Sujet Précédent Sujet Suivant

Trojan à supprimer

Résolu/Fermé
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010 - 20 juin 2010 à 20:22
 Utilisateur anonyme - 22 juin 2010 à 20:52
Bonjour,

J'ai fait un scan avec activescan 2.0 online ,voici le rapport :


************************************
ANALYSIS: 2010-06-20 19:57:09
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
************************************
PROTECTIONS
Description Version Active Updated
====================================================
avast! Antivirus Yes Yes
====================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
====================================================
00049258 Trj/Deldir.A Virus/Trojan No 1 Yes No c:\windows\system32\oem\cleanup.cmd
00049258 Trj/Deldir.A Virus/Trojan No 1 Yes No c:\windows\system32\oem\cleanup_mlp.cmd
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\tlm\appdata\roaming\microsoft\windows\cookies\tlm@atdmt[2].txt
====================================================
SUSPECTS
Sent Location
====================================================
VULNERABILITIES
Id Severity Description



Pouvez-vous SVP m'aider à supprimer ces virus .
D'avance merci .

A voir également:

24 réponses

  • 1
  • 2
Réponse 1 / 24
Utilisateur anonyme
20 juin 2010 à 20:43
Salut dark-people

1) * Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.

>> Random's System Information Tool (RSIT) par random/random

* Double-clique sur RSIT.exe afin de lancer RSIT.
* Sous ==> Windows7/ Vista.
* Clic droit sur l'icône RSIT.exe , puis sur Exécuter en tant qu'administrateur dans le menu déroulant,afin de lancer RSIT.
* Clique sur Continue à l'écran Disclaimer.
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
* Poste le contenu de log.txt (<==qui sera affiché) ainsi que de info.txt (<==qui sera réduit dans la Barre des Tâches).
* Héberge les rapports un par un sur ce site,
cijoint.fr
* Copie/colle les liens générés ici

* Note : Les deux rapports sont également sauvegardés %systemroot%\rsit

Pour les rapports
* rends toi sur http://www.cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster


si pour RSIT >> tu as un message d erreur

Fais un Clic droit sur RSIT ==> propriétés ==> Compatibilté

>> coches la case ==> Exécuter ce programme en Mode Compatibilté pour

==>Dans le menu Déroulant choisi ==>Windows Vista (Pack 2)

>> coche en plus la case >> Exécuter ce programme en tant qu administrateur


ensuite

2) *Télécharges --> Malwarebytes' (mbam)

Malwarebytes' (mbam)

* installes + mise a jour
* Lances--> Malwarebytes (MBAM)
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
* puis "Rechercher"
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
* S'il t' es demandé de redémarrer, clique sur "oui "
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici

0
Réponse 2 / 24
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
20 juin 2010 à 21:49
Salut VIRUS-C-C
Et merci pour ta réponse mais :
Pour RSIT j'ai un message d'érreur apres avoir cliqué sur continué , il charge un peu et me met sa :

Line 2563 ( file " C:\Users\Antoine\dowloads\RSIT.exe"):

Error: Variable used without being declared.


Et je ne peut que cliqué sur OK qui ferme le programme ...


La je vais téléchargé le 2eme pour voir
0
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
20 juin 2010 à 21:53
J'ai téléchargé et mise a jour le 2eme . Mais je ne l'ai pas lancer vu qu'il faut maittre l'autre avant comme tu me la expliqué plus haut .
0
Réponse 3 / 24
Utilisateur anonyme
20 juin 2010 à 21:51
Re

c est pour cette raison que j avais marqué


si pour RSIT >> tu as un message d erreur

Fais un Clic droit sur RSIT ==> propriétés ==> Compatibilté

>> coches la case ==> Exécuter ce programme en Mode Compatibilté pour

==>Dans le menu Déroulant choisi ==>Windows Vista (Pack 2)

>> coche en plus la case >> Exécuter ce programme en tant qu administrateur


0
Réponse 4 / 24
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
20 juin 2010 à 22:24
Voila j'ai mis les 2
Info ----> http://www.cijoint.fr/cjlink.php?file=cj200906/cijuUynOT0.png

Log ----> http://www.cijoint.fr/cjlink.php?file=cj201006/cij6APh9JN.txt
0
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
20 juin 2010 à 22:29
J'ai lancer le 2eme programme je le post dès que c fini
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 24
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
20 juin 2010 à 23:41
Re

Le rapport que je doit t'envoyé c'est celui du scan que je vien de faire ou je doit refaire un scan apres avoir supprimer et redémarrer PC et t'envoyé ce rapport la ?

Sinon le 1er rapport donne sa :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4219

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20/06/2010 23:24:38
mbam-log-2010-06-20 (23-24-38).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 263041
Temps écoulé: 52 minute(s), 32 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\ANTOINE\Desktop\clef USB\Autre\rkfree_setup.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.
C:\Users\ANTOINE\Downloads\AntiBrontokA-en.exe (Trojan.Dropper) -> Quarantined and deleted successfully.


Le keylogger rkfree je pensé l'avoir supprimer définitivement il y a un moment c'était un ami qui me l'avais montrer .
0
Réponse 6 / 24
Utilisateur anonyme
Modifié par VIRUS-C-C le 21/06/2010 à 15:39
Salut

* Désactive l'UAC Windows7 ==> UAC Windows7

* Desactive ton antivirus le temps de la manip

* Télécharge et installe List&Kill'em de gen-hackman

et enregistre le sur ton bureau

>> List&Kill'em de gen-hackman
* double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
* coche la case "creer une icone sur le bureau"
* une fois terminée , clic sur "terminer" et le programme se lancer seul
* choisis la langue puis choisis l'option >> SEARCH
* laisse travailler l'outil
* à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
* un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.
* Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
* réactive ton antivirus


* Réactive l'UAC
VIRUS/C/C Helper - Formation - Qualification Helper
Contributeur sécurité
0
Réponse 7 / 24
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
21 juin 2010 à 21:13
Voila il a fini sa c le rapport quand il est a 100% par contre le rapport " catchme" n'apparait pas sur mon bureau mai un document nommé "more" y est par contre :


¤¤¤¤¤¤¤¤¤¤ List'em by g3n-h@ckm@n 2.0.1.3 ¤¤¤¤¤¤¤¤¤¤

User : ANTOINE (Administrateurs)
Update on 21/06/2010 by g3n-h@ckm@n ::::: 14.30
Start at: 19:52:37 | 21/06/2010

AMD Sempron(tm) SI-42
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 220,78 Go (121,6 Go free) [Packard Bell] | NTFS
D:\ -> Disque CD-ROM

Boot: Normal

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe----25728 Ko
C:\Program Files\Alwil Software\Avast5\AvastUI.exe----4620 Ko
C:\Windows\SysWOW64\svchost.exe----13732 Ko
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe----4356 Ko
C:\Program Files (x86)\Packard Bell\Registration\GregHSRW.exe----4728 Ko
C:\Program Files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe----9616 Ko
C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe----8268 Ko
C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe----3620 Ko
C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe----8012 Ko
C:\Users\ANTOINE\AppData\Local\Google\Chrome\Application\chrome.exe----44716 Ko
C:\Users\ANTOINE\AppData\Local\Google\Chrome\Application\chrome.exe----29764 Ko
C:\Users\ANTOINE\AppData\Local\Google\Chrome\Application\chrome.exe----15808 Ko
C:\Program Files (x86)\List_Kill'em\List_Kill'em.exe----8192 Ko
C:\Windows\SysWOW64\cmd.exe----3508 Ko
C:\Program Files (x86)\List_Kill'em\pv.exe----4948 Ko

============
Keys "Run"
============

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
msnmsgr REG_SZ "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
Google Update REG_SZ "C:\Users\ANTOINE\AppData\Local\Google\Update\GoogleUpdate.exe" /c

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avast5 REG_SZ "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=============
Other Keys
=============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0 (0x0)
ConsentPromptBehaviorUser REG_DWORD 3 (0x3)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 0 (0x0)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableUIADesktopToggle REG_DWORD 0 (0x0)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 0 (0x0)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)

===============

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 145 (0x91)

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoActiveDesktop REG_DWORD 1 (0x1)
NoActiveDesktopChanges REG_DWORD 1 (0x1)
ForceActiveDesktopOn REG_DWORD 0 (0x0)

===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
ReportBootOk REG_SZ 1
Shell REG_SZ explorer.exe
PreCreateKnownFolders REG_SZ {A520A1A4-1780-4FF6-BD18-167343C5AF16}
DefaultDomainName REG_SZ
DefaultUserName REG_SZ
Userinit REG_SZ C:\Windows\system32\userinit.exe,
VMApplet REG_SZ SystemPropertiesPerformance.exe /pagefile

