Infection par : TR/Click.Cycler.ajtm Résolu/Fermé

Question

Configuration: Windows Vista 32 bits / Firefox 3.6.3 / Avira Antivir Bonsoir, J'ai, comme vous vous en doutez, des soucis avec mon ordinateur portable... Pour ma soutenance, je recherchais des astuces d'utilisation pour Powerpoint, et je crois malheureusement être tombé là où il ne fallait pas (vraiment poisseux moi, c'est pas la première fois...). Résultats : A l'ouverture de ma session en mode classique, plus de connexion au réseau sans fil, et impossible d'ouvrir n'importe quelle application, ne serait-ce que le bloc-notes ou la calculette. Quand j'essaye, j'ai le petit cercle de chargement en curseur qui dure, qui dure, qui dure... Je ne suis pas spécialiste, mais il semblerait que ce soit l'explorateur de Windows qui soit touché, vu qu'aucune fenêtre ne s'ouvre, même celles du genre "panneau de configuration". Bref, j'ai effectué un scan avec Antivir, il m'a trouvé les résultats ci-dessous, avec notamment le virus nommé en titre, en double. Pourrais-je compter sur votre aide pour m'aider à résoudre cet os qui rend mon ordinateur inutilisable à part en mode sans échec (avec ou sans réseau) ? Merci pour toute intervention utile... Avira AntiVir Personal Date de création du fichier de rapport : jeudi 24 juin 2010 20:02 La recherche porte sur 2237258 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (Service Pack 2) [6.0.6002] Mode Boot : Mode sans échec Identifiant : Thomas Nom de l'ordinateur : PC-DE-THOMAS Informations de version : BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 29/11/2009 22:30:02 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 22:30:01 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 22:30:01 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 19:07:16 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 14:05:02 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 22:17:48 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 12:01:50 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 17:00:24 VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 17:00:25 VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 17:00:25 VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 17:00:25 VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 17:00:25 VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 17:00:25 VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 17:00:25 VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 15:24:51 VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 21:00:32 VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 12:44:17 VBASE016.VDF : 7.10.8.135 152064 Bytes 21/06/2010 14:10:43 VBASE017.VDF : 7.10.8.136 2048 Bytes 21/06/2010 14:10:43 VBASE018.VDF : 7.10.8.137 2048 Bytes 21/06/2010 14:10:43 VBASE019.VDF : 7.10.8.138 2048 Bytes 21/06/2010 14:10:43 VBASE020.VDF : 7.10.8.139 2048 Bytes 21/06/2010 14:10:43 VBASE021.VDF : 7.10.8.140 2048 Bytes 21/06/2010 14:10:43 VBASE022.VDF : 7.10.8.141 2048 Bytes 21/06/2010 14:10:43 VBASE023.VDF : 7.10.8.142 2048 Bytes 21/06/2010 14:10:43 VBASE024.VDF : 7.10.8.143 2048 Bytes 21/06/2010 14:10:43 VBASE025.VDF : 7.10.8.144 2048 Bytes 21/06/2010 14:10:43 VBASE026.VDF : 7.10.8.145 2048 Bytes 21/06/2010 14:10:43 VBASE027.VDF : 7.10.8.146 2048 Bytes 21/06/2010 14:10:43 VBASE028.VDF : 7.10.8.147 2048 Bytes 21/06/2010 14:10:44 VBASE029.VDF : 7.10.8.148 2048 Bytes 21/06/2010 14:10:44 VBASE030.VDF : 7.10.8.149 2048 Bytes 21/06/2010 14:10:44 VBASE031.VDF : 7.10.8.154 101888 Bytes 22/06/2010 14:10:44 Version du moteur : 8.2.2.6 AEVDF.DLL : 8.1.2.0 106868 Bytes 23/04/2010 20:52:00 AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 03/06/2010 17:01:18 AESCN.DLL : 8.1.6.1 127347 Bytes 13/05/2010 23:09:18 AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 20:52:01 AERDL.DLL : 8.1.4.6 541043 Bytes 17/04/2010 12:02:01 AEPACK.DLL : 8.2.1.1 426358 Bytes 21/03/2010 17:06:23 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13/05/2010 23:09:17 AEHEUR.DLL : 8.1.1.33 2724214 Bytes 10/06/2010 15:24:57 AEHELP.DLL : 8.1.11.5 242038 Bytes 03/06/2010 17:00:37 AEGEN.DLL : 8.1.3.10 377205 Bytes 03/06/2010 17:00:33 AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 20:51:59 AECORE.DLL : 8.1.15.3 192886 Bytes 13/05/2010 23:09:13 AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 20:51:58 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 29/11/2009 22:30:02 AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 22:23:22 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 29/11/2009 22:30:00 RCTEXT.DLL : 9.0.73.0 88321 Bytes 29/11/2009 22:30:00 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR, Début de la recherche : jeudi 24 juin 2010 20:02 La recherche d'objets cachés commence. Impossible d'initialiser le pilote. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés Module OK -> 'C:\System Volume Information\Microsoft\smss.exe' [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Module OK -> 'C:\System Volume Information\Microsoft\services.exe' [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '21' processus ont été contrôlés avec '21' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '51' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Users\Thomas\AppData\Local\Temp\2759142.exe [RESULTAT] Contient le cheval de Troie TR/Click.Cycler.ajtm C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\a441979-673c6e3a [RESULTAT] Contient le cheval de Troie TR/Click.Cycler.ajtm C:\Windows\System32\drivers\sptd.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Recherche débutant dans 'D:\' Début de la désinfection : C:\Users\Thomas\AppData\Local\Temp\2759142.exe [RESULTAT] Contient le cheval de Troie TR/Click.Cycler.ajtm [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c58ba4e.qua' ! C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\a441979-673c6e3a [RESULTAT] Contient le cheval de Troie TR/Click.Cycler.ajtm [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c57ba4b.qua' ! Fin de la recherche : jeudi 24 juin 2010 22:03 Temps nécessaire: 1:46:53 Heure(s) La recherche a été effectuée intégralement 29987 Les répertoires ont été contrôlés 1277305 Des fichiers ont été contrôlés 2 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 2 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 4 Impossible de contrôler des fichiers 1277299 Fichiers non infectés 4423 Les archives ont été contrôlées 4 Avertissements 3 Consignes

