Cheval de Troie indomptable! Résolu

Question

Bonjour, 

mon ordinateur est infesté depuis un bout de temps et je n'arrive pas à m'en débarrasser. J'ai besoin d'aide. Après avoir parcouru le forum je n'ai pas tout saisi je me suis vite résolu à la nécessité de faire appel à un helper saint bernard. Voici le rapport de hijackthis.
Merci par avance pour votre aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52:26, on 22/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Dell Network Assistant\hnm_svc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Dell Network Assistant\ezi_hnm2.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\RunServices: [mymooz] C:\WINDOWS\system32\poolooforew.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dell Network Assistant.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{98526CB8-C9E3-4982-8BAF-FFD27F2D33AC}: NameServer = 156.154.70.22,156.154.71.22
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Program Files\Dell Network Assistant\hnm_svc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Asset Management Daemon (su4qwgeorh) - Unknown owner - C:\WINDOWS\system32
oquujij.exe (file missing)

Utilisateur anonyme · Answer

Bonjour

infection Trojan.Cliker

*	 Télécharge Bootkit Remover et décompresse le sur ton bureau. 
*	Télécharge  BTKR_Runbox ( de jeanmimigab ) également sur ton bureau. 

Note : Tu dois avoir ces deux fichiers sur ton bureau ===> Remover.exe et BTKR_Runbox.exe 
*	 Lance BTKR_Runbox, puis sélectionne l'option n°1. Valide en appuyant sur [Entrée] 
*	Suis les instructions et copie/colle le rapport dans ta prochaine réponse.

Robinson27 · Answer

mairsi pour l'araipponce

Utilisateur anonyme · Answer

ok.Fais ce qui suit.

*	Relance BTKR_Runbox mais sélectionne cette fois ci l'option n°3 puis [Entrée] 
*	Confirme en appuyant sur " 1 " puis [Entrée] 
*	 Ton PC redémarrera. Au redémarrage, relance BTKR_Runbox avec l'option n°1 et copie/colle le rapport.

Robinson27 · Answer

rebelote. par courrier. sorry

Utilisateur anonyme · Answer

J'ai l'impression que tu ma envoyé le méme rapport .

Refait la manip et post le rapport mais cette fois-ci en mode sans echec.
Pour le mode sans echec voici un tuto.

https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/

Robinson27 · Answer

par courrier.
par contre je dois télécharger à chaque fois btkr runbox à partir de ton lien. je n'ai que les rapports sur mon bureau. ???

Utilisateur anonyme · Answer

Ouvre le bloc-note et copie/colle ce qu'il y a ci-dessous :

@ECHO OFF
START remover.exe fix \.\PhysicalDrive0
EXIT

Enregistre le fichier sur ton bureau sous le nom fixi.bat (le .bat à la fin est important)
* Double clic sur fix.Bat, ça doit ouvrir une fenetre noir qui va se refermer.

Tu auras une fenetre qui va s'ouvrir avec comme insccription

PhysicalDrive0 ok<DOS /win32 Boot code found>

Confirme dans ta réponse.Merci

Robinson27 · Answer

j'ai eu la réponse:
PhysicalDrive0...

et après il m'a demandé de presser une touche. 
On en est où maintenant du coup?

merci en tout cas c'est vraiment cool de ta part

Utilisateur anonyme · Answer

Pour vérifier.

Refais le post 1 et post le rapport.

Ensuite.

* Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ).
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Robinson27 · Answer

Merci. Je fais ça demain et je te poste le nouveau rapport.
Surveille ton courrier!

On te remercie pour le tps que nous a accordé.

Robinson27 · Answer

bonjour nanard 4700

je t'ai envoyé par courrier le dernier rapport. je fais le reste que tu m'as conseillé.
merci

Robinson27 · Answer

voici le rapport ZHPDiag.txt:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijyN1oXBG.txt

voilà. qu'en est-il maintenant?

merci mille fois nanard4700. heureusement qu'il y a des gens comme toi.

Utilisateur anonyme · Answer

Bonjour.

Plusieurs infections .On commence par magic control.

* Télécharge Navilog1 depuis-ce lien : Navilog1
* Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1
présent sur ton bureau et choisis : "Exécuter en tant qu'administrateur".
* Au menu principal, Fais le choix 1
* Laisse toi guider et patiente jusqu'au message : *** Analyse Termine le ..... ***
* Appuie sur une touche le bloc-note va s'ouvrir.
* Copier-coller l'intégralité du rapport dans une réponse.
* Referme le bloc-note.
* Le rapport fixnavi.txt est en outre sauvegardé a la racine du disque

Robinson27 · Answer

Bonsoir 

Merci pour la démarche. Je m'en occupe demain en fin de journée bicoz je suis au travail 24h.

Robinson27 · Answer

bonsoir nanard4700.

voici le dernier rapport:

Fix Navipromo version 4.0.9 commencé le 24/07/2010 17:52:16,42

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 21.06.2010 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A05
USER : Famille Lambert ( Administrator )
BOOT : Normal boot

Antivirus : avast! Antivirus 5.0.83886674 (Activated)
Firewall  : COMODO Firewall 3.9 (Activated)

C:\ (Local Disk) - NTFS - Total:169 Go (Free:136 Go)
D:\ (Local Disk) - NTFS - Total:58 Go (Free:46 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


c:\docume~1\alluse~1\applic~1\Games-Attack supprimé !
c:\docume~1\famill~1\locals~1\applic~1\feppairr.dat supprimé !
c:\docume~1\famill~1\locals~1\applic~1\feppairr_nav.dat supprimé !
c:\docume~1\famill~1\locals~1\applic~1\feppairr_navps.dat supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Famille Lambert\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 24/07/2010 17:57:22,20 ***

Utilisateur anonyme · Answer

Télécharge Ad-Remover sur ton bureau:
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
https://www.androidworld.fr/

/!\ Ferme toutes tes applications ouvertes. /!\

* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur 
 "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt

Robinson27 · Answer

voila:
======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 21/07/10 à 14:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:10:03 le 24/07/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Famille Lambert@LAMBERTFAMILY ( ) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Documents and Settings\Famille Lambert\Application Data\EoRezo
0,Dossier supprimé: C:\Program Files\EoRezo
0,Dossier supprimé: C:\Documents and Settings\Famille Lambert\Application Data\ItsLabel
0,Dossier supprimé: C:\Program Files\MyWaySA

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Famille Lambert\Application Data\Mozilla\FireFox\Profiles\3krwldqt.default\Prefs.js --
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
1,Clé supprimée: HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
0,Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho
0,Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho.1
0,Clé supprimée: HKLM\Software\EoRezo
0,Clé supprimée: HKLM\Software\ItsLabel
0,Clé supprimée: HKCU\Software\EoRezo
0,Clé supprimée: HKCU\Software\ItsLabel
0,Clé supprimée: HKCU\Software\Winsudate
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}

0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{4D25F926-B9FE-4682-BF72-8AB8210D6D75}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.7 (fr)] **

-- C:\Documents and Settings\Famille Lambert\Application Data\Mozilla\FireFox\Profiles\3krwldqt.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Famille Lambert\Mes documents\Divers\plan d'entraînement cardio...
browser.startup.homepage, hxxp://www.lo.st
browser.startup.homepage_override.mstone, rv:1.9.2.7

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0x01000000
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: no
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 13 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 21 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 24/07/2010 (933 Octet(s)) 

Fin à: 19:38:52, 24/07/2010 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

* Télécharge et installe : Malwarebyte's Anti-Malware  
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/  
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée  
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)  
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"  
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"  
* A la fin du scan, clique sur Afficher les résultats  
* Coche tous les éléments détectés puis clique sur Supprimer la sélection  
* Enregistre le rapport  
* S'il t'est demandé de redémarrer, clique sur Yes  
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)  
* Si tu as besoin d'aide regarde ce tutorial   
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  

Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

Robinson27 · Answer

le dernier rapport: 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4345

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25/07/2010 00:16:37
mbam-log-2010-07-25 (00-16-37).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 204687
Temps écoulé: 45 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe (Trojan.Unruy) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe (Trojan.Unruy) -> Quarantined and deleted successfully.
C:\Documents and Settings\Famille Lambert\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Prenez Internet Explorer et allez ICI 

Cliquez sur "Scan Online": 

Cliquez ensuite sur "J'accepte": 

Cliquez sur "Start Scan": 

(Attention: Les fichiers qui ne pourront pas être désinfectés seront effacés.) 
Attendez la fin de la mise à jour de l'antivirus: 

La recherche des virus est en cours. 
Cela peut durer longtemps: Soyez patient. 
(Si vous voulez voir les détails, cliquez sur "Plus de détails".) 

A la fin, si des fichiers infectés sont trouvés, ils seront affichés: 

Les fichiers sont automatiquement désinfectés. 
Les fichiers qui ne peuvent pas être désinfectés sont automatiquement effacés. 
Clic sur:cliquer ici pour exporter le rapport d"analyse

Si a la fin Bitdefender génére un rapport post le sinon Post un nouveau rapport Zhpdiag.

Robinson27 · Answer

bonjour QuickScan Beta 32-bit v0.9.9.23 ------------------------------- Scan date: Sun Jul 25 14:33:12 2010 Machine ID: A40C538F No infection found. ------------------- Processes --------- Advanced Networking Service 556 C:\Program Files\Dell Network Assistant\hnm_svc.exe Apple Mobile Device Service 224 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe ATI External Event Utility for WindowsN 1020 C:\WINDOWS\system32\Ati2evxx.exe avast! Antivirus 1692 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe avast! Antivirus 3928 C:\Program Files\Alwil Software\Avast5\AvastUI.exe Bonjour 232 C:\Program Files\Bonjour\mDNSResponder.exe COMODO Internet Security 3920 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe COMODO Internet Security 1244 C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe Creative Service for CDROM Access 272 C:\WINDOWS\system32\CTsvcCDA.exe Dell Network Assistant 3968 C:\Program Files\Dell Network Assistant\ezi_hnm2.exe Firefox 3084 C:\Program Files\Mozilla Firefox\firefox.exe Firefox 3464 C:\Program Files\Mozilla Firefox\plugin-container.exe Hewlett-Packard hpotdd01 3988 C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe Microsoft® Windows® Operating System 288 C:\WINDOWS\eHome\ehRecvr.exe Microsoft® Windows® Operating System 2196 C:\WINDOWS\ehome\mcrdsvc.exe Microsoft® Windows® Operating System 2904 C:\WINDOWS\System32\alg.exe Microsoft® Windows® Operating System 700 C:\WINDOWS\system32\csrss.exe Microsoft® Windows® Operating System 3944 C:\WINDOWS\system32\ctfmon.exe Microsoft® Windows® Operating System 2612 C:\WINDOWS\system32\dllhost.exe Microsoft® Windows® Operating System 784 C:\WINDOWS\system32\lsass.exe Microsoft® Windows® Operating System 1932 C:\WINDOWS\system32\spoolsv.exe Microsoft® Windows® Operating System 1036 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System 1156 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System 1208 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System 3840 C:\WINDOWS\System32\svchost.exe Microsoft® Windows® Operating System 1272 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System 200 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System 1536 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System 1592 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System 1508 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System 2200 C:\WINDOWS\system32\wuauclt.exe Système d'exploitation Microsoft® Windo 484 C:\WINDOWS\eHome\ehSched.exe Système d'exploitation Microsoft® Windo 3176 C:\WINDOWS\Explorer.EXE Système d'exploitation Microsoft® Windo 772 C:\WINDOWS\system32\services.exe Système d'exploitation Microsoft® Windo 652 C:\WINDOWS\System32\smss.exe Système d'exploitation Microsoft® Windo 728 C:\WINDOWS\system32\winlogon.exe Network activity ---------------- Process AvastSvc.exe (1692) connected on port 80 (HTTP) --> 88.221.84.41 Process AvastSvc.exe (1692) connected on port 80 (HTTP) --> 209.85.135.149 Process AvastSvc.exe (1692) connected on port 80 (HTTP) --> 74.125.39.148 Process AvastSvc.exe (1692) connected on port 80 (HTTP) --> 209.85.135.139 Process AvastSvc.exe (1692) connected on port 80 (HTTP) --> 88.221.84.19 Process AvastSvc.exe (1692) connected on port 80 (HTTP) --> 63.215.202.48 Process AvastSvc.exe (1692) connected on port 80 (HTTP) --> 81.52.205.167 Process ezi_hnm2.exe (3968) connected on port 80 (HTTP) --> alive.singleclicksystems.com Process svchost.exe (1156) listens on ports: 135 (RPC) Process svchost.exe (1208) listens on ports: 2869 (SSDP event notification, UPNP) Autoruns and critical files --------------------------- Apple Software Update C:\Program Files\Apple Software Update\SoftwareUpdate.exe avast! Antivirus C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe COMODO Internet Security C:\Program Files\COMODO\COMODO Internet Security\cfp.exe FRU-Client Application C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe Google Update C:\Program Files\Google\Update\GoogleUpdate.exe Microsoft® Windows® Operating System C:\WINDOWS\system32\cryptnet.dll Microsoft® Windows® Operating System C:\WINDOWS\system32\ctfmon.exe Microsoft® Windows® Operating System C:\WINDOWS\system32\dimsntfy.dll Microsoft® Windows® Operating System C:\WINDOWS\system32\WPDShServiceObj.dll Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\browseui.dll Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\crypt32.dll Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\cscdll.dll Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\logonui.exe Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\sclgntfy.dll Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\shell32.dll Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\stobject.dll Système d'exploitation Microsoft® Windo c:\windows\system32\userinit.exe Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\wlnotify.dll Windows® Internet Explorer C:\WINDOWS\system32\webcheck.dll Browser plugins --------------- Bonjour C:\Program Files\Bonjour\mdnsNSP.dll QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins pqtplugin.dll QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins pqtplugin2.dll QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins pqtplugin3.dll QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins pqtplugin4.dll QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins pqtplugin5.dll QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins pqtplugin6.dll QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins pqtplugin7.dll QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins pqtplugin.dll QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins pqtplugin2.dll QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins pqtplugin3.dll QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins pqtplugin4.dll QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins pqtplugin5.dll QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins pqtplugin6.dll QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins pqtplugin7.dll AcroIEHelper Library c:\program files\fichiers communs\adobe\acrobat\activex\acroiehelper.dll Adobe Acrobat C:\Program Files\Internet Explorer\plugins ppdf32.dll Adobe Acrobat C:\Program Files\Mozilla Firefox\plugins ppdf32.dll BitDefender QuickScan C:\Documents and Settings\Famille Lambert\Application Data\Mozilla\Firefox\Profiles\3krwldqt.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll BitDefender QuickScan C:\Documents and Settings\Famille Lambert\Application Data\Mozilla\Firefox\Profiles\3krwldqt.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins pqscan.dll Drive Letter Access Component c:\windows\system32\dla\dlashx_w.dll getPlus for Adobe 15235 C:\Documents and Settings\Famille Lambert\Application Data\Mozilla\Firefox\Profiles\3krwldqt.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\plugins p_gp.dll getPlus for Adobe 15235 C:\Program Files\Mozilla Firefox\plugins p_gp.dll Google Update C:\Program Files\Google\Update\1.2.183.23 pGoogleOneClick8.dll InstallShield Update Service C:\WINDOWS\Downloaded Program Files\dwusplay.dll InstallShield Update Service C:\WINDOWS\Downloaded Program Files\dwusplay.exe InstallShield Update Service C:\WINDOWS\Downloaded Program Files\isusweb.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\McContentMgr.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\McHealthCheck.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\McLogMgr.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\McPlugins.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\McProdMgr.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\MVT.dll McAfee Virtual Technician C:\WINDOWS\Downloaded Program Files\Uploader.exe Microsoft Office 2003 C:\Program Files\Mozilla Firefox\plugins\NPOFFICE.DLL Microsoft® Windows® Operating System C:\WINDOWS\Network Diagnostic\xpnetdiag.exe Microsoft® Windows® Operating System C:\WINDOWS\system32 svpsp.dll Microsoft® Windows® Operating System C:\WINDOWS\system32\winrnr.dll Mozilla Default Plug-in C:\Program Files\Mozilla Firefox\plugins pnul32.dll npitunes.dll C:\Program Files\iTunes\Mozilla Plugins pitunes.dll nppdf32.FRA C:\Program Files\Internet Explorer\plugins ppdf32.FRA nppdf32.FRA C:\Program Files\Mozilla Firefox\plugins ppdf32.FRA NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll Système d'exploitation Microsoft® Windo C:\WINDOWS\system32\mswsock.dll Windows® Internet Explorer C:\WINDOWS\system32\ieframe.dll Missing files ------------- File not found: C:\Program Files\CheckPoint\ZAForceField\ForceField.exe referenced in: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"ISW" File not found: C:\Program Files\Messenger\msmsgs.exe referenced in: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"MSMSGS" referenced in: HKLM\Software\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\"Exec" File not found: C:\WINDOWS\System32\hidserv.dll referenced in: HKLM\System\ControlSet001\services\HidServ\Parameters\"ServiceDll" File not found: C:\WINDOWS\system32\poolooforew.exe referenced in: \Software\Microsoft\Windows\CurrentVersion\RunServices\"mymooz" Scan ---- MD5: 3a82373d1421d568f8cc6f38818dc253 C:\Program Files\Alwil Software\Avast5\defs\10072500\algo.dll MD5: 292f92469efb2fd402e00742c06d539d C:\Program Files\Bonjour\mdnsNSP.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Internet Explorer\plugins pqtplugin.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Internet Explorer\plugins pqtplugin2.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Internet Explorer\plugins pqtplugin3.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Internet Explorer\plugins pqtplugin4.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Internet Explorer\plugins pqtplugin5.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Internet Explorer\plugins pqtplugin6.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Internet Explorer\plugins pqtplugin7.dll MD5: 10bed437023f93dd1ad8efa80e71280f C:\Program Files\Mozilla Firefox\freebl3.dll MD5: dce543b6b3ff516bd65c1030e4b933ff C:\Program Files\Mozilla Firefox ssdbm3.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Mozilla Firefox\plugins pqtplugin.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Mozilla Firefox\plugins pqtplugin2.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Mozilla Firefox\plugins pqtplugin3.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Mozilla Firefox\plugins pqtplugin4.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Mozilla Firefox\plugins pqtplugin5.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Mozilla Firefox\plugins pqtplugin6.dll MD5: d3afa4999e35afcdf28df1c4aecde8d3 C:\Program Files\Mozilla Firefox\plugins pqtplugin7.dll MD5: 222afed911cbf5f9a454adee53d31b30 C:\Program Files\Mozilla Firefox\softokn3.dll MD5: bb445bcea5aa6bc695a56eb2fbb4686f C:\WINDOWS\System32\DLA\DLADResN.SYS MD5: 184a03058c8cc399ea37dbeff6a8365a C:\WINDOWS\System32\mhn.dll No file uploaded. Scan finished - communication took 1 sec Total traffic - 0.01 MB sent, 0.14 KB recvd Scanned 719 files and modules - 24 seconds ==============================================================================

Utilisateur anonyme · Answer

Tres bien :)

Tu as oublié de poster un nouveau rapport Zhpdiag.

a+

Robinson27 · Answer

Bonsoir
désolé. Grosse période de taf. Je vs ai répondu par courrier. Ça ne passait pas.
Encore merci

Utilisateur anonyme · Answer

On continu la désinfection. 

/!\ A l'attention de ceux qui passent sur ce sujet /!\  
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.  

/!\ Désactive tous tes logiciels de protection  (Antivirus, Antispywares)  /!\  

* Télécharge combofix(de sUBs) sur ton Bureau.  
* Double-clique sur ComboFix.exe afin de le lancer.  
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème) 
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Lorsque la recherche sera terminée, un rapport apparaîtra.  
*  Héberge le rapport C:\Combofix.txt  sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum  
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec . 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix

Robinson27 · Answer

bonjour

voici le lien pour combofix:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijfUVACYW.txt

cdlt

Utilisateur anonyme · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour Robinson27 , il n'est pas transposable sur un autre ordinateur !  
* Télécharge ce dossier Robinson27 
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau et pas ailleurs. 
* Désactive tes logiciels de protection  
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe  
comme ceci :http://img155.imageshack.us/img155/4837/cfscriptop0.gif  
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !  
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

Robinson27 · Answer

le pb c'est que je n'ai pas l'icone de combofix sur mon bureau et si je reclique dessus ca veut relancer le logiciel. que dois je faire?

Robinson27 · Answer

jai mis le nouveau rapport de combofix que j'ai posté ici comme ce matin:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijrhd84Q0.txt

Utilisateur anonyme · Answer

Tu n'as pas fais le script combo noté ici.

https://forums.commentcamarche.net/forum/affich-18578792-cheval-de-troie-indomptable?page=2#29

Robinson27 · Answer

et là?

http://www.cijoint.fr/cjlink.php?file=cj201007/cijrhd84Q0.txt

Utilisateur anonyme · Answer

Non plus.On fera différemment plus tard car je préfére traiter une infection bootkit.

 1/ Télécharge Bootkit Remover et décompresse le sur ton bureau.

 2/ Télécharge BTKR_Runbox ( de jeanmimigab ) également sur ton bureau.

Note : Tu dois avoir ces deux fichiers sur ton bureau -> Remover.exe et BTKR_Runbox.exe

 3/ Lance BTKR_Runbox, puis sélectionne l'option n°1. Valide en appuyant sur [Entrée]

 4/ Suis les instructions et copie/colle le rapport dans ta prochaine réponse.

Robinson27 · Answer

il ne se passe rien après l'étape 1. j'ai pris qd mm ce rapport:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijD5yDDOR.txt

samu5545 · Answer

bonjour j'ai un trojan et je ne sais pas comment m'en debarrasser , j'ai comme antivirus avast et il ne ma rien trouvé c pc tool qui la detecté . j'ai fait un rapport avec bootkit remover et voila ce qui me donne . Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6002), 32-bit System volume is \.\C: \.\C: -> \.\PhysicalDrive0 at offset 0x00000000'00100000 Boot sector MD5 is: b23e5cbb74b4fcefd775b490fc8131e6 Size Device Name MBR Status -------------------------------------------- 465 GB \.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump [output_file] To disinfect the master boot sector, use the following command: remover.exe fix Done; Press any key to quit... Pouvez vous m'aidez.

Robinson27 · Answer

en espérant que ce soit ça:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\.\C: -> \.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd
\.\D: -> \.\PhysicalDrive0

     Size  Device Name          MBR Status
 --------------------------------------------
   232 GB  \.\PhysicalDrive0   OK (DOS/Win32 Boot code found)


Press any key to quit...

Robinson27 · Answer

c'est bon?

All processes killed
========== FILES ==========
c:\program files\adobe\photoshop album edition découverte\3.2\apps\apdproxy .exe moved successfully.
c:\program files\antivirusfirewall\common\fsm32 .exe moved successfully.
c:\program files\antivirusfirewall\fsgui	nbutil .exe moved successfully.
c:\program files\creative\mediasource\detector\ctdetect .exe moved successfully.
c:\program files\fichiers communs\apple\mobile device support\bin\applesyncnotifier .exe moved successfully.
c:\program files\itunes\ituneshelper .exe moved successfully.
c:\program files\messenger\msmsgs .exe moved successfully.
File/Folder c:\program files\quicktime\qttask .exe not found.
c:\windows\system32\ctfmon .exe moved successfully.
File/Folder c:\program files\quicktime\qttask .exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 59964 bytes
->Temporary Internet Files folder emptied: 32768 bytes
 
User: Famille Lambert
->Temp folder emptied: 6322 bytes
->Temporary Internet Files folder emptied: 82538 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 41389583 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 3013 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3124736 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 499712 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 63211 bytes
RecycleBin emptied: 613135 bytes
 
Total Files Cleaned = 44,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 08012010_205653

Files moved on Reboot...
File move failed. C:\WINDOWS	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Utilisateur anonyme · Answer

Méme chose avec OTM

:services
uumrpphs
su4qwgeorh
tnggilleug
sddczfwn
zwsjpjap

:files
c:\windows\system32\Drivers\uumrpphs.sys 
c:\windows\system32
oquujij.exe 
c:\docume~1\FAMILL~1\LOCALS~1\Temp\prbmb.sys 
c:\windows\System32\Drivers\sddczfwn.sys 
c:\windows\System32\Drivers\zwsjpjap.sys 
c:\documents and settings\Famille Lambert\spyqfuv.exe \u 
c:\windows\system32\poolooforew.exe 

:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\uumrpphs.sys] 



:commands
[emptytemp]
[reboot]

Post le rapport.

Tu peux desinstaller Spybot qui est devenue obsolete et profite en pour retirer f secure.

Robinson27 · Answer

la suite:

All processes killed
========== SERVICES/DRIVERS ==========
Service uumrpphs stopped successfully!
Service uumrpphs deleted successfully!
Service su4qwgeorh stopped successfully!
Service su4qwgeorh deleted successfully!
Service tnggilleug stopped successfully!
Service tnggilleug deleted successfully!
Service sddczfwn stopped successfully!
Service sddczfwn deleted successfully!
Service zwsjpjap stopped successfully!
Service zwsjpjap deleted successfully!
========== FILES ==========
File/Folder c:\windows\system32\Drivers\uumrpphs.sys not found.
File/Folder c:\windows\system32
oquujij.exe not found.
File/Folder c:\docume~1\FAMILL~1\LOCALS~1\Temp\prbmb.sys not found.
File/Folder c:\windows\System32\Drivers\sddczfwn.sys not found.
File/Folder c:\windows\System32\Drivers\zwsjpjap.sys not found.
File/Folder c:\documents and settings\Famille Lambert\spyqfuv.exe \u not found.
File/Folder c:\windows\system32\poolooforew.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\uumrpphs.sys\ deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Famille Lambert
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 8215016 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 8,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 08012010_234215

Files moved on Reboot...
File move failed. C:\WINDOWS	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Utilisateur anonyme · Answer

Important: A faire dans l'ordre

1/ Pour supprimer combofix.

# Cliquez sur Démarrer >> Exécuter ...
# Maintenant, tapez ou fait un copié/collé ComboFix /uninstall et cliquez sur OK. 

2/ Télécharge combofix(de sUBs) sur ton Bureau.  

Lance combofix et post moi le rapport.

Utilisateur anonyme · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour Robinson27  , il n'est pas transposable sur un autre ordinateur !  
* Télécharge ce dossier Robinson27.zip 
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau et pas ailleurs. 
* Désactive tes logiciels de protection  
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe  
comme ceci :http://img155.imageshack.us/img155/4837/cfscriptop0.gif  
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !  
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

Utilisateur anonyme · Answer

ok .Fait ce nouveau script.

pour robinson27


Héberge le rapport C:\Combofix.txt  sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Robinson27 · Answer

c'est bon?

http://www.cijoint.fr/cjlink.php?file=cj201008/cijkTGvWec.txt

Robinson27 · Answer

Pourtant il est sur le bureau je comprends pas en fait.

*Moi* · Answer

Bonjour nanard4700, bonjour Robinson27.

Ce que te demande nanard4700, c'est, au téléchargement, d'enregistrer ComboFix sur ton bureau. 
Je pense que tu l'as enregistré dans mes Documents mais tu n'as que le raccourci de l'application sur le Bureau, pas l'application elle-même.

J'espère avoir résolu le mal entendu :)

Robinson27 · Answer

ok merci. un dernier essai avant que je refasse. pck le pb semble survenir à chaque fois que l'on passe par ci joint. alors pê je n'enregistre pas le bon truc. là par ex c'est bon?

http://www.cijoint.fr/cjlink.php?file=cj201008/cij5ekr6xd.txt

Robinson27 · Answer

je l'ai enregistré sur le bureau et j'ai refait le script. c'est bon?

http://www.cijoint.fr/cjlink.php?file=cj201008/cijGqsniQd.txt

Utilisateur anonyme · Answer

Je ne comprends pas le script ne veut pas fonctionner.On fait différemment.

1. Télécharge http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ par Swandog46 sur ton Bureau.

* Décompresse le fichier
* avenger.exe sur le bureau

2. Copie le contenu en gras ci-dessous (CTRL+C),




Files to delete:
c:\program files\quicktime\qttask .exe
c:\documents and settings\Famille Lambert\spyqfuv.exe \u  
c:\windows\system32\poolooforew.exe
c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} 
c:\program files\QuickTime\qttask .exe 
c:\program files\64140.dat 
c:\program files\41265.dat 
c:\windows\system32\A5C174EE61.sys 

Registry keys to delete:
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mymooz]



Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur.

* Faites un clic droit sur la fenêtre sous "Input Script There":, Et choisissez Coller.A présent du dois avoir le script dans la fenétre blanche d' Avenger.
* Clique sur Exécuter
* Réponds "Yes" quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

* Il va Redémarrer le système.
* Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
* Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.

Robinson27 · Answer

je suis désolé si j'ai du mal. en tt cas voilà:

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Aug 02 21:00:51 2010

21:00:44: Error: Invalid registry syntax in command:
"[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mymooz]"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\program files\quicktime\qttask .exe" not found!
Deletion of file "c:\program files\quicktime\qttask .exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open file "c:\documents and settings\Famille Lambert\spyqfuv.exe \u"
Deletion of file "c:\documents and settings\Famille Lambert\spyqfuv.exe \u" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  file "c:\windows\system32\poolooforew.exe" not found!
Deletion of file "c:\windows\system32\poolooforew.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error: "c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}" is a folder, not a file!
Deletion of file "c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
  --> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Error:  file "c:\program files\QuickTime\qttask .exe" not found!
Deletion of file "c:\program files\QuickTime\qttask .exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "c:\program files\64140.dat" deleted successfully.
File "c:\program files\41265.dat" deleted successfully.
File "c:\windows\system32\A5C174EE61.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Utilisateur anonyme · Answer

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi a cette adresse : http://www.gmer.net/ et cliques sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport Gmer sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Robinson27 · Answer

J'ai lancé le programme hiers soir et là ce matin l'ordinateur tourne grave au ralenti: impossible d'accéder à quoique ce soit. Qu'est ce que je dois faire?

Robinson27 · Answer

j'ai desinstallé gmer, je les retelecharger et j'ai fait un scan et je vous ai envoyé le rapport par courrier parce que les fichiers .log ne passent pas par ci-joint.fr.

Utilisateur anonyme · Answer

Rien avec Gmer.

tu peux faire le post 62

Robinson27 · Answer

voila j'ai fait ce nouveau script en mode sans échec, et dt voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijAgzfp4H.txt

Utilisateur anonyme · Answer

* Télécharge :https://www.superantispyware.com/
* Choisis "enregistrer" et enregistre-le sur ton bureau.
* Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
* Créé une icône sur le bureau.
* Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
* Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
* Sous Configuration and Preferences, clique sur le bouton "Preferences"
* Clique sur l'onglet "Scanning Control "
* Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
* Close browsers before scanning
* Scan for tracking cookies
* Terminate memory threats before quarantining
* Laisse les autres lignes décochées.
* Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
* Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
* Dans la colonne de gauche, coche C:\Fixed Drive.
* Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
* Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
* A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
* Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
* Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
* Pour recopier les informations sur le forum, fais ceci :
* après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
* Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
* Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
* Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
* Copie son contenu dans ta réponse.
* Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
* https://www.malekal.com/?s=SUPERAntiSpyware

Robinson27 · Answer

voilà résultat scan sas:

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 08/04/2010 at 07:10 PM

Application Version : 4.41.1000

Core Rules Database Version : 5314
Trace Rules Database Version: 3126

Scan type       : Complete Scan
Total Scan Time : 00:28:39

Memory items scanned      : 522
Memory threats detected   : 0
Registry items scanned    : 7354
Registry threats detected : 1
File items scanned        : 23513
File threats detected     : 2

Adware.Tracking Cookie
	C:\Documents and Settings\Famille Lambert\Cookies\famille_lambert@2o7[2].txt
	C:\Documents and Settings\Famille Lambert\Cookies\famille_lambert@perf.overture[1].txt

Adware.IEPlugin
	HKCR\Remove

Utilisateur anonyme · Answer

Télécharger WORT (de dj QUIOU) sur le Bureau. 

Faire redémarrer le PC en mode sans échec : 

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

1) Redémarrer l'ordinateur . 
2) Tapoter sur la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" . 
3) Tapoter jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisir la première option : Sans Échec , et valider en tapant sur [Entrée] . 
5) Choisir son compte habituel ( et pas Administrateur ). 
Attention : pas de connexion possible en mode sans échec , donc copiez ou imprimez bien la manipe pour éviter les erreurs ... 

    * Double-cliquer sur le fichier WORT.exe ( Sous Vista , cliquer droit -> "lancer en tant qu'administrateur" ) et sélectionner le bureau à l'aide du bouton "Browse". 
    * Suivre les instructions et double-cliquer sur le fichier WareOut_Removal_Tool.bat (Clique droit -> "lancer en tant qu'administrateur" si sous Vista) qui vient d'être créé sur le Bureau pour lancer l'outil ... 
    * Sélectionner l'option 1 et valider par [entrée] . 
    * Ne toucher à rien et laisser tavailler l'outil ! 
* A la fin de l'analyse, un rapport va s'ouvrir. Héberge le rapport  sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Robinson27 · Answer

France pk?

Utilisateur anonyme · Answer

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
O42 - Logiciel: MyWay Search Assistant - (.MyWay.) [HKLM]     
[HKCU\Software\MyWaySA]     
[HKLM\Software\MyWaySA]     
O53 - SMSR:HKLM\...\startupreg\QuickTime Task  [Key] . (.Apple Inc. - QuickTime Task.) -- C:\program files\quicktime\qttask              .exe 





----------------------------------------------------------

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse 


Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

Robinson27 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijpKb6VtT.txt

Utilisateur anonyme · Answer

Ton pc ,doit fonctionner nettement mieux ?

Téléchargez Dr.Web CureIt! sur votre Bureau. ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

cliques droit sur drweb-cureit.exe et ouvrir , acceptes l'analyse en mode protection renforcé

cliquez sur Commencer le scan.

Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.

Lorsque le scan rapide est terminé, cliquez sur Options Changer la configuration.

Choisissez l'onglet Scanner, et décochez Analyse heuristique.

De retour à la fenêtre principale : choisissez Analyse complète.

Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.

Cliquez Oui pour Tout si un fichier est détecté.

A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.

Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.

Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.

Fermez Dr.Web CureIt!

Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.

Suite au redémarrage, postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans votre prochaine réponse

Robinson27 · Answer

Oui c'est vrai, plus rapide. Je fais la suite ce soir.
Par contre pourrais tu me dire quels logiciels je dois garder ou télécharger pour avoir une bonne protection de mon ordi? Merci

Robinson27 · Answer

Mais c'est quoi f secure je ne l'ai pas vu?

Robinson27 · Answer

voila le dernier rapport:

   minidump.exe  	C:\Documents and Settings\All Users\Application Data\SingleClick Systems\HomeNet Manager  	Trojan.DownLoader.origin  	Irréparable.Quarantaine.
minidump.exe 	C:\Documents and Settings\Famille Lambert\Local Settings\Application Data\SingleClick Systems\HomeNet Manager 	Trojan.DownLoader.origin 	Irréparable.Quarantaine.
minidump.exe 	C:\Program Files\Dell Network Assistant 	Trojan.DownLoader.origin 	Irréparable.Quarantaine.
EoRezoBho.old.vir 	C:\Program Files\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoAdv 	Adware.Eorezo 	Irréparable.Supprimé.
eoRezoBho.dll.4430.vir 	C:\Program Files\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoAdv	mp 	Adware.Eorezo 	Irréparable.Supprimé.
A0199241.exe 	C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP383 	Trojan.DownLoader.origin 	Irréparable.Quarantaine.
A0199240.exe 	C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP382 	Trojan.DownLoader.origin 	Irréparable.Quarantaine.
A0199239.exe 	C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP382 	Trojan.DownLoader.origin 	Irréparable.Quarantaine.

Utilisateur anonyme · Answer

Rien de bien méchant avec le scan de dr Web. 

Ton pc est maintenant propre.  
Voici quelques conseils.  

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes : adblock plus  
pour bloquer les publicités ;   

* WOT - Extension pour ton navigateur internet :   
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :   
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/   
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp    
========================================================= 
Je conseille de mettre a jour internet explorer  même  si vous ne l'utilisé  jamais. Les MAJ  systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité.  
* Télécharger  IE8 : ici  
========================================================= 
Java n'est pas à jour, c'est une faille de sécurité.   
1. Tu dois en premier désinstaller l'ancienne version .  
2.  Ouvre le menu démarrer   
3. Clic sur panneau de configuration   
4. Rends toi a  ajout/suppression de programmes   
5.  Sélectionne toutes les versions de java présentes et désinstalles les.  
6. Ensuite, télécharges et installes la nouvelle version de  java (n'installes pas la barre d'outil proposée lors de l'installation)  
======================================================= 
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour   
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.   

 Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.   

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.   

* Un conseil : n'installe pas les BETA   
                               ====================================================  
Pour éliminer les programmes de desinfections.  

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)   
http://pc-system.fr/   
* Clique sur Recherche et laisse le scan se terminer.   
* Clique, sur Suppression pour finaliser.   
* Tu peux, si tu le souhaites, te servir des Options facultatives.   
* Clique sur Quitter, pour que le rapport puisse se créer.   
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).  
========================================================= 
Désactive et réactive la Restauration du système sous windows xp.  
Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les   
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire :   
[1]   Dans la barre des tâches de Windows, clique sur Démarrer.   
[2]   Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.   
[3 ]  Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"   
[4 ]  Clique sur Appliquer.   
[5 ]  Ensuite décoche "Désactiver la restauration du systeme"   
[6 ]  clique sur appliquer puis ok   
[7 ]  vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom :(exemple :fin de désinfections) puis tu valides.   
[8]Pensé  a vider la corbeille.  
======================================================= 
============================================================ 
Tu peux mettre ton problème résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/ 

 
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

Robinson27 · Answer

Ok et encore merci nanard4700.
Qu'est ce je garde de tous les logiciels qu'on a téléchargé?

Robinson27 · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\avenger: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Navilog1: trouvé !
C:\WORT: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Famille Lambert\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Famille Lambert\Bureau\avenger.exe: trouvé !
C:\Documents and Settings\Famille Lambert\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Famille Lambert\Bureau\WareOut Removal Tool.bat: trouvé !
C:\Documents and Settings\Famille Lambert\Bureau\WORT.exe: trouvé !
C:\Documents and Settings\Famille Lambert\Bureau\WORT: trouvé !
C:\Documents and Settings\Famille Lambert\Bureau\WORT\catchme.exe: trouvé !
C:\Documents and Settings\Famille Lambert\Mes documents\Téléchargements\OTM.exe: trouvé !
C:\Documents and Settings\Famille Lambert\Mes documents\Téléchargements\Navilog1.exe: trouvé !
C:\Documents and Settings\Famille Lambert\Mes documents\Téléchargements\HJTInstall.exe: trouvé !
C:\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Famille Lambert\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Famille Lambert\Bureau\avenger.exe: supprimé !
C:\Documents and Settings\Famille Lambert\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Famille Lambert\Bureau\WareOut Removal Tool.bat: supprimé !
C:\Documents and Settings\Famille Lambert\Bureau\WORT\catchme.exe: supprimé !
C:\Documents and Settings\Famille Lambert\Mes documents\Téléchargements\OTM.exe: supprimé !
C:\Documents and Settings\Famille Lambert\Mes documents\Téléchargements\Navilog1.exe: supprimé !
C:\Documents and Settings\Famille Lambert\Mes documents\Téléchargements\HJTInstall.exe: supprimé !
C:\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\Documents and Settings\Famille Lambert\Bureau\WORT.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\avenger: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\Navilog1: supprimé !
C:\WORT: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Famille Lambert\Bureau\WORT: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Cheval de Troie indomptable!

65 réponses

Votre réponse

Discussions similaires