===============


===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============

[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

=====
BHO :
=====

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3afb572a-bfde-44f7-8e5c-3e70727fb484}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E8DF67A1-B618-4F3F-9E7C-CBE175ADEF5B}]

===
DNS
===

HKLM\SYSTEM\CCS\Services\Tcpip\..\{EC370A85-B9DB-4E68-8B23-619B625E537D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EC370A85-B9DB-4E68-8B23-619B625E537D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{EC370A85-B9DB-4E68-8B23-619B625E537D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

================
Internet Explorer :
================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_lj61&r=27361109n305l03f4z105f47n2s210
Local Page REG_SZ C:\Windows\SysWOW64\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_lj61&r=27361109n305l03f4z105f47n2s210
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Local Page REG_SZ C:\Windows\system32\blank.htm
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

========
Services
========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x2 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

========
Safemode
========

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot : OK !!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal : OK !!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network : OK !!

=========
Atapi.sys
=========

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_amd64_neutral_a69a58a4286f0b22\atapi.sys :
[MD5.02062c0b390b7729edc9e69c680a6f3c]
[SHA256.0261683c6dc2706dce491a1cdc954ac9c9e649376ec30760bb4e225e18dc5273]

C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_392d19c13b3ad543\atapi.sys :
[MD5.02062c0b390b7729edc9e69c680a6f3c]
[SHA256.0261683c6dc2706dce491a1cdc954ac9c9e649376ec30760bb4e225e18dc5273]

Référence :
==========

Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP1_32b : 95b858761a00e1d4f81f79a0da019aca
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

=======
Drive :
=======


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\ProgramData\FullRemove.exe
Present !! : C:\ProgramData\FullRemove.exe
Present !! : C:\ProgramData\FullRemove.exe
Present !! : C:\ProgramData\FullRemove.exe
Present !! : C:\Program Files (x86)\DAEMON Tools Toolbar
Present !! : C:\Program Files (x86)\Mozilla FireFox\Components\AskSearch.js
Present !! : C:\Windows\System32\ealregsnapshot1.reg
Present !! : C:\Windows\Syswow64\ealregsnapshot1.reg
Present !! : C:\Users\ANTOINE\AppData\Local\GDIPFONTCACHEV1.DAT
Present !! : C:\Users\ANTOINE\AppData\Roaming\.#
Present !! : C:\Users\ANTOINE\LOCAL Settings\Temp\sfamcc00001.dll
Present !! : C:\Users\ANTOINE\LOCAL Settings\Temp\sfareca00001.dll

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktopChanges
Present !! : "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}"
Present !! : "HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}"
Present !! : "HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}"
Present !! : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
Present !! : HKCU\Software\Conduit
Present !! : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
Present !! : HKLM\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
Present !! : HKLM\Software\Conduit

FEATURE_BROWSER_EMULATION | svchost :
====================================


============

driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-21 20:12:00
Windows 6.1.7600 WOW64 FAT NTAPI

detected NTDLL code modification:
ZwEnumerateKey 0 != 47, ZwQueryKey 0 != 19, ZwOpenKey 0 != 15, ZwClose 0 != 12, ZwEnumerateValueKey 0 != 16, ZwQueryValueKey 0 != 20, ZwOpenFile 0 != 48, ZwQueryDirectoryFile 0 != 50, ZwQuerySystemInformation 0 != 51Initialization error


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 21:09:03,88
0
Réponse 8 / 24
Utilisateur anonyme
21 juin 2010 à 21:43
* Relance List_Kill'em( clic droit "executer en tant qu'administrateur" pour vista/7),avec le raccourci sur ton bureau.
* cette fois-ci :
* choisis l'option >> CLEAN
* ton PC va redemarrer,
* laisse travailler l'outil.
* en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
* colle le contenu dans ta reponse



0
Réponse 9 / 24
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
21 juin 2010 à 21:52
Quand je vais pour le lancer il m'affiche le programme avec tous les choix je clique donc sur clean , mais il m'affiche ce message :

windows ne trouve pas ' reboot.bat'. Vérifier que vous avez entré le nom correct , puis réessayer .


