Infection Dr Antimalware et trojans

jothejoker -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

Mon pc a été infecté par Dr Antimalware, j'ai utilisé rkill et malwarebytes en mode sans echec en supprimant tout ce que le logiciel trouvait.
J'ai ensuite réalisé un scan de malwarebytes (trouvé 1 Worm, 1 Rogue, 4 Trojan) Spybot et Antivir en mode normal et effacé ce qu'ils trouvaient.

J'ai gardé les rapports de malwarebytes que je ne peux pas comprendre faute de connaissance informatique.

J'ai eu des comportements à risque avec mon pc : piratebay, antivirus craqué, office 2003 craqué jeux vidéos modés dont je possède toutefois l'original...
J'ai arrêté ce genre de pratique à la lecture de ce forum et je désirerai remettre mon pc à jour et sain une fois pour toute

Est ce que je dois tout reformater avec mon cd de back up que j'avais fait il y a 5 ans à l'achat de mon pc ?

Hors sujet pour info : [Le pc de ma copine a eu les mêmes problèmes suites aux mêmes comportements, après alerte Dr antimalware et passage de malwarebytes, spybot et antivir, il redémarrre en boucle sans jamais arrivé jusqu'au bureau, il bloque sur windows puis ecran msdos sans que je puisse lire quoi que ce soit tellement il reboote vite en rédémarrage. Elle l'a alors renvoyé dans la boutique ou elle l'avait acheté il y a 4 ans et on attend son retour]

Merci d'avance de votre aide, je suis vraiment impressionné par l'altruisme de certains contributeurs sur ce forum

12 réponses

  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Tu es infecté par une rogues. C'est à fire un faux antivirus.
    On va faire une manalyse de ton PC ( On verra ensuite le PC de ta copine)
    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse

    Smart.
    1
    1. jothejoker
       
      Merci beaucoup pour vos réponses et votre réactivité, j'ai pas mal galérer avec cijoint, de mon portable cela afficher une page "connexion réinitialisée" avec firefox, lorsque je cliquais sur "Cliquez ici pour déposer le fichier"

      Bref voici le fichier préalablement transféré sur mon pc du bureau:

      http://www.cijoint.fr/cjlink.php?file=cj201007/cijRTRUEoD.txt

      C'est grave ?
      0
    2. jothejoker
       
      Pour info, depuis mes scans antimalware, spybot et antivir j'ai systématiquement au démarrage

      "Erreur de chargement de mthqp.dll le module spécifié est introuvable"
      0
  2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il se peut que tu sois infecté par un rootkit

    * Télécharge [https://www.sfr.fr/fermeture-des-pages-perso.html Load_tdsskiller (de Loup Blanc) sur ton Bureau
    * Lance load_tdsskiller (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus ? Exécuter en temps qu'administrateur)
    * L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
    * A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)

    Smart
    0
    1. jothejoker
       
      Je l'ai fait et j'ai mis Y pour redemarrer quand l me l'a demandé

      off*color 3F

      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>set L-td=Load-tdsskiller Version 1.1
      par Loup blanc (Zebulon.fr)

      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>echo Load-tdsskiller Version 1.1 par
      Loup blanc (Zebulon.fr)
      Load-tdsskiller Version 1.1 par Loup blanc (Zebulon.fr)

      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>echo.


      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>echo.


      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>set name=tdsskiller

      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>set name-zip=tdsskiller.zip

      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>set name-exe=tdsskiller.exe

      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>MD C:\tdsskiller

      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>"C:\DOCUME~1\josselin\LOCALS~1\Temp\R
      arSFX0\wget.exe" -N --output-document="C:\tdsskiller\tdsskiller.zip" http://sup
      port.kaspersky.com/downloads/utils/tdsskiller.zip
      WARNING: timestamping does nothing in combination with -O. See the manual
      for details.

      --2010-07-19 15:05:40-- http://support.kaspersky.com/downloads/utils/tdsskiller
      .zip
      Resolving support.kaspersky.com... 85.12.57.118
      Connecting to support.kaspersky.com|85.12.57.118|:80... connected.
      HTTP request sent, awaiting response... 200 OK
      Length: 981780 (959K) [application/zip]
      Saving to: 'C:/tdsskiller/tdsskiller.zip'

      100%[======================================>] 981,780 95.9K/s in 7.9s

      2010-07-19 15:05:48 (122 KB/s) - 'C:/tdsskiller/tdsskiller.zip' saved [981780/98
      1780]


      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>If exist C:\tdsskiller\TDSSKiller.exe
      (del /f C:\tdsskiller\TDSSKiller.exe )

      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>If exist C:\tdsskiller\eula.txt (del
      /f C:\tdsskiller\eula.txt )

      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>"C:\DOCUME~1\josselin\LOCALS~1\Temp\R
      arSFX0\7z.exe" e C:\tdsskiller\tdsskiller.zip -aou -oC:\tdsskiller\

      7-Zip 4.60 beta Copyright (c) 1999-2008 Igor Pavlov 2008-08-19

      Processing archive: C:\tdsskiller\tdsskiller.zip

      Extracting TDSSKiller.exe
      Extracting eula.txt

      Everything is Ok

      Files: 2
      Size: 1015842
      Compressed: 981780

      C:\DOCUME~1\josselin\LOCALS~1\Temp\RarSFX0>cd C:\tdsskiller\

      C:\tdsskiller>start /WAIT C:\tdsskiller\tdsskiller.exe
      0
    2. jothejoker
       
      TDSS rootkit removing tool, Kaspersky Lab, 2010
      version 2.3.2.2 Jun 30 2010 17:23:49

      Scanning Services ...

      Scanning Drivers ...
      File "C:\WINDOWS\system32\DRIVERS\cd20xrnt.sys" infected by TDSS rootkit ... wil
      l be cured on next reboot

      Completed

      Results:
      Registry objects infected / cured / cured on reboot: 0 / 0 / 0
      File objects infected / cured / cured on reboot: 1 / 0 / 1

      To finalize removal of infection and avoid loosing of data program will
      reboot your PC now.
      Close all programs and choose Y to restart or N to continue

      ==> J'ai donc mis Y
      0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu n'as pas posté le bon rapport. Il se trouve ici ==> C:\tdsskiller\report.txt

    Smart
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Ne pas tenir compte de ce message je n'vais pas viu que tu avais posté le rapport à la suite

      Smart
      0
    2. jothejoker
       
      Ok désolé pour mon noobisme, tu me l'avais d'ailleurs bien précisé voici le rapport tdsskiller

      http://www.cijoint.fr/cjlink.php?file=cj201007/cijSTAFXkB.txt
      0
  4. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Redémarre ton PC.
    Ensuite tu fais ceci:
    - Télécharge Malwarebytes
    - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
    - Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    - L'analyse peut durer un bon moment.....
    - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. jothejoker
       
      Ok j'ai déjà effectué plusieurs scan à l'aide de Malwarebytes avant de poster ici mais je suis en train d'en refaire un après mise à jour
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. Poste le rapport, une fois le scan terminé

    Smart
    0
    1. jothejoker
       
      Le premier rapport de ce matin avec plein d'infection que j'avais supprimé :
      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4325

      Windows 5.1.2600 Service Pack 3 (Safe Mode)
      Internet Explorer 6.0.2900.5512

      19/07/2010 11:34:11
      mbam-log-2010-07-19 (11-34-11).txt

      Type d'examen: Examen complet (C:\|D:\|)
      Elément(s) analysé(s): 250451
      Temps écoulé: 26 minute(s), 55 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 27
      Valeur(s) du Registre infectée(s): 5
      Elément(s) de données du Registre infecté(s): 9
      Dossier(s) infecté(s): 5
      Fichier(s) infecté(s): 23

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\CLSID\{41fd1627-3807-4301-bb4b-64c61cae3f9b} (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{41fd1627-3807-4301-bb4b-64c61cae3f9b} (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{41fd1627-3807-4301-bb4b-64c61cae3f9b} (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\adgj.aghlp (Adware.EZLife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\adgj.aghlp.1 (Adware.EZLife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$NtUninstallMTF1011$ (Adware.Adrotator) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\AVSolution (Trojan.Agent) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\AVSolution (Trojan.Agent) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4239b506-445d-4d7a-8e01-87646507aaaa} (Adware.AdRotator) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\CLSID\{4239b506-445d-4d7a-8e01-87646507aaaa} (Adware.AdRotator) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ayidfvwj (Rogue.AntivirSolutionPro) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ayidfvwj (Rogue.AntivirSolutionPro) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\070700setup.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\13 (Worm.KoobFace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mchk (Trojan.Adware) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://ww12.cherche.us Good: (http://www.google.com) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      C:\Documents and Settings\josselin\Application Data\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Application Data\Sky-Banners\skb (Adware.Adrotator) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Application Data\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Application Data\Street-Ads\sta (Adware.Adrotator) -> Quarantined and deleted successfully.
      C:\WINDOWS\$NtUninstallMTF1011$ (Adware.Adrotator) -> Quarantined and deleted successfully.

      Fichier(s) infecté(s):
      C:\Documents and Settings\josselin\Local Settings\Application Data\tlppabwwk\attmciktssd.exe (Rogue.AntivirSolutionPro) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Application Data\77DE6395CB5485B445D9A71DDD4F6BD3\070700Setup.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\msrss.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\zthqp.exe (Trojan.Adware) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\mthqp.dll (Adware.EZlife) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Local Settings\Temp\eivtqgg.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Local Settings\Temp\ejeny.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Local Settings\Temp\rropyvnl.exe (Rogue.AntivirSolutionPro) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Local Settings\Temp\171.tmp (Rootkit.Dropper) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Local Settings\Temp\uhedyvt.exe (Adware.BHO) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Local Settings\Temporary Internet Files\Content.IE5\IJE7IHYZ\070700Setup[1].exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Local Settings\Temporary Internet Files\Content.IE5\IJE7IHYZ\kksaupwr[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Local Settings\Temporary Internet Files\Content.IE5\QRSBUDOB\ggbrzx[1].htm (Adware.BHO) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Local Settings\Temporary Internet Files\Content.IE5\2L0RYHSP\uiptnmgovj[1].htm (Worm.KoobFace) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Local Settings\Temporary Internet Files\Content.IE5\2L0RYHSP\gkbjdlwqlt[1].htm (Rogue.AntivirSolutionPro) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Local Settings\Temporary Internet Files\Content.IE5\6BORZG1O\kksahc[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
      C:\WINDOWS\$NtUninstallMTF1011$\apUninstall.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
      C:\WINDOWS\$NtUninstallMTF1011$\zrpt.xml (Adware.Adrotator) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Bureau\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Application Data\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Menu Démarrer\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
      C:\Documents and Settings\josselin\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\ithqp.dll (Adware.AdRotator) -> Quarantined and deleted successfully.
      0
    2. jothejoker
       
      Le rapport de ce midi :

      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4325

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 6.0.2900.5512

      19/07/2010 13:47:25
      mbam-log-2010-07-19 (13-47-25).txt

      Type d'examen: Examen complet (C:\|D:\|)
      Elément(s) analysé(s): 252943
      Temps écoulé: 1 heure(s), 43 minute(s), 3 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 4

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\System Volume Information\_restore{DA93E6EB-CF98-47EB-B731-377A4E5ABEC4}\RP332\A0059041.exe (Rogue.AntivirSolutionPro) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{DA93E6EB-CF98-47EB-B731-377A4E5ABEC4}\RP332\A0059042.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{DA93E6EB-CF98-47EB-B731-377A4E5ABEC4}\RP332\A0059043.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{DA93E6EB-CF98-47EB-B731-377A4E5ABEC4}\RP332\A0059044.exe (Trojan.Adware) -> Quarantined and deleted successfully.
      0
    3. jothejoker
       
      Celui qui viens de s'achever suite à tes recommandations :

      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4326

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 6.0.2900.5512

      19/07/2010 16:37:01
      mbam-log-2010-07-19 (16-37-01).txt

      Type d'examen: Examen complet (C:\|D:\|)
      Elément(s) analysé(s): 253134
      Temps écoulé: 1 heure(s), 4 minute(s), 58 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
    4. jothejoker
       
      En attente de tes commandements :P
      0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Relance MBAM et vide la quarantaine.
    Ensuite tu vas faire ceci:
    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
    - Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
    - Déconnecte toi et ferme toutes les applications en cours
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Smart
    0
    1. jothejoker
       
      voici :

      ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

      Mis à jour par C_XX le 23/06/10 à 19:20
      Contact: AdRemover.contact@gmail.com
      Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

      C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:02:49 le 19/07/2010, Mode normal

      Microsoft Windows XP Édition familiale Service Pack 3 (X86)
      josselin@ACER-36ADEA1256 ( )

      ============== ACTION(S) ==============


      0,Fichier supprimé: C:\Documents and Settings\josselin\Application Data\Mozilla\FireFox\Profiles\rnqlv1zf.default\searchplugins\cherche.xml
      0,Fichier supprimé: C:\Documents and Settings\josselin\scriptjava.html
      0,Fichier supprimé: C:\Documents and Settings\josselin\temps11.vbs

      (!) -- Fichiers temporaires supprimés.


      -- Fichier ouvert: C:\Documents and Settings\josselin\Application Data\Mozilla\FireFox\Profiles\rnqlv1zf.default\Prefs.js --
      Ligne supprimée: user_pref("keyword.URL", "hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpj...
      -- Fichier Fermé --


      0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|binternet


      ============== SCAN ADDITIONNEL ==============

      ** Mozilla Firefox Version [3.5.10 (fr)] **

      -- C:\Documents and Settings\josselin\Application Data\Mozilla\FireFox\Profiles\rnqlv1zf.default\Prefs.js --
      browser.download.lastDir, C:\\Documents and Settings\\josselin\\Bureau
      browser.startup.homepage, hxxp://www.google.fr/
      browser.startup.homepage_override.mstone, rv:1.9.1.10

      ========================================

      ** Internet Explorer Version [6.0.2900.5512] **

      [HKCU\Software\Microsoft\Internet Explorer\Main]
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Do404Search: 0x01000000
      Local Page: C:\WINDOWS\system32\blank.htm
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Show_ToolBar: yes
      Start Page: hxxp://fr.msn.com/

      [HKLM\Software\Microsoft\Internet Explorer\Main]
      Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Delete_Temp_Files_On_Exit: yes
      Local Page: C:\WINDOWS\system32\blank.htm
      Search bar: hxxp://search.msn.com/spbasic.htm
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start Page: hxxp://fr.msn.com/

      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm

      ========================================

      C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
      C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

      C:\Ad-Report-SCAN[1].txt - 19/07/2010 (458 Octet(s))
      C:\Ad-Report-CLEAN[1].txt - 19/07/2010 (1059 Octet(s))

      Fin à: 17:05:28, 19/07/2010

      ============== E.O.F ==============
      0
    2. jothejoker
       
      Je profite de cette petite pause dans les manip' pour te remercier bien sincèrement de tes réponses, c'est des gens comme toi qui inscrivent durablement internet dans l'axe du bien

      J'aurai dû poster ici pour le pc de ma copine avant de le renvoyer à la boutique :S

      Merci aussi pour les deux autres réponses que j'ai reçu sur mon mail mais que je n'arrive pas à visualiser ici, merci à eux, je suis visiblement entre de bonnes mains ;)
      0
  8. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. On a bien avancé. On va vérifier tout cela. Refais un sacn ZHPDiag et poste le rapport

    Smart
    0
    1. jothejoker
       
      Et voici

      http://www.cijoint.fr/cjlink.php?file=cj201007/ciju94zhuC.txt

      Quoi de neuf docteur ?
      0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes en gras suivantes et place les dans ZHPFix :

    ----------------------------------------------------------
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\JOSSELIN\Bureau\Copie de uTorrent.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Documents and Settings\JOSSELIN\Bureau\Copie de uTorrent.exe
    O47 - AAKE:Key Export SP - "C:\Program Files\Tow Bowl Tactics\tbt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\Tow Bowl Tactics\tbt.exe
    O52 - TDSD: \Drivers32\"msacm.l3codecp"="" . (.Pas de propriétaire - Pas de description.) -- (.not file.)
    O52 - TDSD: \drivers.desc\"l3codecp.acm"="" . (.Pas de propriétaire - Pas de description.) -- (.not file.)
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    --
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. jothejoker
       
      Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
      Fichier d'export Registre : C:\ZHPExportRegistry-19-07-2010-19-55-34.txt
      Run by josselin at 19/07/2010 19:55:34
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Valeur du Registre ==========
      O47 - AAKE:Key Export SP - "C:\Documents and Settings\JOSSELIN\Bureau\Copie de uTorrent.exe" [Enabled] .(.) (.not file.) -- C:\Documents and Settings\JOSSELIN\Bureau\Copie de uTorrent.exe => Valeur supprimée avec succès
      O47 - AAKE:Key Export SP - "C:\Program Files\Tow Bowl Tactics\tbt.exe" [Enabled] .(.) (.not file.) -- C:\Program Files\Tow Bowl Tactics\tbt.exe => Valeur supprimée avec succès
      O52 - TDSD: \Drivers32\"msacm.l3codecp"="" . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur supprimée avec succès
      O52 - TDSD: \drivers.desc\"l3codecp.acm"="" . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur supprimée avec succès
      O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
      O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

      ========== Autre ==========
      http://www.cijoint.fr/cjlink.php?file=cj201007/ciju94zhuC.txt => Format Non supporté


      ========== Récapitulatif ==========
      6 : Valeur du Registre
      1 : Autre


      End of the scan
      0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. On a presque terminé. Refais un scan ZHPDiag et poste le rapport

    Smart
    0
    1. jothejoker
       
      C'est fait

      http://www.cijoint.fr/cjlink.php?file=cj201007/cijjNtFE5E.txt
      0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. j'avais oublié qqchose
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes en gras suivantes et place les dans ZHPFix :

    ----------------------------------------------------------
    O64 - Services: CurCS - (.not file.) - klmd23 (klmd23) .(.Pas de propriétaire - Pas de description.) - LEGACY_KLMD23
    O64 - Services: CurCS - (.not file.) - klmdb (klmdb) .(.Pas de propriétaire - Pas de description.) - LEGACY_KLMDB
    O47 - AAKE:Key Export SP - "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\AVP.EXE" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\AVP.exe

    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Ensuite tu fais les mises à jour suivantes:

    Mise à jour IE8
    https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

    Mise à jour Firefox:
    Vers la version 3.6.6 ==> http://www.mozilla-europe.org/fr/firefox/

    Vérifie si Antivir est à jour

    Mises à jour console Java:
    Désinstalle par ajout/suppresion de programmes toutes bversd iosn de java 6 dont l'update est inférieur à 21.
    Ensuite installe Java 6 update 21 ==> https://java.com/fr/download/uninstalltool.jsp

    Mise à jour Adobe
    Désinstalle Adobe 8
    Installe Adobe 9.3.3

    Mise à jour flashplayer vers la version 10.1.53.64
    * Ferme tous tes navigateurs
    * A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
    * Réinstalle le plugin

    Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
    et lis ceci: Pourquoi tenir ses programmes a jour

    Une fois que tu auras fait ces mises à jour on passera à l'optimisation et à la désinstallation des outils que je t'ai fait télécharger

    Smart

    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. jothejoker
       
      zhpfix réalisé :

      Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
      Fichier d'export Registre : C:\ZHPExportRegistry-19-07-2010-22-31-34.txt
      Run by josselin at 19/07/2010 22:31:34
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Clé du Registre ==========
      O64 - Services: CurCS - (.not file.) - klmd23 (klmd23) .(.Pas de propriétaire - Pas de description.) - LEGACY_KLMD23 => Clé supprimée avec succès
      O64 - Services: CurCS - (.not file.) - klmdb (klmdb) .(.Pas de propriétaire - Pas de description.) - LEGACY_KLMDB => Clé supprimée avec succès

      ========== Valeur du Registre ==========
      O47 - AAKE:Key Export SP - "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\AVP.EXE" [Enabled] .(.) (.not file.) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\AVP.exe => Valeur supprimée avec succès


      ========== Récapitulatif ==========
      2 : Clé du Registre
      1 : Valeur du Registre


      End of the scan
      0
    2. jothejoker
       
      je commence les MAJ mais je finirai demain car je commence hyper tot et je suis crevé, merci pour tout
      0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Ok. A demain

    Smart
    0
  13. Tom
     
    Bonjour,
    Il m'arrive exactement la meme chose en ce moment, j'ai ete infecte par Dr antimalware. J'ai l'impression que Windows defender m'en a enleve une partie mais au demarage de windows, le faux antimalware se lance encore malgre un message : asnerxowm.exe ne repond plus.

    Je vais faire un diagnostique sous peu en suivant la demarche precedente.

    J'espere que vous pourez m'aider.

    PS: mon clavier est americain, desole pour les accents.
    0
    1. gen-hackman
       
      bonjour crée toi un nouveau topic/sujet chaque pc est different

      Merci
      0
    2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Salut,

      Je t'ai répondu sur le nouveau sujet

      Smart
      0