 
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) 

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution ! 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

cara · Answer

Ok, je refais la même manip que hier soir alors ^^.

PS : Désolé j'étais parti au boulot.

cara · Answer

############################## | Usbfix 7.004 | [Suppression]

Utilisateur: Caracal (Administrateur) # CARA [ ]
Mis à jour le 03/06/10 par El Desaparecido / C_XX
Lancé à 23:05:15 | 04/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: Avira AntiVir PersonalEdition Classic 8.0.1.30 [Enabled | Updated]
Firewall: NVIDIA Firewall 1.0 [Enabled]

RAM -> 1022 Mo 
C:\ (%systemdrive%) -> Disque fixe # 39 Go (17 Go libre(s) - 44%) [] # NTFS
D:\ -> Disque fixe # 49 Go (10 Go libre(s) - 21%) [] # NTFS
E:\ -> Disque fixe # 37 Go (6 Go libre(s) - 17%) [Docs] # NTFS
F:\ -> Disque fixe # 184 Go (7 Go libre(s) - 4%) [Dl] # NTFS
G:\ -> CD-ROM
H:\ -> CD-ROM
K:\ -> Disque fixe # 931 Go (537 Go libre(s) - 58%) [VERBATIM] # FAT32

Smart91 · Answer

Le rapport n'est pas complet car je ne vois pas les suppressions et la vaccination

Smart

cara · Answer

ah, je vais vérifier ça.

cara · Answer

J'ai relancé usbfix je n'ai rien de plus.
Je teste en cliquant sur vaccination ?

Smart91 · Answer

Non aucune raison de de cliquer sur vaccination
Tu n'as qu'un seul rapport à la racine de ton disque C: ?
Sinon est-ce que tu peux refaire un scan ZHPDiag et poster le rapport

Smart

cara · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cijRRVBo6w.txt

Smart91 · Answer

Comment se comporte ton PC est-que tu as toujours des alertes concernant le virus? 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

cara · Answer

Rien depuis mon dernier redémarrage mais sinon j'ai un fichier que je supprime à chaque fois avec Avira, je regarde si je peux trouver le rapport.

cara · Answer

Dans le fichier 'C:\System Volume Information\_restore{6C326E64-450A-4E2C-A04B-D1B6E13B59C6}\RP475\A0063310.exe'
un virus ou un programme indésirable 'TR/Spy.ZBot.ajvw' [trojan] a été détecté.
Action exécutée : Supprimer le fichier

Smart91 · Answer

Ce n'est pas grave c'est un fichier infecté qui se trouve dans un point de restauration

Voilà ce que l'on va faire:

Fais les mises à jour suivantes:

Mise à jour Windows:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

Mise àjour Firefox:
Vers la version 3.6.3 ==> http://www.mozilla-europe.org/fr/firefox/

Mise à jour console java : 

Télécharge JavaRa.zip de Paul McLain et Fred de Vries. 

http://raproducts.org/click/click.php?id=1 

- Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
- Double-clique sur le répertoire JavaRa. 
- Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
- Choisis Français puis clique sur Select. 
- Clique sur Recherche de mises à jour. 
- Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
- Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
- L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
- Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
- Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
- Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

Vérifie la mise d'adobe reader, tu dois être à la version 9

1. Désinstallation des outils

Lance ZHPFix  --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aider 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Normalement tu ne devrais plus avoir d'alerte. Vide quand même la quarantaine de ton antivirus

Voilà si tu as des question n'hésite pas

Smart

cara · Answer

Merci beaucoup pour ton aide.
j'ai reçu un avertissement avant le reset de la restauration système :

Dans le fichier 'C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\ixyh.exe'
un virus ou un programme indésirable 'TR/Spy.ZBot.ajvw' [trojan] a été détecté.
Action exécutée : Supprimer le fichier

Sinon j'ai bien suivi les indications.

Je vais aller faire un peu de défragmentation ^^
Et je note résolu pour le problème, en espérant ne plus avoir de souci.

