infection Lop?Résolu/Fermé

Question

Bonjour, 

J'ai un soucis avec un virus, le processus iexplore ouvert en plusieurs exemplaires alors que je n'utilise pas iexplorer, je pense sans être sur que c'est une infection Lop?

j'ai fait plusieurs scan avec ad-aware, avast et spybot mais rien ni change il sont toujours là, ça mange toute mon UC et j'ai un son qui tourne en boucle, c'est très ennervant lol 

Ca serais très sympa si quelqu'un avait la gentillesse de m'aider
Je vous remercie par avance

Voici mon Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:37, on 18/06/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
C:\Users\Gets\AppData\Roaming\Microsoft\mqtgsvc.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe
C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\app.exe
C:\Program Files (x86)\Hewlett-Packard\HP Odometer\hpsysdrv.exe
C:\Program Files (x86)\Hewlett-Packard\HP Remote Solution\HP_Remote_Solution.exe
C:\Program Files (x86)\hp\HP Software Update\hpwuschd2.exe
C:\Program Files (x86)\Logitech\Video\LogiTray.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files (x86)\Logitech\Video\LowLight.exe
C:\Windows	wain_32\Samsung\CLX3170\Scan2Pc.exe
C:\Program Files (x86)\Mozilla Firefox\download\firefox-download.exe
C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
c:\Program Files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe
c:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe
C:\Windows\SysWOW64\ctfmon.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\PROGRA~2\Logitech\Video\AlbumDB2.exe
C:\PROGRA~2\Logitech\Video\FxSvr2.exe
C:\Users\Gets\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8&gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files (x86)\pdfforge Toolbar\SearchSettings.dll
R3 - URLSearchHook: Oryte Games 1.9 Toolbar - {e7f88e02-0c78-48a1-86d2-82d8865de2df} - C:\Program Files (x86)\Oryte_Games_1.9	bOryt.dll
F3 - REG:win.ini: load=C:\Windows\System32\drivers\clipsrv.exe
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files (x86)\AutocompletePro\AutocompletePro.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files (x86)\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: Oryte Games 1.9 Toolbar - {e7f88e02-0c78-48a1-86d2-82d8865de2df} - C:\Program Files (x86)\Oryte_Games_1.9	bOryt.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Oryte Games 1.9 Toolbar - {e7f88e02-0c78-48a1-86d2-82d8865de2df} - C:\Program Files (x86)\Oryte_Games_1.9	bOryt.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Remote Solution] %ProgramFiles%\Hewlett-Packard\HP Remote Solution\HP_Remote_Solution.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe
O4 - HKLM\..\Run: [UpdatePRCShortCut] "C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Hewlett-Packard\Recovery" UpdateWithCreateOnce "Software\CyberLink\PowerRecover"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files (x86)\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files (x86)\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [3170 Scan2PC] "C:\Windows	wain_32\Samsung\CLX3170\Scan2Pc.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files (x86)\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [pdfw] C:\Program Files (x86)\Amic Utilities\PDF Writer Pro\pdfwload.exe
O4 - HKLM\..\Run: [firefox] "C:\Program Files (x86)\Mozilla Firefox\download\firefox-download.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files (x86)\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Program Files (x86)\Common Files\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKCU\..\Run: [1ded] C:\Windows\system32\CebEx\cb9x.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Halo2] rundll32.exe C:\Windows\system32\sshnas21.dll,GetMainWnd
O4 - HKLM\..\Policies\Explorer\Run: [MqtgSVC] C:\Users\Gets\AppData\Roaming\MICROS~1\mqtgsvc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\Users\Gets\LOCALS~1\APPLIC~1\MICROS~1\mstsc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Esent Utl] C:\Users\Gets\AppData\Roaming\esentutl.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [SessMgr] C:\Windows\System32\drivers\sessmgr.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\Windows\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [CbEx] C:\Windows\system32\CebEx\cb9x.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\install\server.exe
O4 - HKCU\..\Policies\Explorer\Run: [Logman] C:\Users\Gets\LOCALS~1\APPLIC~1\logman.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Esent Utl] C:\Users\Gets\AppData\Local\Temp\esentutl.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Spool] C:\Users\Gets\LOCALS~1\APPLIC~1\spoolsv.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Esent Utl] C:\Users\Gets\AppData\Roaming\MICROS~1\esentutl.exe /waitservice (User 'Système')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Esent Utl] C:\Users\Gets\AppData\Roaming\MICROS~1\esentutl.exe /waitservice (User 'Default user')
O4 - Startup: 12Ghosts Timer.lnk = C:\Program Files (x86)\12Ghosts\12timer.exe
O4 - Global Startup: app.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - C:\ProgramData\AOL\ieToolbaresources\fr-FR\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Spin Palace Casino - {F389F87B-8751-4327-9D4C-10D97BBD5CFE} - C:\Microgaming\Casino\SpinPalace\casinogame.exe (HKCU)
O13 - Gopher Prefix: 
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files (x86)\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32
vvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: TabletServicePen - Unknown owner - C:\Windows\system32\Pen_Tablet.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