Xplode · Answer

Salut,

Tu as accès au mode sans échec avec prise en charge réseau?

Tom_Criz · Answer

Oui, c'est ce que j'utilise actuellement.

Xplode · Answer

Ok, ca va nous suffir.

-+-+-+-+-> RSIT <-+-+-+-+-


[x] Télécharge RSIT ( de random/random ) sur ton bureau.

[x] Lance le ( Utilisateurs de vista/seven -> Clic droit puis [Exécuter en tant qu'administrateur] )

[x] Clique sur [Continue] à l'écran disclaimer. Hijackthis va être téléchargé et tu devras accepter la license.

[x] Une fois l'analyse terminée, deux rapports s'ouvriront ( log.txt et info.txt ).

[x] Rends toi sur cjoint.

Note : Les deux fichiers sont sauvegardés dans le dossier C:\rsit.

[x] Clique sur [Choisissez un fichier] et séléctionne le fichier log.txt.

[x] Clique ensuite sur [Ouvrir] puis sur [Créer le lien cjoint].

[x] Renouvelle l'opération mais cette fois ci avec le fichier info.txt.

[x] Poste les deux liens cjoint créés dans ta prochaine réponse.

Note : un tutoriel est disponible ici.

Tom_Criz · Answer

Log : https://www.cjoint.com/?gywLgoRepr
Info : https://www.cjoint.com/?gywLFzNTaZ

Voilà là. :)

Xplode · Answer

Ok,

-+-+-+-+-> USBFix <-+-+-+-+-


Note : Ton PC est victime d'une infection par médias amovibles. Tu trouveras plus d'informations sur cette infection ici.

[x] Télécharge USBfix ( d'El desaparecido et C_XX ) sur ton bureau.

[x] Si ton anvirus affiche une alerte, ignore le et désactive le momentanément.

[x] Branche tout tes médias amovibles à ton PC ( Clé USB, disque dur externe, carte SD etc.. ) sans les ouvrir.

[x] Exécute USBfix sur ton bureau puis clique sur " Suppression ".

[x] Patiente pendant le scan. Un rapport s'ouvrira, copie/colle son contenu dans ton prohain message.

Notes : Le rapport est également sauvegardé à la racine du disque dur ( généralement C:\ )

Un tutoriel en images est disponible ici.

Tom_Criz · Answer

############################## | UsbFix 7.014 | [Suppression]

Utilisateur: Thomas (Administrateur) # PC-DE-THOMAS [Dell Inc. XPS M1530]
Mis à jour le 24/06/10 par El Desaparecido / C_XX
Lancé à 22:56:15 | 24/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T5800 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T5800 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18928

Pare-feu Windows: Activé
RAM -> 3069 Mo 
C:\ (%systemdrive%) -> Disque fixe # 220 Go (104 Go libre(s) - 47%) [OS] # NTFS
D:\ -> Disque fixe # 10 Go (5 Go libre(s) - 50%) [RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 497 Mo (385 Mo libre(s) - 77%) [] # FAT32
G:\ -> CD-ROM
H:\ -> Disque fixe # 149 Go (75 Go libre(s) - 50%) [LACIE] # FAT32

################## | Éléments infectieux |

Supprimé! C:\Windows\system32\autorun.inf
Supprimé! C:\Users\Thomas\AppData\Local\Temp\100.dat
Supprimé! C:\Users\Thomas\AppData\Local\Temp\loader.exe

################## | Registre |

Supprimé! HKCU\Software\M5T8QL3YW3

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4a6e979c-7202-11de-afa3-002269bf60f0}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6b80110d-b1b3-11dd-9926-002269bf60f0}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d6ab5302-421e-11df-85bd-002269bf60f0}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e9910757-fa1e-11de-91e3-806e6f6e6963}

################## | Listing |

[24/06/2010 - 23:03:55 | SHD ] 	C:\$Recycle.Bin
[30/11/2009 - 06:00:01 | D ] 	C:\$WINDOWS.~BT
[14/03/2010 - 18:37:56 | D ] 	C:\Autodesk
[18/09/2006 - 23:43:36 | A | 24] 	C:\autoexec.bat
[30/11/2009 - 06:03:17 | D ] 	C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] 	C:\bootmgr
[18/09/2006 - 23:43:37 | A | 10] 	C:\config.sys
[13/10/2008 - 21:58:03 | D ] 	C:\DELL
[04/10/2008 - 04:13:30 | RAH | 5051] 	C:\dell.sdr
[03/10/2008 - 18:38:40 | D ] 	C:\Documents and Settings
[24/06/2010 - 22:54:50 | D ] 	C:\Downloads
[04/10/2008 - 04:02:47 | D ] 	C:\Drivers
[12/04/2010 - 16:20:24 | A | 0] 	C:\hpfr5550.xml
[02/05/2007 - 12:03:15 | A | 267864] 	C:\hpzids01.dll
[15/11/2008 - 01:43:14 | RASH | 0] 	C:\IO.SYS
[03/06/2010 - 20:01:10 | A | 127] 	C:\mbam-error.txt
[15/11/2008 - 01:43:14 | RASH | 0] 	C:\MSDOS.SYS
[14/04/2010 - 19:54:29 | RHD ] 	C:\MSOCache
[24/06/2010 - 22:08:14 | ASH | 3533000704] 	C:\pagefile.sys
[21/06/2009 - 15:05:12 | D ] 	C:\PP
[24/06/2010 - 22:08:40 | AD ] 	C:\Program Files
[04/06/2010 - 10:33:42 | HD ] 	C:\ProgramData
[09/01/2010 - 01:00:48 | A | 5118] 	C:\rollback.ini
[24/06/2010 - 22:29:39 | D ] 	C:\rsit
[31/10/2009 - 22:51:14 | AH | 232] 	C:\sqmdata00.sqm
[31/10/2009 - 23:44:44 | AH | 232] 	C:\sqmdata01.sqm
[31/10/2009 - 23:44:50 | AH | 232] 	C:\sqmdata02.sqm
[31/10/2009 - 23:45:11 | AH | 232] 	C:\sqmdata03.sqm
[31/10/2009 - 23:46:33 | AH | 232] 	C:\sqmdata04.sqm
[31/10/2009 - 23:47:15 | AH | 232] 	C:\sqmdata05.sqm
[01/11/2009 - 20:08:07 | AH | 232] 	C:\sqmdata06.sqm
[01/11/2009 - 21:34:09 | AH | 232] 	C:\sqmdata07.sqm
[01/11/2009 - 21:34:19 | AH | 232] 	C:\sqmdata08.sqm
[01/11/2009 - 21:37:19 | AH | 232] 	C:\sqmdata09.sqm
[02/11/2009 - 20:59:07 | AH | 232] 	C:\sqmdata10.sqm
[02/11/2009 - 20:59:37 | AH | 232] 	C:\sqmdata11.sqm
[03/11/2009 - 17:45:22 | AH | 232] 	C:\sqmdata12.sqm
[03/11/2009 - 19:58:02 | AH | 232] 	C:\sqmdata13.sqm
[30/10/2009 - 02:41:33 | AH | 232] 	C:\sqmdata14.sqm
[30/10/2009 - 02:43:27 | AH | 232] 	C:\sqmdata15.sqm
[30/10/2009 - 19:46:46 | AH | 232] 	C:\sqmdata16.sqm
[31/10/2009 - 21:52:17 | AH | 232] 	C:\sqmdata17.sqm
[31/10/2009 - 21:53:58 | AH | 232] 	C:\sqmdata18.sqm
[31/10/2009 - 21:58:38 | AH | 232] 	C:\sqmdata19.sqm
[31/10/2009 - 22:51:14 | AH | 244] 	C:\sqmnoopt00.sqm
[31/10/2009 - 23:44:44 | AH | 244] 	C:\sqmnoopt01.sqm
[31/10/2009 - 23:44:50 | AH | 244] 	C:\sqmnoopt02.sqm
[31/10/2009 - 23:45:11 | AH | 244] 	C:\sqmnoopt03.sqm
[31/10/2009 - 23:46:33 | AH | 244] 	C:\sqmnoopt04.sqm
[31/10/2009 - 23:47:15 | AH | 244] 	C:\sqmnoopt05.sqm
[01/11/2009 - 20:08:07 | AH | 244] 	C:\sqmnoopt06.sqm
[01/11/2009 - 21:34:09 | AH | 244] 	C:\sqmnoopt07.sqm
[01/11/2009 - 21:34:19 | AH | 244] 	C:\sqmnoopt08.sqm
[01/11/2009 - 21:37:19 | AH | 244] 	C:\sqmnoopt09.sqm
[02/11/2009 - 20:59:07 | AH | 244] 	C:\sqmnoopt10.sqm
[02/11/2009 - 20:59:37 | AH | 244] 	C:\sqmnoopt11.sqm
[03/11/2009 - 17:45:22 | AH | 244] 	C:\sqmnoopt12.sqm
[03/11/2009 - 19:58:02 | AH | 244] 	C:\sqmnoopt13.sqm
[30/10/2009 - 02:41:33 | AH | 244] 	C:\sqmnoopt14.sqm
[30/10/2009 - 02:43:27 | AH | 244] 	C:\sqmnoopt15.sqm
[30/10/2009 - 19:46:46 | AH | 244] 	C:\sqmnoopt16.sqm
[31/10/2009 - 21:52:17 | AH | 244] 	C:\sqmnoopt17.sqm
[31/10/2009 - 21:53:58 | AH | 244] 	C:\sqmnoopt18.sqm
[31/10/2009 - 21:58:38 | AH | 244] 	C:\sqmnoopt19.sqm
[23/06/2010 - 09:29:25 | SHD ] 	C:\System Volume Information
[24/06/2010 - 23:03:55 | D ] 	C:\UsbFix
[24/06/2010 - 22:56:15 | A | 0] 	C:\UsbFix.txt
[20/10/2009 - 21:26:21 | RD ] 	C:\Users
[22/06/2010 - 19:10:05 | D ] 	C:\Windows
[30/11/2009 - 06:00:07 | ASH | 268435456] 	C:\WinPEpge.sys
[24/06/2010 - 23:03:55 | SHD ] 	D:\$RECYCLE.BIN
[03/10/2008 - 20:11:00 | D ] 	D:\dell
[19/01/2008 - 10:45:45 | D ] 	D:\Program Files
[19/01/2008 - 10:45:30 | HD ] 	D:\ProgramData
[29/01/2008 - 19:53:24 | D ] 	D:\sources
[06/02/2009 - 21:36:09 | SHD ] 	D:\System Volume Information
[03/10/2008 - 20:26:56 | D ] 	D:\Tools
[19/01/2008 - 10:45:30 | RD ] 	D:\Users
[03/10/2008 - 20:10:22 | D ] 	D:\Windows
[27/12/2002 - 18:44:58 | RASH | 759] 	F:\SETTINGS.DAT
[10/05/2010 - 12:41:14 | A | 584192] 	F:\Choix d'un tarif EDF.xls
[17/06/2010 - 09:59:08 | D ] 	F:\Stage
[10/05/2010 - 16:06:04 | A | 584192] 	F:\Choix d'un tarif EDF2.xls
[04/06/2010 - 10:18:50 | A | 34503960] 	F:\Nokia_PC_Suite_fre_web.exe
[26/10/2007 - 18:09:56 | AH | 296] 	F:\WMPInfo.xml
[26/11/2007 - 22:32:04 | SH | 1634] 	F:\AlbumArt_{4A2802C6-A687-45B6-A29A-E7D61F415F6B}_Small.jpg
[15/06/2010 - 16:24:36 | A | 2116998] 	F:\PPV.bmp
[05/02/2009 - 23:35:42 | A | 36864] 	F:\Fiche Test Th.doc
[27/12/2002 - 18:44:58 | AD ] 	F:\VOICE
[26/08/2007 - 16:55:30 | SH | 2389] 	F:\AlbumArt_{CAD8CB3D-A890-40E1-8D5C-ACA336C6D779}_Small.jpg
[26/08/2007 - 16:55:34 | SH | 8284] 	F:\AlbumArt_{CAD8CB3D-A890-40E1-8D5C-ACA336C6D779}_Large.jpg
[26/08/2007 - 16:56:06 | SH | 3179] 	F:\AlbumArt_{88507036-C9E2-4DFB-9D01-3D779ADA5CF3}_Small.jpg
[23/06/2010 - 08:13:28 | A | 1630038] 	F:\Soutenance stage GIM2.pptx
[07/05/2010 - 09:43:24 | D ] 	F:\IUT
[25/03/2009 - 23:02:40 | A | 670965] 	F:\Photo 001.jpg
[25/03/2009 - 23:04:32 | A | 207542] 	F:\Photo 002.jpg
[25/03/2009 - 23:06:18 | A | 362335] 	F:\Photo 003.jpg
[22/06/2009 - 16:11:04 | H | 8947712] 	F:\~WRL0004.tmp
[26/11/2007 - 22:32:04 | SH | 4988] 	F:\AlbumArt_{4A2802C6-A687-45B6-A29A-E7D61F415F6B}_Large.jpg
[26/08/2007 - 16:56:16 | SH | 15432] 	F:\AlbumArt_{88507036-C9E2-4DFB-9D01-3D779ADA5CF3}_Large.jpg
[26/08/2007 - 16:56:24 | SH | 2803] 	F:\AlbumArt_{FBCE1D9F-CCDD-41FE-9882-6F16C354E5E0}_Small.jpg
[26/08/2007 - 16:56:46 | SH | 12894] 	F:\AlbumArt_{FBCE1D9F-CCDD-41FE-9882-6F16C354E5E0}_Large.jpg
[26/08/2007 - 16:56:40 | SH | 3533] 	F:\AlbumArt_{4F348092-364A-4952-851A-9A192C6732C5}_Small.jpg
[26/11/2007 - 22:34:54 | SH | 2661] 	F:\AlbumArtSmall.jpg
[01/08/2007 - 15:23:48 | SH | 2372] 	F:\AlbumArt_{EA54A7CA-FB53-4DFE-AC45-42D2BCED3F92}_Small.jpg
[26/11/2007 - 21:47:06 | SH | 10025] 	F:\Folder.jpg
[01/08/2007 - 15:23:50 | SH | 8226] 	F:\AlbumArt_{EA54A7CA-FB53-4DFE-AC45-42D2BCED3F92}_Large.jpg
[26/11/2007 - 22:35:12 | SH | 401] 	F:\desktop.ini
[26/08/2007 - 16:46:00 | SH | 2234] 	F:\AlbumArt_{427CA566-E7E9-4ECD-9ED1-1DDADB9D07E8}_Small.jpg
[26/08/2007 - 16:46:16 | SH | 7660] 	F:\AlbumArt_{427CA566-E7E9-4ECD-9ED1-1DDADB9D07E8}_Large.jpg
[01/08/2007 - 15:24:20 | SH | 2618] 	F:\AlbumArt_{FF1D2E96-DE54-444F-B327-0339F70B3F0E}_Small.jpg
[01/08/2007 - 15:24:36 | SH | 10073] 	F:\AlbumArt_{FF1D2E96-DE54-444F-B327-0339F70B3F0E}_Large.jpg
[26/11/2007 - 22:32:42 | SH | 2186] 	F:\AlbumArt_{684A8955-D091-4963-A3C5-2867E1E0787D}_Small.jpg
[26/08/2007 - 16:57:02 | SH | 17163] 	F:\AlbumArt_{4F348092-364A-4952-851A-9A192C6732C5}_Large.jpg
[26/08/2007 - 16:57:12 | SH | 2485] 	F:\AlbumArt_{E3410AB3-FCBA-4261-AAA2-93EF2A16CE92}_Small.jpg
[26/08/2007 - 16:57:54 | SH | 13391] 	F:\AlbumArt_{E3410AB3-FCBA-4261-AAA2-93EF2A16CE92}_Large.jpg
[26/11/2007 - 22:32:52 | SH | 8170] 	F:\AlbumArt_{684A8955-D091-4963-A3C5-2867E1E0787D}_Large.jpg
[26/11/2007 - 22:34:54 | SH | 2661] 	F:\AlbumArt_{60D2A7FA-1617-49AF-B0EB-E61FEC2C6C02}_Small.jpg
[26/11/2007 - 21:47:06 | SH | 10025] 	F:\AlbumArt_{60D2A7FA-1617-49AF-B0EB-E61FEC2C6C02}_Large.jpg
[06/11/2007 - 18:38:30 | SH | 2899] 	F:\AlbumArt_{FD3E93C6-8B00-4F2E-950E-073C7AFD7ED6}_Small.jpg
[06/11/2007 - 18:38:32 | SH | 11243] 	F:\AlbumArt_{FD3E93C6-8B00-4F2E-950E-073C7AFD7ED6}_Large.jpg
[15/01/2009 - 19:48:54 | SHD ] 	H:\FOUND.000
[18/07/2007 - 00:00:00 | AH | 792690688] 	H:\.HPIMAGE.VFS
[18/01/2010 - 01:05:56 | SHD ] 	H:\FOUND.001
[18/01/2010 - 20:04:52 | D ] 	H:\Incomplete
[18/01/2010 - 00:00:36 | D ] 	H:\A imprimer
[04/11/2007 - 21:55:10 | SHD ] 	H:\System Volume Information
[04/11/2007 - 21:57:32 | D ] 	H:\Games Saves
[04/11/2007 - 22:01:36 | SHD ] 	H:\Recycled
[15/09/2009 - 18:50:48 | RD ] 	H:\Mes images & vidéos (save)
[19/10/2009 - 20:15:32 | RD ] 	H:\Documents
[27/11/2009 - 20:33:12 | D ] 	H:\Downloads
[16/11/2007 - 23:37:52 | ASH | 16896] 	H:\Thumbs.db
[10/09/2009 - 18:58:26 | D ] 	H:\Ma musique
[13/10/2008 - 21:55:52 | SHD ] 	H:\$RECYCLE.BIN
[19/10/2008 - 17:01:02 | D ] 	H:\Sports Interactive
[21/04/2009 - 23:20:12 | D ] 	H:\UT 2004

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-THOMAS.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

Xplode · Answer

Bien, relance USBfix et sélectionne cette fois ci " Désinstaller ".

Puis fais ceci :

-+-+-+-+-> AD-Remover <-+-+-+-+-


[x] Télécharge AD-Remover ( de  C_XX ).

[x] Lance AD-Remover puis choisis l'option " Nettoyer ".

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt

Tom_Criz · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:22:08 le 24/06/2010, Mode sans echec

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Thomas@PC-DE-THOMAS (Dell Inc. XPS M1530) 
 
============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé 

0,Fichier supprimé: C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
0,Fichier supprimé: C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
0,Dossier supprimé: C:\Program Files\Application Updater
0,Dossier supprimé: C:\Users\Thomas\AppData\LocalLow\pdfforge
0,Dossier supprimé: C:\Program Files\pdfforge Toolbar
0,Dossier supprimé: C:\Users\Thomas\AppData\LocalLow\Search Settings
3,Fichier supprimé: C:\Windows\Installer\633a4.msi   

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKLM\Software\Classes\Interface\{E5E0A023-3A5B-4F93-9705-2F302440D83C}
0,Clé supprimée: HKLM\Software\Application Updater
0,Clé supprimée: HKLM\Software\pdfforge
0,Clé supprimée: HKLM\Software\Search Settings
0,Clé supprimée: HKCU\Software\Search Settings
0,Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B922D405-6D13-4A2B-AE89-08A030DA4402}
0,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.3 (fr)] **

-- C:\Users\Thomas\AppData\Roaming\Mozilla\FireFox\Profiles\o2wvrdso.default\Prefs.js --
browser.download.dir, C:\Downloads
browser.download.lastDir, C:\Users\Thomas\Pictures\Mes images & vidéos\Cours - boulot\IUT Tremblay\Stage\Rapport
browser.search.defaultenginename, Search
browser.search.defaulturl, hxxp://www1.iamwired.net/websearch.php?src=tops&search=
browser.search.selectedEngine, Google
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://www1.iamwired.net/websearch.php?src=tops&search=

-- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\e7ebt9vv.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.3

========================================

** Internet Explorer Version [8.0.6001.18928] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 86 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 24/06/2010 (0 Octet(s)) 

Fin à: 23:29:16, 24/06/2010 
 
============== E.O.F ============== 





Voici le rapport d'Ad-Remover. Par contre il a fait redémarrer mon PC, donc je ne suis plus en sans échec, mais en mode normal. Ca a l'air de fonctionner, j'ai pu ouvrir Firefox sans problème.
En revanche, j'ai Antivir qui a lancé dès l'ouverture de session un scan (complet, semble-t-il), est-il nécessaire de le laisser continuer ? (Il en est qu'à 5% et prend son temps...).

Xplode · Answer

Annule l'analyse d'antivir puis refais un RSIT

Tom_Criz · Answer

Log : https://www.cjoint.com/?gzawAea4fK
Info : https://www.cjoint.com/?gzaw4UGbOh

Tom_Criz · Answer

En tout cas, ce matin, démarrage sur la session en classique, et le problème est revenu en 2 minutes. 
J'ai juste pu virer Nokia PC Suite des programmes au démarrage, et lancer la calculette pour vérifier que ça fonctionnait... 
Après, j'ai voulu ouvrir Firefox, qui a fait une mise à jour auto puis... ne s'est jamais lancé. Et là, à nouveau impossible de lancer quoi que ce soit... Du coup je suis de retour sur le mode sans échec avec prise en charge du réseau...

Xplode · Answer

Hello,

-+-+-+-+-> SystemLook <-+-+-+-+-


[x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.

[x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc :


:dir

C:\Windows\system32\%APPDATA% /sub


[x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.

----------------------------------

Fais moi aussi un RSIT en date d'aujourd'hui.

Tom_Criz · Answer

Bonjour Xplode


SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 13:04 on 25/06/2010 by Thomas (Administrator - Elevation successful)

========== dir ==========

C:\Windows\system32\C:\Users\Thomas\AppData\Roaming - Unable to find folder.

-=End Of File=-



RSIT :
Info : https://www.cjoint.com/?gznh3eMzCa
Log : https://www.cjoint.com/?gznjbDhEPY

Tom_Criz · Answer

Le fichier Info n'a pas été modifié par rapport à celui d'hier... ?

Xplode · Answer

Re,

y'a des dossiers assez bizarres..

2010-06-25 08:01:01 ----SHD---- C:\Windows\system32\%USERPROFILE%
2010-06-22 19:16:31 ----SHD---- C:\Windows\system32\%APPDATA%

Le problème c'est que systemlook interprète ces dossiers comme des variables d'environnement, et les remplace par le chemin d'accès auxquelles elles se rapportent, ce qui est en théorie normal..

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-


[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.

Tom_Criz · Answer

J'avais déjà fait un MBAM avant de venir ici, et il m'avait soi-disant supprimé les deux trojans que j'ai annoncé avoir dans mon premier post.
Bon en tout cas je le relance. :)

Tom_Criz · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4238

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18928

25/06/2010 16:51:24
mbam-log-2010-06-25 (16-51-24).txt

Type d'examen: Examen complet (C:\|D:\|F:\|H:\|)
Elément(s) analysé(s): 398126
Temps écoulé: 1 heure(s), 27 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Tom_Criz · Answer

Je n'avais jamais vidé la quarantaine de MBAM depuis que je l'utilise... Cela peut être un élément de réponse ?

Xplode · Answer

Re,

On va faire un autre scan :

-+-+-+-+-> SuperAntiSpyware <-+-+-+-+-


[x] Télécharge SuperAntiSpyware puis installe le.

[x] A la fin de l'installation, le logiciel se lancera et te proposera de le mettre à jour, accepte.

[x] Suis les instructions puis une fois arrivé sur la fenêtre principale, clique sur [Scan your computer]

[x] Clique sur "Perform complete scan" puis sur [Scanning Preferences/Control Center]

[x] Coche les cases "Close browsers before scanning" et "Terminate memory threats before quarantining".

[x] Clique sur [Close] puis [Suivant] pour commencer le scan.

[x] Patiente pendant le scan. A la fin du scan, si des éléments ont été trouvés, vérifie qu'ils soient tous cochés puis clique sur [suivant]

[x] Tu devras peut être redémarrer ton ordinateur.

[x] Rends toi dans la partie " Preferences " de SuperAntiSpyware.

[x] Va à l'onglet " Statistics/Logs " puis double clique sur le log le plus récent.

[x] Copie/Colle son contenu dans ta prochaine réponse.

Tom_Criz · Answer

https://www.cjoint.com/?gzudXwsDGX

Tom_Criz · Answer

J'ai un nouveau problème, quand je tente de le démarrer en mode normal, avant l'affichage du chargement de Vista (quand y a le logo Vista sur fond noir avec la barre de chargement), il m'annonce qu'il n'a pas pu démarrer et me propose (ou plutôt m'oblige, parce qu'on ne peut pas l'annuler) d'effectuer une réparation des données (je crois)...

Xplode · Answer

Hello,

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur ( /!\ Coche la case " créer une icône sur le bureau /!\ ) puis lance le une fois l'installation terminée.

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Choisissez un fichier ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

Tom_Criz · Answer

https://www.cjoint.com/?gAmtr3XTnY

Xplode · Answer

-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".

[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]


O44 - LFC:[MD5.9EE2E8A4844C70B52A6D4BF215322394] - 24/06/2010 - 22:29:17 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt   [5017]  
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 04/06/2010 - 09:35:42 --HA- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf   [0]
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 04/06/2010 - 09:35:15 --HA- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\drivers\Msft_Kernel_ccdcmb_01007.Wdf   [0]
O44 - LFC:[MD5.ED48ACBFCB96B458AA5F0D775EEA6507] - 24/06/2010 - 22:04:01 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix_Upload_Me_PC-DE-THOMAS.zip   [184085]
O64 - Services: CurCS - (.not file.) - appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946} (appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946})  .(.Pas de propriétaire - Pas de description.) - LEGACY_APPDRV01.FS.{A7E56839-0B44-4261-8167-6DCA58E79946}
MBRFix


[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

Tom_Criz · Answer

Quand j'ouvre le H bleu, y a un lien cjoint qui s'y met. Je l'enlève ?

Xplode · Answer

Désinstalle SuperAntiSpyware, on en a plus besoin.

Puis refais un scan antivir et poste moi le rapport.

Fais aussi un nouveau ZHPDiag.

Tom_Criz · Answer

Ce matin, je tentes encore le mode normal, Antivir se lance seul dans une recherche des objets cachés et à 36% il m'annonce avoir trouvé deux virus :
TR/Click.Cycler.ajtp cette fois, placés dans des fichiers que ça m'inquiète :
C:\System Volume Information\Microsoft\ssms.exe
C:\System Volume Information\Microsoft\services.exe

Puis plantage du PC, j'ai rien pu demander à Antivir.

Xplode · Answer

Hello, Le fichier est dans la quarantaine de ZHPDiag, rien à craindre. Quant à system volume information, c'est le dossier qui correspond à la restauration système. On va faire du ménage : -+-+-+-+-> Toolscleaner <-+-+-+-+- [x] Télécharge ToolsCleaner ( d'A.Rothstein & Dj Quiou ) sur ton bureau. [x] Lance le puis clique sur [Recherche] [x] Patiente pendant le scan puis clique sur [Suppression] [x] Clique maintenant sur [Quitter] ( pas sur la croix rouge ) pour afficher le rapport. [x] Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\TCleaner.txt Note : Il se peut que le logiciel affiche la mention "Ne répond pas" car il consomme beaucoup de ressources. Il faut patienter quelques minutes. [x] Un tutoriel est disponible ici. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 --------------- Dis moi si tu as toujours des problèmes après ça. Xplode - Contributeur sécurité.

Malekal_morte- · Answer

Quant à system volume information, c'est le dossier qui correspond à la restauration système. 

nan :)
Les détections dans les points de restauration, c'est style : C:\System Volume Information\_restore{4E170950-50E0-453F-B281-59338F8EC32E}\RP16\A0003104.exe
où le gid est un point de restauration différente.

Lui il est infecté par Cycler//Vilsel qui est remis par le bootkit, voir : https://forum.malekal.com/viewtopic.php?t=25956&start=

Faut nettoyer le MBR, tant que c'est pas fait, les malwares Cycler dans le dossier Microsoft reviendront automatiquement :)

Xplode · Answer

@Tom_Criz

Télécharge bootkit remover , suis les instructions de ce lien puis héberge la capture d'écran sur cjoint et copie/colle le lien dans ta prochaine réponse.

Si il y a quelque chose que tu ne comprends pas, n'hésites pas à me le demander.

Tom_Criz · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Downloads\UsbFix.exe: trouvé !
C:\Downloads\Loaded\OTM.exe: trouvé !
C:\Downloads\Loaded\Rsit.exe: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Downloads\Loaded\OTM.exe: supprimé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Downloads\UsbFix.exe: supprimé !
C:\Downloads\Loaded\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\UsbFix\UsbFix.exe: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !



Voilà pour ToolsCleaner.
Du coup, je fais quoi au niveau de la restauration système ?

Malekal_morte- · Answer

Relance le fix, fais une capture, envoie la sur cijoint et donne le lien ici.


Them crooked vultures this evening :D

Tom_Criz · Answer

J'suis pas sûr d'avoir tout bien suivi. Quel est le problème ? Et je fais quoi au final ?

Tom_Criz · Answer

"?La commande FixMBR réécrit un MBR standard. Elle ne doit pas être utilisée sur des PC de grandes marques dont le disque dur est tatoué (Packard Bell, HP ...) sous peine de faire sauter le tatouage et d'endommager le système de restauration du constructeur."

Mon pc est un portable Dell XPS M1530. Je ne risque rien ?

Tom_Criz · Answer

Je redémarre sans le cd après ?

Xplode · Answer

Ok ;-)

-+-+-+-+-> ComboFix <-+-+-+- 


[x] Télécharge ComboFix ( de sUBs ) à cette adresse. 

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\ 

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\ 

[x] Double clique sur " Combofix.exe " 

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le 

[x] Pendant le scan, ne touche à rien ( souris, clavier ) 

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

Xplode · Answer

Re,

-+-+-+-+-> SystemLook <-+-+-+-+-


[x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.

[x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc :


:dir

C:\System Volume Information\Microsoft


[x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.

Boby · Answer

Et bien, c'est super compliqué comme procedure...

Moi qui ait le meme TR/Click.Cycler.ajnr avec differents symptomes, ca donne pas envie... Moi le fichier infecté est la : 'C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe et la C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe. 

Le premier scan Antivir avait repéré plus de 4000 fichiers infectés !

Xplode · Answer

Salut Tom,

On arrive au bout je pense. Refais un dernier scan antivir pour vérifier qu'ils sont bien partis.

Xplode · Answer

Ok c'est impec :) On peut terminer : -+-+-+-+-> Mise à jour du PC <-+-+-+-+- [x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant. 1ère étape : Java [o] Télécharge JavaRa puis décompresse le sur ton bureau. [o] Ouvre le dossier JavaRa puis exécute JavaRa.exe. [o] Clique sur "Search For Updates". [o] Sélectionne "Update Using jucheck.exe" puis clique sur "Search". [o] Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation. [o] Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions". [o] Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ". [o] Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message. 2ème étape : Adobe Reader [x] Si tu utilises adobe reader, il est important qu'il soit à jour. [x] Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir [ici ) [x] Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour] 3ème étape : Mise à jour des logiciels [o] Il est également important de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker. [o] Télécharge le [o] Un tutoriel pour son utilisation est disponible ici. -+-+-+-+-> Toolscleaner <-+-+-+-+- [x] Télécharge ToolsCleaner ( d'A.Rothstein & Dj Quiou ) sur ton bureau. /!\ Utilisateurs de vista/seven , faites un clic droit sur l'icône de toolscleaner puis " Exécuter en tant qu'administrateur " /!\ [x] Lance le puis clique sur [Recherche] [x] Patiente pendant le scan puis clique sur [Suppression] [x] Clique maintenant sur [Quitter] ( pas sur la croix rouge ) pour afficher le rapport. [x] Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\TCleaner.txt Note : Il se peut que le logiciel affiche la mention "Ne répond pas" car il consomme beaucoup de ressources. Il faut patienter quelques minutes. [x] Un tutoriel est disponible ici. -+-+-+-+-> Optimisation <-+-+-+-+- 1ère étape : Suppression des fichiers inutiles [o] Télécharge CCleaner [o] Installe le, puis lance le. [o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". [o] Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. [o] Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. [o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) [o] Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] [o] Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation [x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. [o] Télécharge Defraggler. [o] Un tutoriel pour son utilisation est disponible ici. 3ème étape : Vérification des disques [x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) [x] Clique sur [Propriété] puis sur l'onglet [Outils] [x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes. [x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) 4ème étape : Désactivation des programmes au démarrage [x] Clique sur [Démarrer] puis [Exécuter]. [x] Tape msconfig et valide par [ok]. [x] A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu. [x] Clique sur [Appliquer] puis [ok] et redémarre ton PC. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> Liens utiles <-+-+-+-+- - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire

Malekal_morte- · Answer

:)

Bravo Xplode pour la patience et la ténacité :)

(et aussi à Tom_Criz)

Infection par : TR/Click.Cycler.ajtm

41 réponses

Discussions similaires

Newsletters