Smart, tu es super ;)

Smart91 · Answer

Dans le fichier 'C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\ixyh.exe' 
un virus ou un programme indésirable 'TR/Spy.ZBot.ajvw' [trojan] a été détecté. 
Action exécutée : Supprimer le fichier 

Oh je n'aime pas :-(. Tu as eu cette alerte après ou avant la restauration systeme.
As-tu le rapport de ton antivirus (le fichier log)

Smart
---
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

cara · Answer

ah non dsl, je l'ai eu avant le reset de la restauration :p

Ce que j'ai collé est le seul log que j'ai, il s'agit de la protection active. J'ai lancé une analyse complète mais rien pour l'instant.

cara · Answer

Par contre là je viens d'avoir une nouvelle alerte et l'analyse n'est pas terminée

Smart91 · Answer

Qu'est que tu appelle le reset de la restauration ? Est-ce la désactivation de la restauration ou alors est-ce la création d'un point de restauration .

Poste le rapport de ton AV une fois le scan termniné

Smart

cara · Answer

Les alertes étaient avant la désactivation de la restauration (c'est ça que j'appelais reset). voici le rapport : Informations de version : BUILD.DAT : 8.2.0.62 17752 Bytes 23/10/2009 13:16:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 13/02/2009 14:38:28 AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27 LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16 LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27 ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 19:36:21 ANTIVIR1.VDF : 7.10.7.224 11894128 Bytes 02/06/2010 21:41:27 ANTIVIR2.VDF : 7.10.7.242 37280 Bytes 02/06/2010 21:41:34 ANTIVIR3.VDF : 7.10.7.251 73728 Bytes 04/06/2010 21:26:09 Version du moteur: 8.2.2.6 AEVDF.DLL : 8.1.2.0 106868 Bytes 23/04/2010 20:34:09 AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 02/06/2010 21:43:25 AESCN.DLL : 8.1.6.1 127347 Bytes 13/05/2010 09:31:36 AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 20:34:06 AERDL.DLL : 8.1.4.6 541043 Bytes 17/04/2010 10:29:29 AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 18:44:05 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13/05/2010 09:31:34 AEHEUR.DLL : 8.1.1.33 2724214 Bytes 04/06/2010 21:26:15 AEHELP.DLL : 8.1.11.5 242038 Bytes 02/06/2010 21:41:49 AEGEN.DLL : 8.1.3.10 377205 Bytes 02/06/2010 21:41:45 AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 20:34:05 AECORE.DLL : 8.1.15.3 192886 Bytes 13/05/2010 09:31:18 AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 20:34:04 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58 AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 07:01:12 AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16 RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43 Configuration pour la recherche actuelle : Nom de la tâche..................: Contrôle intégral du système Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp Documentation....................: bas Action principale................: interactif Action secondaire................: ignorer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, D:, E:, F:, K:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: arrêt Fichier mode de recherche........: Tous les fichiers Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Heuristique de macrovirus........: marche Heuristique fichier..............: moyen Début de la recherche : samedi 5 juin 2010 13:09 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés Processus de recherche 'realplay.exe' - '1' module(s) sont contrôlés Processus de recherche 'realplay.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'NMIndexingService.exe' - '1' module(s) sont contrôlés Processus de recherche 'nSvcAppFlt.exe' - '1' module(s) sont contrôlés Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'IoctlSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés Processus de recherche 'nSvcLog.exe' - '1' module(s) sont contrôlés Processus de recherche 'nSvcIp.exe' - '1' module(s) sont contrôlés Processus de recherche 'NMSAccessU.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'bgsvcgen.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'NMIndexStoreSvr.exe' - '1' module(s) sont contrôlés Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés Processus de recherche 'issch.exe' - '1' module(s) sont contrôlés Processus de recherche 'acrotray.exe' - '1' module(s) sont contrôlés Processus de recherche 'nTrayFw.exe' - '1' module(s) sont contrôlés Processus de recherche 'soundman.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '47' processus ont été contrôlés avec '47' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'F:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'K:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. Le registre a été contrôlé ( '64' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\WINDOWS\system32\drivers\sptd.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Recherche débutant dans 'D:\' Recherche débutant dans 'E:\' Recherche débutant dans 'F:\'

F:\Incoming\Google_SketchUp_Pro_v.7_+_Keygen.rar [0] Type d'archive: RAR --> keygen.EXE [1] Type d'archive: RSRC --> Object [2] Type d'archive: CAB (Microsoft) --> keygen.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Exchanger.bat [REMARQUE] Fichier supprimé. Recherche débutant dans 'K:\' K:\à classer\indeterminé\Pcsx2.rar [REMARQUE] Fichier supprimé. K:\Projet film\2000_Plugins_For_Adobe_Photoshop_CS3_CS4.part1.rar [0] Type d'archive: RAR --> The Imaging Factory All Plugins for Adobe Photoshop he.imaging.factory.multikeygen.exe [RESULTAT] Contient le cheval de Troie TR/Packed.5608 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3a7501.qua' ! K:\Projet film\2000_Plugins_For_Adobe_Photoshop_CS3_CS4.part2.rar [0] Type d'archive: RAR --> Flaming Pear Flexify v2.02 Photoshop Plugin\keygen.exe [RESULTAT] Contient le cheval de Troie TR/Packed.1753 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3a751b.qua' ! K:\Projet film\FX-ok\AE7TC-plugins_jdwashere.rar [0] Type d'archive: RAR --> AE7TC-plugins\Trapcode.Multikeygen.v1.3.exe [RESULTAT] Contient le cheval de Troie TR/Agent.18160 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4176bf.qua' ! K:\Projet film\FX-ok\Logiciels-ok\adobe premiere\APE.v7.0.pm.part6.rar [0] Type d'archive: RAR --> cr-apre7.r42 [1] Type d'archive: RAR --> cr-apre7.cue [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. K:\Downloads\programmes\Adobe\Adobe\After effetcs\After_Effects_7_0_Tryout.zip [0] Type d'archive: ZIP --> Data1.cab [1] Type d'archive: CAB (Microsoft) --> ae_pluginfolder.ico [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. Fin de la recherche : samedi 5 juin 2010 18:44 Temps nécessaire: 5:35:36 Heure(s) La recherche a été effectuée intégralement 19998 Les répertoires ont été contrôlés 1055687 Des fichiers ont été contrôlés 5 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 2 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 3 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 1055680 Fichiers non infectés 8721 Les archives ont été contrôlées 4 Avertissements 5 Consignes

Smart91 · Answer

Désolé du retard de ma réponse 
Tu as installé des cracks et des Keygen. Non seulement c'est illégal mais ce sont des vecteurs d'infections. 
Lis ceci: 
Le danger des cracks 



Refais un scan complet avec MBAM 
Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

cara · Answer

Bonjour,
je répond moi même assez tard. Merci pour le lien, j'ai eu des renseignements très utiles.
En ce qui concerne les Keygen, je fais mon mea culpa. J'aurais du attendre les clés fournies par mon entreprise mais j'ai voulu éviter de perdre trop de temps dans mon travail... Dans la précipitation je n'ai pas réfléchi à ce que je faisais.

Je refais un scan avec MBAM, je poste tout ça dès que possible.

cara · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4160

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

08/06/2010 07:33:52
mbam-log-2010-06-08 (07-33-52).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 379786
Temps écoulé: 8 heure(s), 36 minute(s), 24 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Smart91 · Answer

Refais le scan mais avant clique sur mise à jour. la base de données viral n'est pas à jour.

Smart

cara · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4180

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

08/06/2010 22:36:06
mbam-log-2010-06-08 (22-36-06).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 380625
Temps écoulé: 1 heure(s), 42 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Smart91 · Answer

Est-ce que tu as toujours des alertes ?

Smart

cara · Answer

Pour l'instant non, je te remercie beaucoup :)

Smart91 · Answer

Reprends ce que j'avais dis  iici ==>
https://forums.commentcamarche.net/forum/affich-17907585-virus-impossible-a-enlever?page=3#59

Fais les mise à jours si tu ne les as déjà pas faites. Il me semble qu'il faut que tu mettes SP3 sur XP

Et lis les conseils de pévention que je tai donnés

Et volà tu peux mettre en résolu

Smart

cara · Answer

D'accord, merci beaucoup Smart et bonne continuation à toi :)

Smart91 · Answer

Heureux de t'avoir aidé

Smart

Virus impossible à enlever

72 réponses

Discussions similaires

Newsletters