Xplode · Accepted Answer

Salut, après analyse de ton rapport HJT, je vois déjà pas mal de vilaines bestioles.
On va effectuer un scan plus complet de ton PC avant de passer à la désinfection.

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur ( /!\ Coche la case " créer une icône sur le bureau /!\ ) puis lance le une fois l'installation terminée.

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Choisissez un fichier ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

Gets · Answer

Merci pour ton aide :)
j'ai suivis tes instructions, voici le lien :
https://www.cjoint.com/?gsoNetL1kn

Xplode · Answer

Tout d'abord, ton PC est vraiment très infecté. Je ne sais pas ce que tu as fais avec, mais il va falloir que tu changes tes habitudes de surf !

On va commencer la désinfection. Reste jusqu'au bout, même si ton PC se porte mieux.

-+-+-+-+-> AD-Remover <-+-+-+-+-


[x] Télécharge AD-Remover ( de  C_XX ).

[x] Si tu es sous vista, désactive l'UAC. Pour Seven, c'est ici.

[x] Lance AD-Remover puis choisis l'option " Nettoyer ".

[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt

Gets · Answer

Voici le rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 17/06/10 à 18:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:00:56 le 18/06/2010, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
Gets, GETS-PC (HP-Pavilion VS417AA-ABF s5224fr) 
 
============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé 

0,Fichier supprimé: C:\Program Files (x86)\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
0,Fichier supprimé: C:\Program Files (x86)\Mozilla Firefox\extensions\searchsettings@spigot.com
0,Dossier supprimé: C:\Program Files (x86)\Application Updater
0,Dossier supprimé: C:\Program Files (x86)\Conduit
0,Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Everest Poker
0,Dossier supprimé: C:\Program Files (x86)\Everest Poker
0,Dossier supprimé: C:\Program Files (x86)\pdfforge Toolbar
3,Fichier supprimé: C:\Windows\Installer\1403c9f.msi 
0,Fichier supprimé: C:\Users\Public\Desktop\Everest Poker.lnk

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
0,Clé supprimée: HKLM\Software\Application Updater
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKLM\Software\pdfforge
0,Clé supprimée: HKLM\Software\Search Settings
0,Clé supprimée: HKCU\Software\Grand Virtual
0,Clé supprimée: HKCU\Software\Search Settings
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
0,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|firefox
0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.9 (fr)] **

-- C:\Users\Gets\AppData\Roaming\Mozilla\FireFox\Profiles\iix6rfi8.default\Prefs.js --
browser.download.lastDir, C:\Users\Gets\Desktop
browser.startup.homepage, hxxp:/www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.1.9

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 242 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 18/06/2010 (4989 Octet(s)) 

Fin à: 16:02:33, 18/06/2010 
 
============== E.O.F ============== 

Suite au scan j'ai reboot le PC comme demandé par AD remover mais j'ai encore ce processus iexplore

Xplode · Answer

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-


[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.

Gets · Answer

re
voici le rapport :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4212

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

18/06/2010 19:53:30
mbam-log-2010-06-18 (19-53-30).txt

Type d'examen: Examen complet (C:\|D:\|G:\|H:\|)
Elément(s) analysé(s): 627673
Temps écoulé: 2 heure(s), 21 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 9
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Cerberus (Backdoor.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\sessmgr (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\cbex (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\esent utl (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\logman (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mstinit (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\spool (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\esent utl (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mqtgsvc (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Windows\System32\CebEx (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\Gets\Desktop\uninstall.exe (Trojan.Swizzor) -> Quarantined and deleted successfully.
G:\Nouveau docs\Logiciels\Adobe Creative Suite 3 Master Collection Fr + Activation... MS\Key Generator.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Nouveau dossier\Nouveau dossier\cluster\cluster 19899044.EXE (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\System32\CebEx\logs.dat (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.
C:\Users\Gets\AppData\Roaming\esentutl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\Gets\AppData\Roaming\Microsoft\esentutl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\mstsc.exe (Trojan.Zaplo) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\sessmgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\comrepl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\mstinit.exe (Trojan.Zaplo) -> Quarantined and deleted successfully.
C:\Windows\system\mstsc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\AppData\Local\Temp\logman.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\AppData\Local\Temp\mstinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\Local Settings\Application Data\spoolsv.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\AppData\Roaming\Microsoft\mqtgsvc.exe (Trojan.Agent) -> Delete on reboot.
C:\Users\Gets\Local Settings\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Xplode · Answer

Une belle brochette dis donc..

Refais moi un rapport ZHPDiag.

Gets · Answer

Et voilà :

https://www.cjoint.com/?gsunZQIfHX

Xplode · Answer

-+-+-+-+-> KoobFix <-+-+-+-+-


[x] Télécharge Koobfix sur ton bureau.

[x] Redémarre en mode sans échec ( tutoiel ).

[x] Lance KoobFix sur ton bureau et appuie sur une touche.

[x] Suis les instructions à l'écran, un rapport s'ouvrira à la fin de l'analyse. Enregistre le sur ton bureau.

[x] Redémarre ton PC en mode normal puis poste le contenu du rapport dans ta prochaine réponse.

Gets · Answer

Petit soucis : le scan ce lance mais ce ferme presque aussitot sans me donner de rapport, par contre au redémarrage en mode normal j'ai 2 message d'erreur :
http://img822.imageshack.us/img822/6927/sanstitre1m.jpg

mais bonne nouvelle, le processus malveillant iexplore.exe semble avoir disparu

Xplode · Answer

Normal ton PC est sur-infecté !

Tu as bien lancé koobfix en mode sans échec?

Recolle moi un rapport ZHPDiag, on va avoir beaucoup de choses à supprimer ( à commencer par certains logiciels douteux que j'ai pu voir )

Gets · Answer

oui je l'ai bien lancé en mode sans échec
Voici le rapport :
https://www.cjoint.com/?gsvHZdKkOW

Xplode · Answer

-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est a effectuer en tant qu'administrateur ( Clic droit -> exécuter en tant qu'administrateur ) /!\

[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper "

[x] Copie/Colle le contenu de ce fichier dans l'encadré blanc puis clique sur " Ok "

[x] Clique maintenant sur " Tous " , puis sur " Nettoyer "

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

Gets · Answer

ZHPFix v1.12.3108  by Nicolas Coolman - Rapport de suppression du 18/06/2010 22:11:25
Fichier d'export Registre : C:\ZHPExportRegistry-18-06-2010-22-11-26.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
C:\Windows\dllhst3g.exe   [367616]  => Fichier absent
C:\Users\Gets\LOCALS~1\APPLIC~1\MICROS~1\mstsc.exe   [367616]  => Fichier absent
C:\Users\Gets\AppData\Roaming\MICROS~1\dllhst3g.exe   [367616]  => Fichier absent
C:\Users\Gets\AppData\Roaming\MICROS~1\clipsrv.exe   [367616]  => Fichier absent
C:\Users\Gets\AppData\Roaming\mqtgsvc.exe   [367616]  => Fichier absent
C:\Users\Gets\AppData\Roaming\ieudinit.exe   [367616]  => Fichier absent
C:\Users\Gets\AppData\Local\Temp\cmstp.exe   [367616]  => Fichier absent
C:\Users\Gets\AppData\Roaming\MICROS~1\esentutl.exe   [367616]  => Fichier absent
C:\Users\Gets\AppData\Roaming\MICROS~1\cmstp.exe   [367616]  => Fichier absent
C:\Users\Gets\LOCALS~1\APPLIC~1\MICROS~1\spoolsv.exe   [367616]  => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} . (.SimplyGen - AutocompletePro - Helps you search the web.) -- C:\Program Files (x86)\AutocompletePro\AutocompletePro.dll  => Clé absente
O2 - BHO: Oryte Games 1.9 Toolbar - {e7f88e02-0c78-48a1-86d2-82d8865de2df} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Oryte_Games_1.9	bOryt.dll  => Clé absente
HKCU\Software\kfroodrooajaeely  => Clé absente

Valeur du Registre :
R3 - URLSearchHook: Oryte Games 1.9 Toolbar - {e7f88e02-0c78-48a1-86d2-82d8865de2df} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 1, 1) -- C:\Program Files (x86)\Oryte_Games_1.9	bOryt.dll  => Valeur absente
R3 - URLSearchHook: Microsoft Url Search Hook - {e7f88e02-0c78-48a1-86d2-82d8865de2df} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 1, 1) -- C:\Program Files (x86)\Oryte_Games_1.9	bOryt.dll  => Valeur absente
O3 - Toolbar: Oryte Games 1.9 Toolbar - {e7f88e02-0c78-48a1-86d2-82d8865de2df} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Oryte_Games_1.9	bOryt.dll  => Valeur absente
O4 - HKLM\..\policies\Explorer\Run: [DllHst] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gets\AppData\Roaming\MICROS~1\dllhst3g.exe  => Valeur absente
O4 - HKLM\..\policies\Explorer\Run: [ClipSrv] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gets\AppData\Roaming\MICROS~1\clipsrv.exe  => Valeur absente
O4 - HKLM\..\policies\Explorer\Run: [MqtgSVC] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gets\AppData\Roaming\mqtgsvc.exe  => Valeur absente
O4 - HKLM\..\policies\Explorer\Run: [IEudinit] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gets\AppData\Roaming\ieudinit.exe  => Valeur absente
O4 - HKLM\..\policies\Explorer\Run: [CmSTP] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gets\AppData\Local\Temp\cmstp.exe  => Valeur absente
O4 - HKCU\..\policies\Explorer\Run: [rsvp] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\driverssvp.exe  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [Esent Utl] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gets\AppData\Roaming\MICROS~1\esentutl.exe  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [DllHst] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\dllhst3g.exe  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [CmSTP] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gets\AppData\Roaming\MICROS~1\cmstp.exe  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [Cisvc] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System\cisvc.exe  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [Spool] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gets\LOCALS~1\APPLIC~1\MICROS~1\spoolsv.exe  => Valeur absente
O4 - HKLM\..\policies\Explorer\Run: [Mstsc] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gets\LOCALS~1\APPLIC~1\MICROS~1\mstsc.exe  => Valeur absente

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified  => Donnée supprimée avec succès

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
c:\program files (x86)\oryte_games_1.9	boryt.dll  => Fichier absent
c:\program files (x86)\autocompletepro\autocompletepro.dll  => Fichier absent
c:\users\gets\appdataoaming\micros~1\dllhst3g.exe  => Fichier absent
c:\users\gets\appdataoaming\micros~1\clipsrv.exe  => Fichier absent
c:\users\gets\appdataoaming\mqtgsvc.exe  => Fichier absent
c:\users\gets\appdataoaming\ieudinit.exe  => Fichier absent
c:\users\gets\appdata\local	emp\cmstp.exe  => Fichier absent
c:\windows\system32\driverssvp.exe  => Fichier absent
c:\users\gets\appdataoaming\micros~1\esentutl.exe  => Fichier absent
c:\windows\dllhst3g.exe  => Fichier absent
c:\users\gets\appdataoaming\micros~1\cmstp.exe  => Fichier absent
c:\windows\system\cisvc.exe  => Fichier absent
c:\users\gets\locals~1\applic~1\micros~1\spoolsv.exe  => Fichier absent
c:\users\gets\locals~1\applic~1\micros~1\mstsc.exe  => Fichier absent
c:\windows\covere~1.ini  => Fichier absent
c:\windowseplay video capture uninstall log.txt  => Fichier absent
c:\finis_it.txt  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 10
Module mémoire : 0
Clé du Registre : 3
Valeur du Registre : 15
Elément de données du Registre : 1
Dossier : 0
Fichier : 17
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

Xplode · Answer

Refais moi un rapport ZHPDiag.

Gets · Answer

https://www.cjoint.com/?gswIddexor

Xplode · Answer

-+-+-+-+-> SystemLook <-+-+-+-+-


[x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.

[x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc :


:dir

C:\Users\Gets\AppData /sub
C:\Windows\System32\Drivers
C:\Windows\System
C:\Windows



[x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.

Gets · Answer

le rapport étant extremement long je l'ai couper en 2 pour que ca passe sur cjoint.

partie 1 :
https://www.cjoint.com/?gsw6ChOxBM
partie 2 :
https://www.cjoint.com/?gsw7b3npwT

Xplode · Answer

Refais un scan MBAM complet.

Gets · Answer

voilà le rapport :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4212

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

19/06/2010 01:24:41
mbam-log-2010-06-19 (01-24-41).txt

Type d'examen: Examen complet (C:\|D:\|G:\|H:\|)
Elément(s) analysé(s): 628202
Temps écoulé: 2 heure(s), 10 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 13
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\cmstp (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mstinit (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\comrepl (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mqtgsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\comrepl (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ieudinit (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\logman (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mstsc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\cisvc (Trojan.Rodecap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\logman (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\sessmgr (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\spool (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\cisvc (Trojan.Dropper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Gets\AppData\Roaming\Microsoft\logman.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\AppData\Roaming\Microsoft\mstsc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\AppData\Roaming\Microsoft\sessmgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\cmstp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\mqtgsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\mstinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\rsvp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\AppData\Local\Temp\comrepl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\Local Settings\Application Data\Microsoft\sessmgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\mqtgsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system\comrepl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\Local Settings\Application Data\logman.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\Local Settings\Application Data\Microsoft\logman.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Gets\AppData\Local\Temp\spoolsv.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Xplode · Answer

Salut,

Bien. Un nouveau ZHPDiag maintenant.

Gets · Answer

Salut!
Voilà le rapport ZHPDiag :
https://www.cjoint.com/?gtlgTxUQQF

Xplode · Answer

Ok on continue :

-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est a effectuer en tant qu'administrateur ( Clic droit -> exécuter en tant qu'administrateur ) /!\

[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper "

[x] Copie/Colle le contenu de ce fichier dans l'encadré blanc puis clique sur " Ok "

[x] Clique maintenant sur " Tous " , puis sur " Nettoyer "

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

Gets · Answer

ZHPFix v1.12.3108  by Nicolas Coolman - Rapport de suppression du 19/06/2010 11:22:53
Fichier d'export Registre : C:\ZHPExportRegistry-19-06-2010-11-22-53.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe   [0]  => Supprimé et mis en quarantaine
C:\Users\Gets\AppData\Local\Temp\clipsrv.exe   [367616]  => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
HKCU\Software\CebEx  => Clé supprimée avec succès

Valeur du Registre :
O4 - HKUS\S-1-5-18\..\Run: [ClipSrv] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gets\AppData\Local\Temp\clipsrv.exe  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [Esent Utl] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe  => Valeur absente

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
c:\users\gets\appdata\local	emp\clipsrv.exe  => Supprimé et mis en quarantaine
c:\users\gets\appdata\local	emp\clipsrv.exe  => Fichier absent
c:\users\gets\locals~1\applic~1\esentutl.exe  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 2
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 0
Fichier : 3
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

Xplode · Answer

Ok, on avance. On va vérifier si il reste des traces d'un fichier infectieux.

-+-+-+-+-> SystemLook <-+-+-+-+-


[x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.

[x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc :


:filefind
esentutl.exe

:regfind
esentutl


[x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.

Gets · Answer

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 13:44 on 19/06/2010 by Gets (Administrator - Elevation successful)

========== filefind ==========

Searching for "esentutl.exe"
C:\Users\Gets\AppData\Local\Microsoft\esentutl.exe	--a--- 367616 bytes	[06:42 10/06/2010]	[10:46 09/06/2010] B348BD9D555657352BE08BB62EDF5ECB
C:\Windows\System32\esentutl.exe	--a--- 123392 bytes	[23:32 13/07/2009]	[01:14 14/07/2009] D2DB315B866148D6AAA9E0B3AB31B011
C:\Windows\SysWOW64\esentutl.exe	--a--- 123392 bytes	[23:32 13/07/2009]	[01:14 14/07/2009] D2DB315B866148D6AAA9E0B3AB31B011
C:\Windows\winsxs\amd64_microsoft-windows-e..ageengine-utilities_31bf3856ad364e35_6.1.7600.16385_none_3580dea4def227d4\esentutl.exe	--a--- 139264 bytes	[23:49 13/07/2009]	[01:39 14/07/2009] 4779E21FED99E1A58B722313DF0D45A9
C:\Windows\winsxs\x86_microsoft-windows-e..ageengine-utilities_31bf3856ad364e35_6.1.7600.16385_none_d96243212694b69e\esentutl.exe	--a--- 123392 bytes	[23:32 13/07/2009]	[01:14 14/07/2009] D2DB315B866148D6AAA9E0B3AB31B011

========== regfind ==========

Searching for "esentutl"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Esent Utl"="C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe /waitservice"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Esent Utl"="C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe /waitservice"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Esent Utl"="C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe /waitservice"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Esent Utl"="C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe /waitservice"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Esent Utl"="C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe /waitservice"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Esent Utl"="C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe /waitservice"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Esent Utl"="C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe /waitservice"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Esent Utl"="C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe /waitservice"

-=End Of File=-

Xplode · Answer

-+-+-+-+-> ComboFix <-+-+-+- 


[x] Télécharge ComboFix ( de sUBs ) à cette adresse. 

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\ 

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\ 

[x] Double clique sur " Combofix.exe " 

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le 

[x] Pendant le scan, ne touche à rien ( souris, clavier ) 

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

Gets · Answer

apparement il y a un problème de compatibilité, existe t'il une version de Combofix pour windows 7? j'ai chercher un peu sur google sans succès

Xplode · Answer

Laisse tomber combofix. Fais ceci :

-+-+-+-+-> OtMoveIt <-+-+-+-+-


[x] Télécharge OtMoveIt sur ton bureau.

[x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".



:reg

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Esent Utl"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Esent Utl"=-

:files

C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe

:commands

[emptytemp]



[x] Clique maintenant sur " MoveIt! "

[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.

Gets · Answer

All processes killed
========== REGISTRY ==========
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Esent Utl deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Esent Utl not found.
========== FILES ==========
File/Folder C:\Users\Gets\LOCALS~1\APPLIC~1\esentutl.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Gets
->Temp folder emptied: 7075623 bytes
->Temporary Internet Files folder emptied: 213243529 bytes
->FireFox cache emptied: 78212006 bytes
->Google Chrome cache emptied: 6992816 bytes
->Flash cache emptied: 2083980 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 183808 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5346 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68044 bytes
RecycleBin emptied: 6825067 bytes
 
Total Files Cleaned = 300,00 mb
 
 
OTM by OldTimer - Version 3.1.12.2 log created on 06192010_142829

Files moved on Reboot...
C:\Users\Gets\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Gets\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XSQI6HOW\affich-18185949-infection-lop[2].htm moved successfully.
C:\Users\Gets\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TOL0VMJ2\ads[10].htm moved successfully.
C:\Users\Gets\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ODIPG09X\ads[11].htm moved successfully.
C:\Users\Gets\AppData\Local\Microsoft\Windows\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

Registry entries deleted on Reboot...

Xplode · Answer

Ok , un nouveau rapport ZHPDiag maintenant. Je crois qu'on arrive au bout.

Gets · Answer

et voilà :

https://www.cjoint.com/?gtoMR3TD6z

Xplode · Answer

Parfait. Fais une analyse minutieuse avec avast et poste moi le rapport. Après on finalisera.

Gets · Answer

le scan minutieux n'a détecté aucun virus

Xplode · Answer

Impec. On termine :

Toolscleaner : Suis ce tutoriel et poste moi le rapport de suppression.


-+-+-+-+-> Optimisation <-+-+-+-+-


1ère étape : Suppression des fichiers inutiles

[o] Télécharge CCleaner
[o] Installe le, puis lance le.
[o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ".
[o] Cliques sur l'onglet " Nettoyeur " puis cliques sur " Analyser ". A la fin de l'analyse, clique sur " Nettoyer ".
[o] Rends toi à l'onglet " Registre " puis cliques sur " Chercher les erreurs ". Cliques ensuite sur " Corriger les erreurs séléctionnées ".
[o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression )
[o] Cliques ensuite sur " Corriger toutes les erreurs sélectionnées " puis sur " Fermer "
[o] Tu peux renouveller ces opérations tous les jours.

2ème étape : Défragmentation

[x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.
[o] Télécharge Defraggler.
[o] Un tutoriel pour son utilisation est disponible ici.

Gets · Answer

Toolscleaner  bug chez moi, il ne "repond pas"
pour le reste c'est OK

Xplode · Answer

"Dans la majorité des cas la mention (ne répond pas) apparait dans le titre de la fenêtre lors de la recherche avec ToolsCleaner. Ce problème survient car ToolsCleaner est gourmand en ressources. Rassurez vous, ce n'est pas un plantage du logiciel, laissez le travailler quelques minutes, ce bug n'altèrera pas le contenu du rapport généré."

Gets · Answer

oups désolé j'avais pas lu jusqu'en bas.
voici le rapport :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\_OTM: trouvé !
C:\Program Files (x86)\lopxp: trouvé !
C:\Program Files (x86)\Ad-remover: trouvé !
C:\Program Files (x86)\ZHPDiag: trouvé !
C:\Program Files (x86)\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\catchme.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.log: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.exe: trouvé !
C:\Users\Gets\Desktop\OTM.exe: trouvé !
C:\Users\Gets\Desktop\HijackThis.exe: trouvé !
C:\Users\Gets\Desktop\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files (x86)\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\catchme.exe: supprimé !
C:\Users\Gets\Desktop\OTM.exe: supprimé !
C:\Users\Gets\Desktop\HijackThis.exe: supprimé !
C:\Program Files (x86)\ZHPDiag\mbr.log: supprimé !
C:\Program Files (x86)\ZHPDiag\mbr.exe: supprimé !
C:\Users\Gets\Desktop\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\Program Files (x86)\lopxp: supprimé !
C:\Program Files (x86)\Ad-remover: supprimé !
C:\Program Files (x86)\ZHPDiag: supprimé !

Xplode · Answer

Ok, tu peux supprimer toolscleaner.

Bonne fin d'après-midi. @+

Gets · Answer

ok, un grand merci pour ton aide, c'est très sympa!
Bon week-end! @++

Infection Lop?

40 réponses

Discussions similaires

Newsletters