Je doit peut etre rebaisser l'UAC et désactiver l'antivirus ?
0
Réponse 10 / 24
Utilisateur anonyme
21 juin 2010 à 21:56
Re

* Redemarres en mode sans echec
* Pour cela, tu tapotes la touche F8 à l'allumage du pc sans t'arrêter.
* Une fenêtre va s'ouvrir. Choisis démarrer en mode sans échec puis tape entrée.
* Choisis ton compte

relances killem
option >> safemode clean
0
Réponse 11 / 24
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
22 juin 2010 à 01:12
Je t'avais posté des parti du rapport mais je me suis rappelé de ce site qui est beaucoup plus simple =D . Par contre même en mode sans échec sa m'avais remis le même type de message j'ai donc réinstallé ton logiciel et relancé ( toujours en mode sans échec je n'avais pas reboot ) et la sa a marcher et donner sa :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijjFSEqWC.txt ( kill'em )

Bonne lecture la longueur du fichier ma fait peur =)
0
Réponse 12 / 24
Utilisateur anonyme
22 juin 2010 à 04:12
Salut

Poste moi l info.txt de RSIT
car tu m a envoyé une image à la place

Cliques >> Démarrer >> Ordinateur >> Disque >> Dossier RSIT >>Info.txt

ensuite
2)* télécharges et installes Ccleaner

>> Ccleaner Ccleaner

* Une fois sur le bureau, clic sur l'install de CCleaner.
* Ensuite, clique sur Options ==> Avancé et décoche la case
* Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures
* Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage.
* Ensuite clique sur l'icone==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées.
* Accepte la sauvegarde, de la BDR (base de registre )qu'il propose
* Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)



3)* Désactive l'UAC Windows7 >> Désactive l'UAC Windows7 >> UAC Windows7


* Télécharge ZHPDiag (de Nicolas coolman)

>> ZHPDiag (de Nicolas coolman)
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

* Réactive l'UAC

Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster

0
Réponse 13 / 24
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
22 juin 2010 à 12:33
Re

Voila les deux rapports :

http://www.cijoint.fr/cjlink.php?file=cj201006/cij7WPX5U9.txt -----> info

http://www.cijoint.fr/cjlink.php?file=cj201006/cijw6atZXg.txt -----> ZHPdiag
0
Réponse 14 / 24
Utilisateur anonyme
22 juin 2010 à 15:24
* Relance ZHPDiag refais un scan, ce dernier terminé
* clique sur l'icone en forme d'écusson vert ZHPFix
* ZHPFix se lancera, clique maintenant sur le H bleu (coller les lignes helper) puis copie/colle le texte en gras ci-dessous dans la fenêtre de ZHPFix




[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
O69 - SBI: C:\Users\ANTOINE\AppData\Roaming\Mozilla\Firefox\Profiles\\5pahd8ve.default\searchplugins\conduit.xml
O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("CT2504091.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A435D7A4933&form=CONORG&conlogo=CT3210127
O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");
O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}");
O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("extensions.snipit.askTbInstalled", true);






* Clique sur Ok ensuite sur Tous et enfin Nettoyer
* Poste dans ta prochaine réponse le contenu du rapport qui s'affiche à l'écran

0
Réponse 15 / 24
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
22 juin 2010 à 16:24
Re

Si j'ai bien suivi sa doit etre sa :


ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 22/06/2010 16:23:33
Fichier d'export Registre : C:\ZHPExportRegistry-22-06-2010-16-23-33.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

Préférences navigateur :
O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("CT2504091.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A435D7A4933&form=CONORG&conlogo=CT3210127 => Valeur supprimée avec succès
O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q="); => Valeur supprimée avec succès
O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("extensions.snipit.askTbInstalled", true); => Valeur supprimée avec succès

Dossier :
(Néant)

Fichier :
c:\users\antoine\appdata\roaming\mozilla\firefox\profiles\\5pahd8ve.default\searchplugins\conduit.xml => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 2
Dossier : 0
Fichier : 1
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 4
Autre : 0


End of the scan
0
Réponse 16 / 24
Utilisateur anonyme
22 juin 2010 à 17:25
Re

ok

fais ceci maintenant

1) tu as une ancienne version de Firefox

*>> Mozilla Firefox
>> Mozilla Firefox

2) * Sécurise le navigateur Firefox(Utilise le en Priorité) avec NoScript + AdBlock Plus
>> Securiser Firefox

3) * tu rajouteras aussi WOT il permet d'identifier aisément les sites dangereux dans les résultats de recherche et dans Firefox,explorer et Google Chrome
>> WOT

4) * Installe ce Soft qui te tiendra au courant des mises à jour de tes Logiciels installés
>> Secunia Personal Software Inspector

5)* Télécharges ToolsCleaner de A.Rothstein
.pour enlever les programmes utilisés pendant la procédure.

>> ToolsCleaner

. Enregistres ToolsCleaner2.exe sur le Bureau.
. Double-cliquer dessus, puis cliquer sur >> Recherche
==> Le programme va chercher les utilitaires installé
.Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !
. Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés,
. cliques sur ==> Suppression afin de les supprimer.
. et ensuite cliques ==> vidage Corbeille
. Fermes le programme en cliquant sur "Quitter ".
. Postes le rapport qui se trouve ici >>> C:\TCleaner.txt
. tu termines en faisant un clic droit sur ToolsCleaner et tu le supprimes


0
Réponse 17 / 24
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
Modifié par dark-people le 22/06/2010 à 18:50
Re

J'ai installé tous ce que tu ma cité mai je ne trouve pas le rapport dans le disque dur comme tu me le dit .
J'ai rechercher a l'aide de la barre en bas du menu windows en marquant " TCleaner.txt" mais il ne trouve pas .

Pourtant il a trouvé des outils que j'ai supprimé puis quitté

Et c'est mieux de resté sur firefox plutot que sur google chrome comme j'était ?
Car je préfere l'interface de chrome a firefox .
0
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
22 juin 2010 à 18:54
Sinon la j'ai relancer le logiciel et copié collé se qu'il y a dans l'ecran blanc je pense que sa doit etre sa qui t'intéréssé :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Program Files (x86)\ZHPDiag: trouvé !
C:\Program Files (x86)\List_Kill'em\catchme.exe: trouvé !
C:\Program Files (x86)\List_Kill'em\mbr.exe: trouvé !
C:\Program Files (x86)\trend micro\HijackThis.exe: trouvé !
C:\Program Files (x86)\trend micro\hijackthis.log: trouvé !
C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\catchme.exe: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.log: trouvé !
C:\Program Files (x86)\ZHPDiag\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files (x86)\List_Kill'em\catchme.exe: ERREUR DE SUPPRESSION !!
C:\Program Files (x86)\trend micro\HijackThis.exe: ERREUR DE SUPPRESSION !!
C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: ERREUR DE SUPPRESSION !!
C:\Program Files (x86)\ZHPDiag\catchme.exe: ERREUR DE SUPPRESSION !!
C:\Program Files (x86)\List_Kill'em\mbr.exe: ERREUR DE SUPPRESSION !!
C:\Program Files (x86)\trend micro\hijackthis.log: ERREUR DE SUPPRESSION !!
C:\Program Files (x86)\ZHPDiag\mbr.log: ERREUR DE SUPPRESSION !!
C:\Program Files (x86)\ZHPDiag\mbr.exe: ERREUR DE SUPPRESSION !!
C:\Program Files (x86)\ZHPDiag: ERREUR DE SUPPRESSION !!
0
Réponse 18 / 24
Utilisateur anonyme
22 juin 2010 à 18:55
Re dark-people

ok,pour moi c est terminé

Si tu n as pas d autres soucis

tu mets en résolu

>> Mettre son Sujet en Résolu
0
Réponse 19 / 24
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
22 juin 2010 à 19:13
Merci beaucoup pour ton aide .

La j'ai reboot mon pc pour vérifier mais en faite mon vrai probleme est que mon UC est toujours a 100% a cause des processus svchost.exe .
Comme je croyé que c'était du a un virus j'avai été sur activescan .

Donc je ne sais pas si tu peut m'aider aussi a résoudre se probleme ou me rediriger vers un autre post .

Pour que mon pc ram un peut moin je met les processus les plus actif en haut et je ferme quelque un pour aller mieux ...
0
dark-people Messages postés 21 Date d'inscription samedi 19 juin 2010 Statut Membre Dernière intervention 22 juin 2010
22 juin 2010 à 19:15
Et aussi esque je peut supprimé les rapport qui traine sur mon bureau ou mieux vos que je les laisse dans un dossier ?
0
Réponse 20 / 24
Utilisateur anonyme
Modifié par VIRUS-C-C le 22/06/2010 à 19:22
Re

les rapports tu peux les supprimer

* Fais un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour
>> Java

2)* Télécharge Defraggler.
>> Defraggler
Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation) puis lance le.
Ferme tous tes autres programmes,
sélectionne ton disque dur et clique sur "Défragmentation rapide".




Contributeur sécurité CCM
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses