Sujet Précédent Sujet Suivant

Virus trojan : TR/Agent.214016.G!!!!!

Résolu/Fermé
wewette - 21 juil. 2010 à 23:38
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 26 août 2010 à 19:12
Bonjour,

Mon antivrus a detecté une infection (trojan) :

C:\Users\NabiKadi\binternet.exe
ce fichier contient le virus du Cheval de Troie TR/Agent.214016.G

merci pour votre aide.

voici mon rapport hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:25:18, on 21/07/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18928)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Hercules\Deluxe Optical Glass\CamService.exe
C:\Windows\System32\rundll32.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Salaat Time\SalaatTime.exe
C:\Program Files\OfferBox\OfferBox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ww12.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShopperReports - {100EB1FD-D03E-47fd-81F3-EE91287F9465} - C:\Program Files\ShopperReports3\bin\3.0.470.0\ShopperReports.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: Interest recogniser for Moovida (powered by Spointer) - {E2A7BD67-0EAF-497f-B05B-748D7BF3C421} - C:\Program Files\Fluendo\Moovida\spointer\extensions\moovida_air_ie.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [CamserviceDeluxe2] C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
O4 - HKCU\..\Run: [OfferBox] C:\Program Files\OfferBox\OfferBox.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche avec cherche.us - C:\Users\NabiKadi\scriptjava.html
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShopperReports3\bin\3.0.470.0\ShopperReports.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShopperReports3\bin\3.0.470.0\ShopperReports.dll
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {639658F3-B141-4D6B-B936-226F75A5EAC3} (CPlayFirstDinerDash2Control Object) - http://preview.licenseacquisition.org/69/1055309090.79745/DinerDash2.1.0.0.67.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxentelechargement.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service Google Update (gupdate1c9fa8b9082a140) (gupdate1c9fa8b9082a140) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
A voir également:

43 réponses

Précédent
Réponse 21 / 43
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
24 juil. 2010 à 11:16
Oui et tu vérifie que tou est coché et tu cliques sur supprimer et tu postes le rapport

Smart
0
Réponse 22 / 43
wewette
26 juil. 2010 à 18:14
g bien tout supprimé, et voila le rapport:



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4342

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

26/07/2010 16:13:31
mbam-log-2010-07-26 (16-13-31).txt

Type d'examen: Examen complet (C:\|D:\|E:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 324924
Temps écoulé: 1 heure(s), 48 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 23 / 43
wewette
26 juil. 2010 à 19:32
oui, la manip a été faite 2fois!!

j'ai refai un scan avec ZHP Diag , voila le lien du rapport:


http://www.cijoint.fr/cjlink.php?file=cj201007/cijg7reHnL.txt
0
Réponse 24 / 43
wewette
26 juil. 2010 à 21:34
voila le rapport:



All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}\ not found.
========== FILES ==========
c:\program files\fluendo\moovida\spointer\extensions\moovida_air_ie.dll moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41044 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: NabiKadi
->Temp folder emptied: 47775469 bytes
->Temporary Internet Files folder emptied: 5865853 bytes
->Java cache emptied: 59113821 bytes
->FireFox cache emptied: 37505288 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 4160932 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 222280 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32969 bytes
RecycleBin emptied: 2086037 bytes

Total Files Cleaned = 150,00 mb


OTM by OldTimer - Version 3.1.15.0 log created on 07262010_212810

Files moved on Reboot...

Registry entries deleted on Reboot...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 43
wewette
9 août 2010 à 12:11
bonjour,

j'ai du m'absenter mais me revoila!!

le pc avait bien redemarré, là j'ai lancé un scan ZHPDiag, voila le rapport généré:


http://www.cijoint.fr/cjlink.php?file=cj201008/cijt5fgtxe.doc

merci par acvance
0
Réponse 26 / 43
wewette
15 août 2010 à 19:35
bonjour,

merci pour ton aide.

voila le rapport généré a la fin de la manip:



Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-15-08-2010-19-34-00.txt
Run by NabiKadi at 15/08/2010 19:34:00
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé du Registre ==========
O64 - Services: CurCS - (.not file.) - 41803162 Boot Guard Driver (41803162) .(.Pas de propriétaire - Pas de description.) - LEGACY_41803162 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - setup_9.0.0.722_13.05.2010_17-30drv (setup_9.0.0.722_13.05.2010_17-30drv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SETUP_9.0.0.722_13.05.2010_17-30DRV => Clé supprimée avec succès
O69 - SBI: SearchScopes {557C21FE-7274-410D-853E-9ED4471BF193}- (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms} => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local> => Donnée supprimée avec succès


========== Récapitulatif ==========
3 : Clé du Registre
1 : Elément(s) de donnée du Registre


End of the scan







bonne vacances et merci encore
0
Réponse 27 / 43
wewette
16 août 2010 à 13:21
voila le rapport ZHPdiag:




http://www.cijoint.fr/cjlink.php?file=cj201008/cij6vuIE4M.doc
0
Réponse 28 / 43
wewette
17 août 2010 à 20:04
Je l'ai bien lu, mais comme je ne suis pas la seule a utiliser le PC je transmettrais aux autres.

après le nettoyage voila le rapport:





======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 21/07/10 à 14:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 19:58:44 le 17/08/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
NabiKadi@PC-DE-NABIKADI ( )

============== ACTION(S) ==============


0,Dossier supprimé: C:\Users\NabiKadi\AppData\LocalLow\Conduit
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Users\NabiKadi\AppData\Roaming\Mozilla\FireFox\Profiles\fpcc7yj4.default\Prefs.js --
browser.search.defaultenginename, OfferBox Search
browser.search.selectedEngine, OfferBox Search
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 21/07/2010 (14460 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 17/08/2010 (2606 Octet(s))

Fin à: 19:59:48, 17/08/2010

============== E.O.F ==============
0
Réponse 29 / 43
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
17 août 2010 à 20:23
"Je l'ai bien lu, mais comme je ne suis pas la seule a utiliser le PC je transmettrais aux autres."

En effte Il faut informer les autres urilisateurs du PC d'aller sur des sites à risque (Porno, jeux, téléchargement P2P) sino on n'en finira jamais avec cette désinfection
Fais leur bien lire le dossier que je t'ai communiqué.

Fais maintenant ceci:
- Relance MBAM
Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart
0
Réponse 30 / 43
wewette
23 août 2010 à 12:32
après l'analyse MBAM voila le rapport généré:



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4465

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

23/08/2010 12:31:19
mbam-log-2010-08-23 (12-31-19).txt

Type d'examen: Examen complet (C:\|D:\|E:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 323764
Temps écoulé: 1 heure(s), 51 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{65a16874-2ed0-460e-a547-5fe2ec3a13a7} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{71e02280-5212-45c3-b174-4d5a35da254f} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e25da6d6-c365-46cf-abaf-dc5893135d7a} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{89f88394-3828-4d03-a0cf-8203604c3da6} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{d4233f04-1789-483c-a137-731e8f113dd5} (Adware.Hotbar) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\srs_it_e8790270b476545731ad91 (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 31 / 43
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
23 août 2010 à 13:49
Realnce MBAM et vide la quarantaine
Refais un scan ZHPdiag et poste le rapport que l'on vérifie tout cela, car cela fait déjà presque une semaine par rapport au dernier rapport

Smart
0
Réponse 32 / 43
wewette
23 août 2010 à 15:02
c'est vrai que j'ai pas mal bossée la semaine dernière!!

voici le lien où se trouve le rapport de ZHPdiag:




http://www.cijoint.fr/cjlink.php?file=cj201008/cijbLWZ4Ja.txt
0
Réponse 33 / 43
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
23 août 2010 à 16:34
Tout d'abord tu vas installer la nouvelle version de ZHPDiag en en allant sur ce lien:
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Vas en bas de la parge pour le téchargement
Il va s'installer par-dessus ton ancienne version.
Ensuite tu fais les mises à jour suivantes:

Mise à jour Java 6 update 21 ==> https://java.com/fr/download/uninstalltool.jsp
Et désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 21

Mise à jour vers Adobe 9.3.4
Lance Adobe Reader > Clique sur Aide puis recherche des mises à jour

Mise à jour flashplayer vers la version 10.1.82.76
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle ActiveX (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

Désinstalle softonic Toolbar

Ensuite:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[HKCU\Software\AppDataLow\Toolbar]
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart
0
Réponse 34 / 43
wewette
23 août 2010 à 16:46
je ne sais pas ou trouver l'ancienne version de java afin de la supprimer!!!
0
Réponse 35 / 43
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
23 août 2010 à 20:22
Tu vas dans le panneau de configuration > Ajout suppresion de programmes, tu attends l'affichage de la liste et tu sélectionnes tous les Java 6 upadate xx,
dont xx est < 21 et tucliques sur modifier/supprimer

Smart
0
Réponse 36 / 43
wewette
23 août 2010 à 22:14
merci, j'ai pu trouver.

j'ai suivi toutes les étapes,
voila le rapport de ZPHfix:



Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-23-08-2010-22-12-49.txt
Run by NabiKadi at 23/08/2010 22:12:49
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé du Registre ==========
HKCU\Software\AppDataLow\Toolbar => Clé absente

========== Autre ==========
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe => Format Non supporté
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Format Non supporté


========== Récapitulatif ==========
1 : Clé du Registre
2 : Autre


End of the scan
0
Réponse 37 / 43
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
23 août 2010 à 22:32
"OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe => Format Non supporté "

Cela va dire que tu n'as pas télécharger la nouvelle version de ZHPDiag.
Ta version est : ZHPFix v1.12.3125
La bonne version est : ZHPFix V.1.12.3137

Peux-tu télécharger la bonne version comme je te l'ai demandé

Smart
0
Réponse 38 / 43
wewette
23 août 2010 à 22:48
lors de l'installation de la nouvelle version de ZHPdiag voila le message d'erreur qui apparait:



http://www.cijoint.fr/cjlink.php?file=cj201008/cijHT8QCGv.docx
0
Réponse 39 / 43
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
23 août 2010 à 23:23
Il faut que tu executes ZHPDiag en tant qu'administrateur. Reprends ce que je t'avais dit ici ==>
https://forums.commentcamarche.net/forum/affich-18570358-virus-trojan-tr-agent-214016-g#6

Smart
PS: Je serai absent pendant 2 jours, mais j'essaierai de me connecter le soir pour te répondre
0
Réponse 40 / 43
wewette
24 août 2010 à 16:10
j'ai enfin réussi a télécharger la nouvelle version de ZHPdiag!


viola le rapport généré par ZHPfix:



Rapport de ZHPFix v1.12.3137 par Nicolas Coolman, Update du 22/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-24-08-2010-16-08-05.txt
Run by NabiKadi at 24/08/2010 16:08:05
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\AppDataLow\Toolbar => Clé absente

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre


End of the scan


PS: merci pour ta disponibilité
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses