Trojan à supprimer

Résolu
dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention   -  
 Utilisateur anonyme -
Bonjour,

J'ai fait un scan avec activescan 2.0 online ,voici le rapport :

************************************
ANALYSIS: 2010-06-20 19:57:09
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
************************************
PROTECTIONS
Description Version Active Updated
====================================================
avast! Antivirus Yes Yes
====================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
====================================================
00049258 Trj/Deldir.A Virus/Trojan No 1 Yes No c:\windows\system32\oem\cleanup.cmd
00049258 Trj/Deldir.A Virus/Trojan No 1 Yes No c:\windows\system32\oem\cleanup_mlp.cmd
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\tlm\appdata\roaming\microsoft\windows\cookies\tlm@atdmt[2].txt
====================================================
SUSPECTS
Sent Location
====================================================
VULNERABILITIES
Id Severity Description

Pouvez-vous SVP m'aider à supprimer ces virus .
D'avance merci .

24 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Salut dark-people

    1) * Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.

    >> Random's System Information Tool (RSIT) par random/random

    * Double-clique sur RSIT.exe afin de lancer RSIT.
    * Sous ==> Windows7/ Vista.
    * Clic droit sur l'icône RSIT.exe , puis sur Exécuter en tant qu'administrateur dans le menu déroulant,afin de lancer RSIT.
    * Clique sur Continue à l'écran Disclaimer.
    * Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
    * Poste le contenu de log.txt (<==qui sera affiché) ainsi que de info.txt (<==qui sera réduit dans la Barre des Tâches).
    * Héberge les rapports un par un sur ce site,
    cijoint.fr
    * Copie/colle les liens générés ici

    * Note : Les deux rapports sont également sauvegardés %systemroot%\rsit

    Pour les rapports
    * rends toi sur http://www.cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster

    si pour RSIT >> tu as un message d erreur

    Fais un Clic droit sur RSIT ==> propriétés ==> Compatibilté

    >> coches la case ==> Exécuter ce programme en Mode Compatibilté pour

    ==>Dans le menu Déroulant choisi ==>Windows Vista (Pack 2)

    >> coche en plus la case >> Exécuter ce programme en tant qu administrateur

    ensuite

    2)
    *Télécharges --> Malwarebytes' (mbam)

    Malwarebytes' (mbam)

    * installes + mise a jour
    * Lances--> Malwarebytes (MBAM)
    * Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
    * puis "Rechercher"
    * Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
    *Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
    * S'il t' es demandé de redémarrer, clique sur "oui "
    * aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici

    0
  2. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Salut VIRUS-C-C
    Et merci pour ta réponse mais :
    Pour RSIT j'ai un message d'érreur apres avoir cliqué sur continué , il charge un peu et me met sa :

    Line 2563 ( file " C:\Users\Antoine\dowloads\RSIT.exe"):

    Error: Variable used without being declared.

    Et je ne peut que cliqué sur OK qui ferme le programme ...

    La je vais téléchargé le 2eme pour voir
    0
    1. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
       
      J'ai téléchargé et mise a jour le 2eme . Mais je ne l'ai pas lancer vu qu'il faut maittre l'autre avant comme tu me la expliqué plus haut .
      0
  3. Utilisateur anonyme
     
    Re

    c est pour cette raison que j avais marqué


    si pour RSIT >> tu as un message d erreur

    Fais un Clic droit sur RSIT ==> propriétés ==> Compatibilté

    >> coches la case ==> Exécuter ce programme en Mode Compatibilté pour

    ==>Dans le menu Déroulant choisi ==>Windows Vista (Pack 2)

    >> coche en plus la case >> Exécuter ce programme en tant qu administrateur

    0
  4. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Voila j'ai mis les 2
    Info ----> http://www.cijoint.fr/cjlink.php?file=cj200906/cijuUynOT0.png

    Log ----> http://www.cijoint.fr/cjlink.php?file=cj201006/cij6APh9JN.txt
    0
    1. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
       
      J'ai lancer le 2eme programme je le post dès que c fini
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Re

    Le rapport que je doit t'envoyé c'est celui du scan que je vien de faire ou je doit refaire un scan apres avoir supprimer et redémarrer PC et t'envoyé ce rapport la ?

    Sinon le 1er rapport donne sa :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4219

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    20/06/2010 23:24:38
    mbam-log-2010-06-20 (23-24-38).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 263041
    Temps écoulé: 52 minute(s), 32 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\ANTOINE\Desktop\clef USB\Autre\rkfree_setup.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.
    C:\Users\ANTOINE\Downloads\AntiBrontokA-en.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

    Le keylogger rkfree je pensé l'avoir supprimer définitivement il y a un moment c'était un ami qui me l'avais montrer .
    0
  7. Utilisateur anonyme
     
    Salut

    * Désactive l'UAC Windows7 ==> UAC Windows7

    * Desactive ton antivirus le temps de la manip

    * Télécharge et installe List&Kill'em de gen-hackman

    et enregistre le sur ton bureau

    >> List&Kill'em de gen-hackman
    * double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
    * coche la case "creer une icone sur le bureau"
    * une fois terminée , clic sur "terminer" et le programme se lancer seul
    * choisis la langue puis choisis l'option >> SEARCH
    * laisse travailler l'outil
    * à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
    * un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.
    * Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
    * réactive ton antivirus


    * Réactive l'UAC
    VIRUS/C/C Helper - Formation - Qualification Helper
    Contributeur sécurité
    0
  8. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Voila il a fini sa c le rapport quand il est a 100% par contre le rapport " catchme" n'apparait pas sur mon bureau mai un document nommé "more" y est par contre :

    ¤¤¤¤¤¤¤¤¤¤ List'em by g3n-h@ckm@n 2.0.1.3 ¤¤¤¤¤¤¤¤¤¤

    User : ANTOINE (Administrateurs)
    Update on 21/06/2010 by g3n-h@ckm@n ::::: 14.30
    Start at: 19:52:37 | 21/06/2010

    AMD Sempron(tm) SI-42
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
    Internet Explorer 8.0.7600.16385
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local | 220,78 Go (121,6 Go free) [Packard Bell] | NTFS
    D:\ -> Disque CD-ROM

    Boot: Normal

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe----25728 Ko
    C:\Program Files\Alwil Software\Avast5\AvastUI.exe----4620 Ko
    C:\Windows\SysWOW64\svchost.exe----13732 Ko
    C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe----4356 Ko
    C:\Program Files (x86)\Packard Bell\Registration\GregHSRW.exe----4728 Ko
    C:\Program Files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe----9616 Ko
    C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe----8268 Ko
    C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe----3620 Ko
    C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe----8012 Ko
    C:\Users\ANTOINE\AppData\Local\Google\Chrome\Application\chrome.exe----44716 Ko
    C:\Users\ANTOINE\AppData\Local\Google\Chrome\Application\chrome.exe----29764 Ko
    C:\Users\ANTOINE\AppData\Local\Google\Chrome\Application\chrome.exe----15808 Ko
    C:\Program Files (x86)\List_Kill'em\List_Kill'em.exe----8192 Ko
    C:\Windows\SysWOW64\cmd.exe----3508 Ko
    C:\Program Files (x86)\List_Kill'em\pv.exe----4948 Ko

    ============
    Keys "Run"
    ============

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    msnmsgr REG_SZ "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
    Google Update REG_SZ "C:\Users\ANTOINE\AppData\Local\Google\Update\GoogleUpdate.exe" /c

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    avast5 REG_SZ "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

    =============
    Other Keys
    =============

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    ConsentPromptBehaviorAdmin REG_DWORD 0 (0x0)
    ConsentPromptBehaviorUser REG_DWORD 3 (0x3)
    EnableInstallerDetection REG_DWORD 1 (0x1)
    EnableLUA REG_DWORD 0 (0x0)
    EnableSecureUIAPaths REG_DWORD 1 (0x1)
    EnableUIADesktopToggle REG_DWORD 0 (0x0)
    EnableVirtualization REG_DWORD 1 (0x1)
    PromptOnSecureDesktop REG_DWORD 0 (0x0)
    ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
    dontdisplaylastusername REG_DWORD 0 (0x0)
    legalnoticecaption REG_SZ
    legalnoticetext REG_SZ
    scforceoption REG_DWORD 0 (0x0)
    shutdownwithoutlogon REG_DWORD 1 (0x1)
    undockwithoutlogon REG_DWORD 1 (0x1)
    FilterAdministratorToken REG_DWORD 0 (0x0)

    ===============

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveTypeAutoRun REG_DWORD 145 (0x91)

    ===============

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoActiveDesktop REG_DWORD 1 (0x1)
    NoActiveDesktopChanges REG_DWORD 1 (0x1)
    ForceActiveDesktopOn REG_DWORD 0 (0x0)

    ===============

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    AppInit_DLLS REG_SZ

    ===============

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    ReportBootOk REG_SZ 1
    Shell REG_SZ explorer.exe
    PreCreateKnownFolders REG_SZ {A520A1A4-1780-4FF6-BD18-167343C5AF16}
    DefaultDomainName REG_SZ
    DefaultUserName REG_SZ
    Userinit REG_SZ C:\Windows\system32\userinit.exe,
    VMApplet REG_SZ SystemPropertiesPerformance.exe /pagefile

    ===============

    ===============

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

    ===============

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    ===============
    ActivX controls
    ===============

    [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
    [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}]
    [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]

    ===============
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

    =====
    BHO :
    =====

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3afb572a-bfde-44f7-8e5c-3e70727fb484}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E8DF67A1-B618-4F3F-9E7C-CBE175ADEF5B}]

    ===
    DNS
    ===

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{EC370A85-B9DB-4E68-8B23-619B625E537D}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{EC370A85-B9DB-4E68-8B23-619B625E537D}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{EC370A85-B9DB-4E68-8B23-619B625E537D}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    ================
    Internet Explorer :
    ================

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_lj61&r=27361109n305l03f4z105f47n2s210
    Local Page REG_SZ C:\Windows\SysWOW64\blank.htm
    Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    Default_Page_URL REG_SZ http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_lj61&r=27361109n305l03f4z105f47n2s210
    Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Local Page REG_SZ C:\Windows\system32\blank.htm
    Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    ========
    Services
    ========

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

    Ndisuio : 0x3 ( OK = 3 )
    EapHost : 0x3 ( OK = 2 )
    Wlansvc : 0x2 ( OK = 2 )
    SharedAccess : 0x2 ( OK = 2 )
    windefend : 0x2 ( OK = 2 )
    wuauserv : 0x2 ( OK = 2 )
    wscsvc : 0x2 ( OK = 2 )

    ========
    Safemode
    ========

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot : OK !!
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal : OK !!
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network : OK !!

    =========
    Atapi.sys
    =========

    C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_amd64_neutral_a69a58a4286f0b22\atapi.sys :
    [MD5.02062c0b390b7729edc9e69c680a6f3c]
    [SHA256.0261683c6dc2706dce491a1cdc954ac9c9e649376ec30760bb4e225e18dc5273]

    C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_392d19c13b3ad543\atapi.sys :
    [MD5.02062c0b390b7729edc9e69c680a6f3c]
    [SHA256.0261683c6dc2706dce491a1cdc954ac9c9e649376ec30760bb4e225e18dc5273]

    Référence :
    ==========

    Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
    Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
    Win XP_32b : a64013e98426e1877cb653685c5c0009
    Win XP_SP1_32b : 95b858761a00e1d4f81f79a0da019aca
    Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
    Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
    Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
    Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
    Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
    Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
    Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
    Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
    Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

    =======
    Drive :
    =======

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Present !! : C:\ProgramData\FullRemove.exe
    Present !! : C:\ProgramData\FullRemove.exe
    Present !! : C:\ProgramData\FullRemove.exe
    Present !! : C:\ProgramData\FullRemove.exe
    Present !! : C:\Program Files (x86)\DAEMON Tools Toolbar
    Present !! : C:\Program Files (x86)\Mozilla FireFox\Components\AskSearch.js
    Present !! : C:\Windows\System32\ealregsnapshot1.reg
    Present !! : C:\Windows\Syswow64\ealregsnapshot1.reg
    Present !! : C:\Users\ANTOINE\AppData\Local\GDIPFONTCACHEV1.DAT
    Present !! : C:\Users\ANTOINE\AppData\Roaming\.#
    Present !! : C:\Users\ANTOINE\LOCAL Settings\Temp\sfamcc00001.dll
    Present !! : C:\Users\ANTOINE\LOCAL Settings\Temp\sfareca00001.dll

    ¤¤¤¤¤¤¤¤¤¤ Keys :

    Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktopChanges
    Present !! : "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}"
    Present !! : "HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}"
    Present !! : "HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}"
    Present !! : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
    Present !! : HKCU\Software\Conduit
    Present !! : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
    Present !! : HKLM\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
    Present !! : HKLM\Software\Conduit

    FEATURE_BROWSER_EMULATION | svchost :
    ====================================

    ============

    driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-06-21 20:12:00
    Windows 6.1.7600 WOW64 FAT NTAPI

    detected NTDLL code modification:
    ZwEnumerateKey 0 != 47, ZwQueryKey 0 != 19, ZwOpenKey 0 != 15, ZwClose 0 != 12, ZwEnumerateValueKey 0 != 16, ZwQueryValueKey 0 != 20, ZwOpenFile 0 != 48, ZwQueryDirectoryFile 0 != 50, ZwQuerySystemInformation 0 != 51Initialization error

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: error reading MBR

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    End of scan : 21:09:03,88
    0
  9. Utilisateur anonyme
     
    * Relance List_Kill'em( clic droit "executer en tant qu'administrateur" pour vista/7),avec le raccourci sur ton bureau.
    * cette fois-ci :
    * choisis l'option >> CLEAN
    * ton PC va redemarrer,
    * laisse travailler l'outil.
    * en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
    * colle le contenu dans ta reponse

    0
  10. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Quand je vais pour le lancer il m'affiche le programme avec tous les choix je clique donc sur clean , mais il m'affiche ce message :

    windows ne trouve pas ' reboot.bat'. Vérifier que vous avez entré le nom correct , puis réessayer .

    Je doit peut etre rebaisser l'UAC et désactiver l'antivirus ?
    0
  11. Utilisateur anonyme
     
    Re

    * Redemarres en mode sans echec
    * Pour cela, tu tapotes la touche F8 à l'allumage du pc sans t'arrêter.
    * Une fenêtre va s'ouvrir. Choisis démarrer en mode sans échec puis tape entrée.
    * Choisis ton compte

    relances killem
    option >> safemode clean
    0
  12. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Je t'avais posté des parti du rapport mais je me suis rappelé de ce site qui est beaucoup plus simple =D . Par contre même en mode sans échec sa m'avais remis le même type de message j'ai donc réinstallé ton logiciel et relancé ( toujours en mode sans échec je n'avais pas reboot ) et la sa a marcher et donner sa :

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijjFSEqWC.txt ( kill'em )

    Bonne lecture la longueur du fichier ma fait peur =)
    0
  13. Utilisateur anonyme
     
    Salut

    Poste moi l info.txt de RSIT
    car tu m a envoyé une image à la place

    Cliques >> Démarrer >> Ordinateur >> Disque >> Dossier RSIT >>Info.txt

    ensuite
    2)* télécharges et installes Ccleaner

    >> Ccleaner Ccleaner

    * Une fois sur le bureau, clic sur l'install de CCleaner.
    * Ensuite, clique sur Options ==> Avancé et décoche la case
    * Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures
    * Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage.
    * Ensuite clique sur l'icone==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées.
    * Accepte la sauvegarde, de la BDR (base de registre )qu'il propose
    * Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)

    3)* Désactive l'UAC Windows7 >> Désactive l'UAC Windows7 >> UAC Windows7

    * Télécharge ZHPDiag (de Nicolas coolman)

    >> ZHPDiag (de Nicolas coolman)
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Réactive l'UAC

    Pour t aider ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster

    0
  14. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Re

    Voila les deux rapports :

    http://www.cijoint.fr/cjlink.php?file=cj201006/cij7WPX5U9.txt -----> info

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijw6atZXg.txt -----> ZHPdiag
    0
  15. Utilisateur anonyme
     
    * Relance ZHPDiag refais un scan, ce dernier terminé
    * clique sur l'icone en forme d'écusson vert ZHPFix
    * ZHPFix se lancera, clique maintenant sur le H bleu (coller les lignes helper) puis copie/colle le texte en gras ci-dessous dans la fenêtre de ZHPFix



    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
    O69 - SBI: C:\Users\ANTOINE\AppData\Roaming\Mozilla\Firefox\Profiles\\5pahd8ve.default\searchplugins\conduit.xml
    O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("CT2504091.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A435D7A4933&form=CONORG&conlogo=CT3210127
    O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");
    O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}");
    O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("extensions.snipit.askTbInstalled", true);



    * Clique sur Ok ensuite sur Tous et enfin Nettoyer
    * Poste dans ta prochaine réponse le contenu du rapport qui s'affiche à l'écran

    0
  16. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Re

    Si j'ai bien suivi sa doit etre sa :

    ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 22/06/2010 16:23:33
    Fichier d'export Registre : C:\ZHPExportRegistry-22-06-2010-16-23-33.txt
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    (Néant)

    Elément de données du Registre :
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

    Préférences navigateur :
    O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("CT2504091.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A435D7A4933&form=CONORG&conlogo=CT3210127 => Valeur supprimée avec succès
    O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q="); => Valeur supprimée avec succès
    O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}"); => Valeur supprimée avec succès
    O69 - SBI: prefs.js [ANTOINE - 5pahd8ve.default] user_pref("extensions.snipit.askTbInstalled", true); => Valeur supprimée avec succès

    Dossier :
    (Néant)

    Fichier :
    c:\users\antoine\appdata\roaming\mozilla\firefox\profiles\\5pahd8ve.default\searchplugins\conduit.xml => Supprimé et mis en quarantaine

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Master Boot Record :
    (Néant)

    Autre :
    (Néant)

    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 0
    Elément de données du Registre : 2
    Dossier : 0
    Fichier : 1
    Logiciel : 0
    Master Boot Record : 0
    Préférences navigateur : 4
    Autre : 0

    End of the scan
    0
  17. Utilisateur anonyme
     
    Re

    ok

    fais ceci maintenant

    1) tu as une ancienne version de Firefox

    *>> Mozilla Firefox
    >> Mozilla Firefox

    2) * Sécurise le navigateur Firefox(Utilise le en Priorité) avec NoScript + AdBlock Plus
    >> Securiser Firefox

    3) * tu rajouteras aussi WOT il permet d'identifier aisément les sites dangereux dans les résultats de recherche et dans Firefox,explorer et Google Chrome
    >> WOT

    4) * Installe ce Soft qui te tiendra au courant des mises à jour de tes Logiciels installés
    >> Secunia Personal Software Inspector

    5)* Télécharges ToolsCleaner de A.Rothstein
    .pour enlever les programmes utilisés pendant la procédure.

    >> ToolsCleaner

    . Enregistres ToolsCleaner2.exe sur le Bureau.
    . Double-cliquer dessus, puis cliquer sur >> Recherche
    ==> Le programme va chercher les utilitaires installé
    .Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !
    . Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés,
    . cliques sur ==> Suppression afin de les supprimer.
    . et ensuite cliques ==> vidage Corbeille
    . Fermes le programme en cliquant sur "Quitter ".
    . Postes le rapport qui se trouve ici >>> C:\TCleaner.txt
    . tu termines en faisant un clic droit sur ToolsCleaner et tu le supprimes

    0
  18. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Re

    J'ai installé tous ce que tu ma cité mai je ne trouve pas le rapport dans le disque dur comme tu me le dit .
    J'ai rechercher a l'aide de la barre en bas du menu windows en marquant " TCleaner.txt" mais il ne trouve pas .

    Pourtant il a trouvé des outils que j'ai supprimé puis quitté

    Et c'est mieux de resté sur firefox plutot que sur google chrome comme j'était ?
    Car je préfere l'interface de chrome a firefox .
    0
    1. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
       
      Sinon la j'ai relancer le logiciel et copié collé se qu'il y a dans l'ecran blanc je pense que sa doit etre sa qui t'intéréssé :

      [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

      --> Recherche:

      C:\Program Files (x86)\ZHPDiag: trouvé !
      C:\Program Files (x86)\List_Kill'em\catchme.exe: trouvé !
      C:\Program Files (x86)\List_Kill'em\mbr.exe: trouvé !
      C:\Program Files (x86)\trend micro\HijackThis.exe: trouvé !
      C:\Program Files (x86)\trend micro\hijackthis.log: trouvé !
      C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: trouvé !
      C:\Program Files (x86)\ZHPDiag\catchme.exe: trouvé !
      C:\Program Files (x86)\ZHPDiag\mbr.log: trouvé !
      C:\Program Files (x86)\ZHPDiag\mbr.exe: trouvé !

      ---------------------------------
      --> Suppression:

      C:\Program Files (x86)\List_Kill'em\catchme.exe: ERREUR DE SUPPRESSION !!
      C:\Program Files (x86)\trend micro\HijackThis.exe: ERREUR DE SUPPRESSION !!
      C:\Program Files (x86)\ZHPDiag\ZHPdiag.exe: ERREUR DE SUPPRESSION !!
      C:\Program Files (x86)\ZHPDiag\catchme.exe: ERREUR DE SUPPRESSION !!
      C:\Program Files (x86)\List_Kill'em\mbr.exe: ERREUR DE SUPPRESSION !!
      C:\Program Files (x86)\trend micro\hijackthis.log: ERREUR DE SUPPRESSION !!
      C:\Program Files (x86)\ZHPDiag\mbr.log: ERREUR DE SUPPRESSION !!
      C:\Program Files (x86)\ZHPDiag\mbr.exe: ERREUR DE SUPPRESSION !!
      C:\Program Files (x86)\ZHPDiag: ERREUR DE SUPPRESSION !!
      0
  19. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Merci beaucoup pour ton aide .

    La j'ai reboot mon pc pour vérifier mais en faite mon vrai probleme est que mon UC est toujours a 100% a cause des processus svchost.exe .
    Comme je croyé que c'était du a un virus j'avai été sur activescan .

    Donc je ne sais pas si tu peut m'aider aussi a résoudre se probleme ou me rediriger vers un autre post .

    Pour que mon pc ram un peut moin je met les processus les plus actif en haut et je ferme quelque un pour aller mieux ...
    0
    1. dark-people Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
       
      Et aussi esque je peut supprimé les rapport qui traine sur mon bureau ou mieux vos que je les laisse dans un dossier ?
      0
  20. Utilisateur anonyme
     
    Re

    les rapports tu peux les supprimer

    * Fais un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour
    >> Java

    2)* Télécharge Defraggler.
    >> Defraggler
    Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation) puis lance le.
    Ferme tous tes autres programmes,
    sélectionne ton disque dur et clique sur "Défragmentation rapide".


    Contributeur sécurité CCM
    0
  • 1
  • 2