Aide pour Hijackthis Résolu/Fermé

Question

Bonjour, 


Si quelqu'un peut m'aider à analysé ce rapport d'Hijack et m'indiquer si je dois fixer et/ou supprimer des trucs ?

Merci d'avance



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:04:11, on 28/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\wlancfg.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\ps2.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\pchbutton.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Propriétaire\Mes documents\HiJackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ww12.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww12.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ww12.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ww12.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fdajo%3f
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD63A08DBF29} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O2 - BHO: (no name) - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {FA2C25DC-A28B-5CD1-4BDD-7A95232C6A1D} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\program files\hp\digital imaging\bin\hpdtlk02.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O3 - Toolbar: (no name) - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - (no file)
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [InstaFinderK] C:\Program Files\INSTAFINK\InstaFinderK_inst.exe
O4 - HKLM\..\Run: [DRam prosessor] plscd.exe
O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\pchbutton.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Startup: AutorunsDisabled
O4 - Startup: Moniteur & Configuration.lnk = ?
O4 - Startup: WkCalRem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Startup: wlancfg.exe
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Recherche avec cherche.us - C:\Documents and Settings\Propriétaire\scriptjava.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe 
O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe 
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - 
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://www.gagne-un-max.com/acces/WebInstall.dll
O16 - DPF: {869518C3-FBA5-4D75-8A14-7047437E9498} - 
O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - 
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by132fd.bay132.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{E82F5BAF-16DD-4A1B-8304-8704ACFE8BB2}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\WINDOWS\wlancfg.exe

crapoulou · Accepted Answer

OK. Virus C-C, j'avais vu mais j'aime pas voir un rapport HJt sans aucune explication ;-). Et il n'y a pas que ça d'ailleurs... Suppression avec AD-R : Télécharge AD-R (de C_XX ) sur ton bureau : = = = =>>> En cliquant ici <<<= = = = /!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\ * Exécute AD-R. * Au menu principal clique sur le bouton "Nettoyer". * Poste le rapport qui apparaît à la fin. (Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt)

crapoulou · Answer

Salut,

Avant d'entamer une désinfection, il faudrait savoir pourquoi.
Quels sont les problèmes rencontrés ?

Utilisateur anonyme · Answer

Salut    

Salut  crapoulou     


au plaisir et bonne continuation   

            Membre Contributeur sécurité CCM    
            Windows Vista // Windows XP

Martin · Answer

Salut,

Mon pc est lent au démarrage et à la fermeture et il ferme souvent seul. Je ne sais pas si c'est du à un virus ou quoi.

Martin · Answer

Ok, merci. Désolé, je ne savais pas trop où le mettre, c'est cool de m'avoir répondu quand même.
Je fais ça et je poste le rapport quand c'est fait.

Martin · Answer

Voilà le rapport AD-R :


======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:26:22 le 28/07/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Propriétaire@CHAMBREMANU ( ) 
 
============== ACTION(S) ==============


0,Fichier supprimé: C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\o6z6nj38.default\searchplugins\cherche.xml
0,Fichier supprimé: C:\Documents and Settings\Propriétaire\scriptjava.html

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\o6z6nj38.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultenginename", "Web Search"); 
Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "BS Player Customized Web Search"); 
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1750559&Sea... 
Ligne supprimée: user_pref("browser.search.selectedEngine", "BS Player Customized Web Search"); 
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpj... 
-- Fichier Fermé --
 

0,Clé supprimée: HKLM\Software\Classes\Need2FindBar.SettingsPlugin.1
0,Clé supprimée: HKLM\Software\Classes\Need2FindBar.ToolbarPlugin
0,Clé supprimée: HKLM\Software\Classes\Need2FindBar.ToolbarPlugin.1
0,Clé supprimée: HKLM\Software\Classes\Toolband.EB_ExplorerBar
0,Clé supprimée: HKLM\Software\Classes\Toolband.EB_ExplorerBar.1
0,Clé supprimée: HKLM\Software\Classes\Toolband.IPM_PrintListItem
0,Clé supprimée: HKLM\Software\Classes\Toolband.IPM_PrintListItem.1
0,Clé supprimée: HKLM\Software\Classes\Toolband.PM_Launcher
0,Clé supprimée: HKLM\Software\Classes\Toolband.PM_Launcher.1
0,Clé supprimée: HKLM\Software\Classes\Toolband.PM_PrintManager
0,Clé supprimée: HKLM\Software\Classes\Toolband.PM_PrintManager.1
0,Clé supprimée: HKLM\Software\Classes\Toolband.PR_BindStatusCallback
0,Clé supprimée: HKLM\Software\Classes\Toolband.PR_BindStatusCallback.1
0,Clé supprimée: HKLM\Software\Classes\Toolband.PR_CancelButtonEventHandler
0,Clé supprimée: HKLM\Software\Classes\Toolband.PR_CancelButtonEventHandler.1
0,Clé supprimée: HKLM\Software\Classes\Toolband.TBToolband
0,Clé supprimée: HKLM\Software\Classes\Toolband.TBToolband.1
0,Clé supprimée: HKLM\Software\Classes\Toolband.UserOptions
0,Clé supprimée: HKLM\Software\Classes\Toolband.UserOptions.1
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search
0,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us
0,Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\2C5ECEB3D45147EB99FA51120E7C7ADEBE213DE6
0,Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\A6A50B0EBF885A7DD4FB6927F1388592138FFFE6
0,Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\FEF22E989A11FC64DA8EBAA19A0851D12A40D3D2
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}

0,Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo mmhkbp
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser|{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\o6z6nj38.default\Prefs.js --
browser.download.dir, C:\Documents and Settings\Propriétaire\Mes documents
browser.download.lastDir, C:\Documents and Settings\Propriétaire\Mes documents
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [6.0.2900.5512] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 28/07/2010 (1413 Octet(s)) 

Fin à: 20:33:16, 28/07/2010 
 
============== E.O.F ==============

crapoulou · Answer

Pour établir un diagnostic plus en profondeur de ton PC : Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau. = = = = >>> En cliquant ici <<< = = = = * Double clique sur RSIT.exe pour le lancer. * Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer). * Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence. * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes). * Poste le contenu de log.txt.

Martin · Answer

Apparement, le texte est trop long, le message ne s'envoie pas

crapoulou · Answer

Si tu as des soucis pour envoyer le fichier, héberge-le sur cijoint.fr.

Aide en images.

Martin · Answer

Le fichier log.txt est ici : 
 http://www.cijoint.fr/cjlink.php?file=cj201007/ciji6X93UQ.txt

Il y aussi info.txt, il le faut peut-être : 
http://www.cijoint.fr/cjlink.php?file=cj201007/cijNLkvDPK.txt

crapoulou · Answer

Tu as téléchargé ce logiciel ? VoissaNoPubs ******** Fais ceci : Démarrer > Exécuter > cmd Tape ceci dans la barre blanche : del /F /Q C:\WINDOWS\Tasks\At*.job ********* Télécharge Malwarebytes' Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Enregistre le sur le bureau - Double clique sur le fichier téléchargé pour lancer le processus d'installation - Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l'icône de malwarebytes pour le relancer - Dans l'onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. - Rends toi dans l'onglet rapport/log - Tu clique dessus pour l'afficher. - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu clique droit dans le cadre de la réponse et coller Si tu as besoin d'aide regarde ce tutorial ICI

Martin · Answer

Oui j'ai VoissaNoPubs, pourquoi il est infecté ?

voilà le rapport de Malwarebytes :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4363

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

28/07/2010 22:41:38
mbam-log-2010-07-28 (22-41-38).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 235375
Temps écoulé: 1 heure(s), 5 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 15
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT	orrentmanager.webmanager (Trojan.Swizzor) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT	orrentmanager.webmanager.1 (Trojan.Swizzor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\TrustedPublisher\Certificates\c48d3b9bca9b3a5a04bc26f729ee0c6e389dde2e (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7c559105-9ecf-42b8-b3f7-832e75edd959} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{549b5ca7-4a86-11d7-a4df-000874180bb3} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f919fbd3-a96b-4679-af26-f551439bb5fd} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Swizzor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{2d2bee6e-3c9a-4d58-b9ec-458edb28d0f6} (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{88c51e90-8e9c-4c96-8a45-574d88b63faf} (Trojan.Perfiler) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\BitDownload (Trojan.Swizzor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\disableregedit (Hijack.Regedit) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dram prosessor (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

crapoulou · Answer

Bien pour MBAM. Analyse ce fichier : C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe Sur le site de Virustotal : https://www.virustotal.com/gui/ Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée. Poste bien le rapport. (Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant). ********* Télécharge et installe UsbFix de C_XX & El_Desaparecido : = = = = >>> En cliquant ici <<< = = = = Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir ! * Double clique sur le raccourci UsbFix présent sur ton bureau. * Clique sur le bouton Recherche * Laisse travailler l'outil. * Ensuite poste l'intégralité du rapport UsbFix.txt qui apparaîtra. Notes : - Le rapport UsbFix.txt est sauvegardé à la racine du disque. (C:\UsbFix.txt) (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum). - Si l'outil ne se lance pas, désactive ton antivirus le temps de la manipulation.

Martin · Answer

Quand j'essaie de télécharger UsbFix, avast le signale comme infecté par le trojan win32 VB-JI 
Voici l'analyse pour voissa

Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	2010.07.28.04 	2010.07.28 	-
AntiVir 	8.2.4.26 	2010.07.28 	-
Antiy-AVL 	2.0.3.7 	2010.07.28 	-
Authentium 	5.2.0.5 	2010.07.28 	-
Avast 	4.8.1351.0 	2010.07.28 	-
Avast5 	5.0.332.0 	2010.07.28 	-
AVG 	9.0.0.851 	2010.07.28 	-
BitDefender 	7.2 	2010.07.28 	-
CAT-QuickHeal 	11.00 	2010.07.28 	-
ClamAV 	0.96.0.3-git 	2010.07.28 	-
Comodo 	5572 	2010.07.28 	-
DrWeb 	5.0.2.03300 	2010.07.28 	-
Emsisoft 	5.0.0.34 	2010.07.28 	-
eSafe 	7.0.17.0 	2010.07.27 	-
eTrust-Vet 	36.1.7745 	2010.07.28 	-
F-Prot 	4.6.1.107 	2010.07.28 	-
F-Secure 	9.0.15370.0 	2010.07.28 	-
Fortinet 	4.1.143.0 	2010.07.28 	-
GData 	21 	2010.07.28 	-
Ikarus 	T3.1.1.84.0 	2010.07.28 	-
Jiangmin 	13.0.900 	2010.07.28 	-
Kaspersky 	7.0.0.125 	2010.07.28 	-
McAfee 	5.400.0.1158 	2010.07.28 	-
McAfee-GW-Edition 	2010.1 	2010.07.28 	-
Microsoft 	1.6004 	2010.07.28 	-
NOD32 	5321 	2010.07.28 	-
Norman 	6.05.11 	2010.07.28 	-
nProtect 	2010-07-28.02 	2010.07.28 	-
Panda 	10.0.2.7 	2010.07.28 	-
PCTools 	7.0.3.5 	2010.07.28 	-
Prevx 	3.0 	2010.07.28 	-
Rising 	22.58.02.04 	2010.07.28 	-
Sophos 	4.55.0 	2010.07.28 	-
Sunbelt 	6655 	2010.07.28 	-
Symantec 	20101.1.1.7 	2010.07.28 	-
TheHacker 	6.5.2.1.326 	2010.07.27 	-
TrendMicro 	9.120.0.1004 	2010.07.27 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.07.28 	-
VBA32 	3.12.12.6 	2010.07.28 	-
ViRobot 	2010.7.28.3960 	2010.07.28 	-
VirusBuster 	5.0.27.0 	2010.07.28 	-
Information additionnelle
File size: 655360 bytes
MD5   : 3bfe08a20a87bb69e61f9f947175714a
SHA1  : 65385737da4ec7ebd139fc2063904acaa3e25793
SHA256: 582f5ce7db234c65eb664020dcc342ba53359a53fd88f23b2e61febe1ae04399
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7EC98
timedatestamp.....: 0x2A425E19 (Sat Jun 20 00:22:17 1992)
machinetype.......: 0x14C (Intel I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x7DD44 0x7DE00 6.55 6345d16e40bcebf3d0470c63d0ed4977
DATA 0x7F000 0x1B00 0x1C00 4.60 2a4206ecbd06aefb27707baf40d11a7d
BSS 0x81000 0x3839 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x85000 0x2334 0x2400 4.86 6540e9ffd3520798b2079a609a3c1387
.tls 0x88000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x89000 0x18 0x200 0.20 9585e29e248a649c53dbbea1bb71764e
.reloc 0x8A000 0x79A8 0x7A00 6.63 be5eb0addf6a7171d97f6923fd19016d
.rsrc 0x92000 0x16200 0x16200 6.54 9c73f600ed12f17142795a37973c4428

( 10 imports )

> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegFlushKey, RegDeleteValueA, RegCreateKeyExA, RegCloseKey
> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls
> comdlg32.dll: GetOpenFileNameA
> gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, Rectangle, RectVisible, RealizePalette, Polyline, PlayEnhMetaFile, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectType, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, GdiFlush, ExtTextOutA, ExcludeClipRect, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreateRoundRectRgn, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, BitBlt
> kernel32.dll: GetCurrentThreadId, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, lstrcpyA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle, TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, GetModuleFileNameA, lstrcpyA, WritePrivateProfileStringA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, TerminateThread, Sleep, SizeofResource, SetThreadPriority, SetThreadLocale, SetLastError, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResumeThread, ReadFile, MulDiv, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTickCount, GetThreadLocale, GetSystemInfo, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetExitCodeThread, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, FreeResource, FreeLibrary, FormatMessageA, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteFileA, DeleteCriticalSection, CreateThread, CreateMutexA, CreateFileA, CreateEventA, CopyFileA, CompareStringA, CloseHandle
> ole32.dll: IsEqualGUID
> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysFreeString, SysReAllocStringLen, SysAllocStringLen
> shell32.dll: Shell_NotifyIconA, ShellExecuteA
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowRgn, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDlgItem, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreateWindowExA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharLowerBuffA, CharLowerA, AdjustWindowRectEx, ActivateKeyboardLayout
> winmm.dll: timeGetTime, PlaySoundA

( 0 exports )
TrID  : File type identification
Win32 Executable Borland Delphi 5 (86.4%)
Win32 EXE PECompact compressed (generic) (7.9%)
Win32 Executable Delphi generic (2.8%)
Win32 Executable Generic (1.6%)
Win16/32 Executable Delphi generic (0.3%)
ssdeep: 12288:svUISTAuInBvPeTZrxaY91iozMB+qHSHe0uIlPl:spSTnksrn91iKMBXSnuIN
sigcheck: publisher....: Voissa.com
copyright....: Cedrat Net
product......:
description..:
original name:
internal name:
file version.: 2.0.0.0
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned
PEiD  : -
RDS   : NSRL Reference Data Set
-

crapoulou · Answer

Car ta version d'Avast est obsolète.
Installe la version 5 d'Avast.

Martin · Answer

Même après l'installation de la dernière version et sa maj, il continue de l'identifier comme une menace. (toujours le même trojan).

crapoulou · Answer

Alors ignore l'alerte voire désactive le le temps de la manipulation mais ferme tous tes programmes et Internet !

Martin · Answer

Le rapport d'UsbFix :


v############################## | UsbFix 7.017 | [Recherche]

Utilisateur: Propriétaire (Administrateur) # CHAMBREMANU [ ]
Mis à jour le 22/07/10 par El Desaparecido / C_XX
Lancé à 17:26:50 | 29/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Pentium(R) 4 CPU 2.80GHz
CPU 2:  Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Désactivé /!\
Antivirus: avast! Antivirus 5.0.83886674 [(!) Disabled | Updated]
Firewall: ZoneAlarm Firewall 7.0.483.000 [(!) Disabled]
RAM -> 511 Mo 
C:\ (%systemdrive%) -> Disque fixe # 145 Go (82 Go libre(s) - 56%) [HP_PAVILION] # NTFS
D:\ -> Disque fixe # 4 Go (971 Mo libre(s) - 21%) [HP_RECOVERY] # FAT32
E:\ -> CD-ROM
F:\ -> CD-ROM
K:\ -> Disque amovible # 944 Mo (245 Mo libre(s) - 26%) [MANOU MP3] # FAT32

################## | Éléments infectieux |

Présent! C:\Documents and Settings\Propriétaire
ew.txt
Présent! D:\Autorun.inf
Présent! C:\Delme.bat

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoClose

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{9da2dcfc-8a12-11db-900f-0006f408d2bf}
Shell\AutoRun\Command = K:\A.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

crapoulou · Answer

Nettoyage avec UsbFix :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir !

*Double clique sur le raccourci UsbFix présent sur ton bureau.
* Clique sur le bouton Suppression
* Ton bureau disparaîtra et le PC redémarrera.
* Au redémarrage, UsbFix scannera ton PC. Laisse travailler l'outil.
* Ensuite poste l'intégralité du rapport UsbFix.txt qui apparaîtra avec le bureau.

Note :
Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

Martin · Answer

Le rapport suppression d'UsbFix  :


############################## | UsbFix 7.017 | [Suppression]

Utilisateur: Propriétaire (Administrateur) # CHAMBREMANU [ ]
Mis à jour le 22/07/10 par El Desaparecido / C_XX
Lancé à 12:36:20 | 30/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Pentium(R) 4 CPU 2.80GHz
CPU 2:  Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Désactivé /!\
Antivirus: avast! Antivirus 5.0.83886674 [(!) Disabled | Updated]
Firewall: ZoneAlarm Firewall 7.0.483.000 [Enabled]
RAM -> 511 Mo 
C:\ (%systemdrive%) -> Disque fixe # 145 Go (82 Go libre(s) - 56%) [HP_PAVILION] # NTFS
D:\ -> Disque fixe # 4 Go (971 Mo libre(s) - 21%) [HP_RECOVERY] # FAT32
E:\ -> CD-ROM
F:\ -> CD-ROM
K:\ -> Disque amovible # 944 Mo (245 Mo libre(s) - 26%) [MANOU MP3] # FAT32

################## | Éléments infectieux |

Supprimé! C:\Documents and Settings\Propriétaire
ew.txt
Supprimé! D:\Autorun.inf
Supprimé! C:\Delme.bat

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoClose

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{9da2dcfc-8a12-11db-900f-0006f408d2bf}

################## | Listing |

[11/10/2006 - 19:52:55 | RHD ] 	C:\$VAULT$.AVG
[22/11/2006 - 00:16:08 | D ] 	C:\4729cf49bd47c11269acde3b550961ca
[08/08/2009 - 23:20:10 | D ] 	C:\6843bb1794e6e21e2d
[28/07/2010 - 20:33:16 | A | 5718] 	C:\Ad-Report-CLEAN[1].txt
[02/04/2005 - 18:05:05 | A | 0] 	C:\agc.rm
[01/01/2004 - 21:05:16 | A | 0] 	C:\AUTOEXEC.BAT
[28/07/2010 - 19:07:03 | HD ] 	C:\BJPrinter
[15/05/2005 - 16:10:55 | D ] 	C:\BlueByte
[04/09/2004 - 14:08:31 | RASH | 196] 	C:\BOOT.BAK
[06/08/2007 - 16:29:42 | RASH | 291] 	C:\boot.ini
[11/02/2004 - 23:10:00 | RASH | 4952] 	C:\Bootfont.bin
[04/09/2004 - 18:05:49 | RSHD ] 	C:\cmdcons
[11/02/2004 - 22:58:00 | RSH | 249136] 	C:\cmldr
[28/07/2010 - 23:26:08 | HD ] 	C:\Config.Msi
[01/01/2004 - 21:05:16 | A | 0] 	C:\CONFIG.SYS
[10/12/2006 - 20:54:10 | D ] 	C:\Converted Music
[18/04/2006 - 18:48:18 | D ] 	C:\Documents and Settings
[10/09/2006 - 12:12:16 | D ] 	C:\f7a4cd4f96f1b9b7a607c3dffbc90232
[30/07/2010 - 12:32:26 | ASH | 536203264] 	C:\hiberfil.sys
[24/07/2006 - 14:21:46 | HD ] 	C:\hp
[26/07/2008 - 11:47:24 | A | 198] 	C:\INSTALL.LOG
[01/01/2004 - 21:05:16 | RASH | 0] 	C:\IO.SYS
[17/04/2006 - 00:11:30 | D ] 	C:\Mes téléchargements
[01/01/2004 - 21:05:16 | RASH | 0] 	C:\MSDOS.SYS
[20/03/2007 - 15:30:54 | D ] 	C:\My Downloads
[13/12/2004 - 18:52:07 | RASH | 47564] 	C:\NTDETECT.COM
[22/11/2008 - 16:55:49 | RASH | 252240] 	C:
tldr
[30/07/2010 - 12:32:21 | ASH | 805306368] 	C:\pagefile.sys
[28/07/2010 - 21:33:37 | D ] 	C:\Program Files
[27/08/2006 - 13:18:03 | D ] 	C:\Python22
[06/01/2008 - 21:02:36 | D ] 	C:\Q3Ademo
[30/07/2010 - 12:40:16 | SHD ] 	C:\RECYCLER
[28/07/2010 - 20:55:09 | D ] 	C:sit
[08/05/2005 - 16:53:39 | D ] 	C:\Sierra
[04/09/2004 - 14:11:28 | D ] 	C:\sysprep
[18/02/2010 - 01:06:12 | SHD ] 	C:\System Volume Information
[01/01/2004 - 21:55:24 | HD ] 	C:\system.sav
[06/07/2010 - 17:37:52 | D ] 	C:	emp
[09/07/2008 - 16:32:04 | A | 291] 	C:	race.txt
[30/07/2010 - 12:40:16 | D ] 	C:\UsbFix
[30/07/2010 - 12:40:21 | A | 1216] 	C:\UsbFix.txt
[30/07/2010 - 12:33:53 | D ] 	C:\WINDOWS
[27/07/2001 - 20:07:38 | SH | 0] 	D:\AUTOEXEC.BAT
[09/01/2002 - 09:52:30 | SH | 244] 	D:\BOOT.INI
[21/04/2004 - 06:31:52 | SHD ] 	D:\cmdcons
[16/08/2001 - 23:26:26 | SH | 237728] 	D:\CMLDR
[27/07/2001 - 20:07:38 | SH | 0] 	D:\CONFIG.SYS
[09/09/2002 - 13:14:14 | SH | 100] 	D:\Desktop.ini
[10/09/2002 - 07:21:08 | SH | 7850] 	D:\Folder.htt
[30/04/2001 - 10:16:46 | SH | 14] 	D:\GRAPH
[25/01/2002 - 08:21:24 | SH | 0] 	D:\GRAPH16
[10/09/2002 - 11:54:58 | SH | 40960] 	D:\Info.exe
[27/07/2001 - 20:07:38 | SH | 0] 	D:\IO.SYS
[21/04/2004 - 06:31:04 | SHD ] 	D:\MiniNT
[27/07/2001 - 20:07:38 | SH | 0] 	D:\MSDOS.SYS
[25/07/2001 - 12:00:00 | SH | 45124] 	D:\NTDETECT.COM
[17/08/2001 - 05:32:24 | SH | 0] 	D:\NTFS
[25/07/2001 - 12:00:00 | SH | 222880] 	D:\NTLDR
[24/06/2004 - 08:11:54 | SHD ] 	D:\PRELOAD
[10/09/2002 - 04:58:12 | SH | 181616] 	D:\protect.ed
[24/06/2004 - 00:33:22 | SH | 36] 	D:\SAVEFILE.DIR
[30/04/2001 - 10:16:46 | SH | 14] 	D:\SVGA
[08/02/2002 - 14:44:24 | SH | 88038] 	D:\warning.BMP
[24/06/2004 - 01:11:46 | SH | 26] 	D:\BLOCK.RIN
[02/01/2004 - 07:41:58 | SHD ] 	D:\I386
[24/06/2004 - 01:14:42 | SH | 934] 	D:\MASTER.LOG
[02/01/2004 - 08:02:26 | SHD ] 	D:\TOOLS
[18/08/2001 - 05:00:00 | SH | 10] 	D:\WIN51
[22/01/2001 - 05:00:00 | SH | 11] 	D:\WIN51.B2
[25/07/2001 - 05:00:00 | SH | 11] 	D:\WIN51.RC1
[25/07/2001 - 10:47:04 | SH | 11] 	D:\WIN51.RC2
[18/08/2001 - 05:00:00 | SH | 10] 	D:\WIN51IC
[20/03/2001 - 05:00:00 | SH | 11] 	D:\WIN51IC.B2
[25/07/2001 - 05:00:00 | SH | 11] 	D:\WIN51IC.RC1
[25/07/2001 - 05:00:00 | SH | 11] 	D:\WIN51IC.RC2
[17/08/2001 - 05:00:00 | SH | 10] 	D:\WIN51IP
[22/01/2001 - 05:00:00 | SH | 11] 	D:\WIN51IP.B2
[25/07/2001 - 10:47:04 | SH | 11] 	D:\WIN51IP.RC2
[17/08/2001 - 03:17:02 | SH | 184] 	D:\WINBOM.INI
[02/01/2004 - 08:03:16 | SHD ] 	D:\hp
[02/01/2004 - 08:03:16 | RD ] 	D:\Réinstallation Système
[24/06/2004 - 01:14:42 | ASH | 934] 	D:\USER
[07/08/2004 - 13:23:30 | ASH | 1552] 	D:\BATCH.LOG
[04/09/2004 - 14:15:14 | SHD ] 	D:\Recycled
[04/09/2004 - 14:15:14 | SHD ] 	D:\System Volume Information
[26/05/2010 - 22:00:04 | A | 732477440] 	K:\Punishment Park 1971 Dvdrip Divx-Vostfr.avi

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_CHAMBREMANU.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

crapoulou · Answer

Tu n'avais bien qu'une clé USB à brancher ?
Comment va le PC globalement ?

Génère un nouveau rapport RSIt stp pour faire le point.

Martin · Answer

Oui il y avait juste mon mp3, qui me sert aussi de clé usb.
Le PC va bien.

log.txt :
 http://www.cijoint.fr/cjlink.php?file=cj201007/cijXSqaLVK.txt

Par contre, info.txt est le même, daté du 28, je ne sais pas si c'est normal.

crapoulou · Answer

Désactive le Teatimer de Spybot : - Lance Spybot - Va dans Mode puis Mode avancé puis Outils puis Résident et décoche la case Tea timer. Exemple sur cette image : = = = =>>> ICI <<<= = = = ********** Lance Hijackthis. Il se situe ici : C:\Program Files rend micro\Propriétaire.exe Clique sur "Do a system scan only". Coche ces lignes : R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.cherche.us/keyword/%s O2 - BHO: (no name) - AutorunsDisabled - (no file) O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD63A08DBF29} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file) O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file) O2 - BHO: (no name) - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - (no file) O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) O2 - BHO: (no name) - {FA2C25DC-A28B-5CD1-4BDD-7A95232C6A1D} - (no file) O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file) O3 - Toolbar: (no name) - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - (no file) O4 - HKLM\..\Run: [InstaFinderK] C:\Program Files\INSTAFINK\InstaFinderK_inst.exe O4 - HKLM\..\Run: [DRam prosessor] plscd.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - Global Startup: AutorunsDisabled O9 - Extra button: (no name) - AutorunsDisabled - (no file) O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/PackageHtmlCab.CAB O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://www.gagne-un-max.com/acces/WebInstall.dll O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {869518C3-FBA5-4D75-8A14-7047437E9498} - Clique ensuite sur fix checked. Ferme Hijackthis. ********** Mets à jour Avast 5. Lance une analyse complète du système. Pote le rapport de fin d'analyse.

Martin · Answer

Hum... il se trouve où le fichier du rapport d'Avast ? :S

crapoulou · Answer

A-t-il détecté quelque chose ?
Si oui, j'ai l'impression que tu ne pourras faire que des captures d'écrans pour les analyses réalisées.
Tu trouveras ici :

Ouvre Avast
Lancer un scan
Rapports de scan

Copier - coller impossible et sur le PC, tu n'auras rien au niveau des rapports je pense :

C:\Documents and Settings\All Users\Application Data\ALWIL Software\Avast5\report (XP ou 2000).
C:\ProgramData\ALWIL Software\Avast5\report (Vista ou 7).

Martin · Answer

Il a détecté une infection dans à C:\hp\bin\KillIt.exe, de sévérité limitée et l'Etat: LPI : Win32:KillApp-W [PUP]. 

Il n'y a que ça, si ça ne te suffit pas j'enverrais une capture d'écran avec ci-joint.

Parce qu'en fait le fichier fait quand même 14 Mo donc trop lourd et pour le forum et pour cijoint.

crapoulou · Answer

Analyse ce fichier :
C:\hp\bin\KillIt.exe
Sur le site de Virustotal :
https://www.virustotal.com/gui/

Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée.

Poste bien le rapport.

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).

Martin · Answer

Voilà la rapport de VirusTotal :

Antivirus  	Version  	Dernière mise à jour  	Résultat
AVG	9.0.0.851	2010.07.31	-
eSafe	7.0.17.0	2010.07.29	-
F-Secure	9.0.15370.0	2010.07.31	-
McAfee	5.400.0.1158	2010.07.31	ProcKill-BU
McAfee-GW-Edition	2010.1	2010.07.30	Heuristic.BehavesLike.Win32.Suspicious.H
Microsoft	1.6004	2010.07.31	-
Norman	6.05.11	2010.07.31	-
Prevx	3.0	2010.07.31	-
TheHacker	6.5.2.1.328	2010.07.30	-
VBA32	3.12.12.7	2010.07.30	-
Information additionnelle
File size: 55296 bytes
MD5...: fb9f5efc10280f3659dce48069725c3c
SHA1..: 71b68fb0e9ef62251687a509ee1b210e032ca3ef
SHA256: 0dfc621ceda95d297c34951272311e1f7f433d07810da65b233bf7241ada68ad
ssdeep: 768:clLBQVqMXdcotA2XPCtCcBbbdpv/h62grynogB5cVY6laJQGMGyDNtXoso:s
QV5HA26TBHzv/02CynDB5SJlbGMGAV
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x37e16202 (Thu Sep 16 21:32:50 1999)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xa000 0x9200 6.60 5b6c86dd42883b5c46ade2a84fbd4a65
.data 0xb000 0x6000 0x2800 4.82 f1b174cc040cf4e6468a05adc66905c6
.tls 0x11000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rdata 0x12000 0x1000 0x200 0.21 0df4bd0c02c5a4849424e4ac5ac9bd03
.idata 0x13000 0x1000 0x600 5.01 5950269e1f31a7fe07fb4f9c630299df
.edata 0x14000 0x1000 0x200 1.23 d5a5ecc0449f4ea96b58398cab9eebb8
.rsrc 0x15000 0x1000 0x200 0.93 a4bb7cd7f55ec165cd12688bb9c882c0
.reloc 0x16000 0x1000 0xa00 6.17 1c52ff4322b660d14cce8352e373d17a

( 2 imports )
> KERNEL32.DLL: CloseHandle, CreateFileA, CreateToolhelp32Snapshot, EnterCriticalSection, ExitProcess, GetACP, GetCPInfo, GetCommandLineA, GetCurrentThreadId, GetEnvironmentStrings, GetFileType, GetLastError, GetLocalTime, GetModuleFileNameA, GetModuleHandleA, GetOEMCP, GetProcAddress, GetProcessHeap, GetStartupInfoA, GetStdHandle, GetStringTypeW, GetVersion, GetVersionExA, GlobalMemoryStatus, HeapAlloc, HeapFree, InitializeCriticalSection, LeaveCriticalSection, LoadLibraryA, MultiByteToWideChar, OpenProcess, Process32First, Process32Next, RaiseException, RtlUnwind, SetConsoleCtrlHandler, SetFilePointer, SetHandleCount, Sleep, TerminateProcess, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, UnhandledExceptionFilter, VirtualAlloc, VirtualFree, VirtualQuery, WideCharToMultiByte, WriteFile
> USER32.DLL: EnumThreadWindows, EnumWindows, GetWindowModuleFileNameA, MessageBoxA, PostMessageA, wsprintfA

( 2 exports )
__GetExceptDLLinfo, ___CPPdebugHook
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: DOS Executable Borland C++ (39.2%)
Win32 Executable Generic (25.7%)
Win32 Dynamic Link Library (generic) (22.8%)
Generic Win/DOS Executable (6.0%)
DOS Executable Generic (6.0%)

crapoulou · Answer

C'est ce qui était au-dessus qu'il me fallait :-)

Martin · Answer

Désolé ;-)

Voilà, je crois que là j'ai tout mis :


	
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3	2010.07.31.00	2010.07.30	-
AntiVir	8.2.4.32	2010.07.30	APPL/KillApp.A
Antiy-AVL	2.0.3.7	2010.07.30	-
Authentium	5.2.0.5	2010.07.31	-
Avast	4.8.1351.0	2010.07.31	-
Avast5	5.0.332.0	2010.07.31	Win32:KillApp-W
AVG	9.0.0.851	2010.07.31	-
BitDefender	7.2	2010.07.31	-
CAT-QuickHeal	11.00	2010.07.31	-
ClamAV	0.96.0.3-git	2010.07.30	-
Comodo	5601	2010.07.31	-
DrWeb	5.0.2.03300	2010.07.30	-
Emsisoft	5.0.0.34	2010.07.30	Riskware.Win32.KillApp!A2
eSafe	7.0.17.0	2010.07.29	-
eTrust-Vet	36.1.7753	2010.07.31	-
F-Prot	4.6.1.107	2010.07.31	-
F-Secure	9.0.15370.0	2010.07.31	-
Fortinet	4.1.143.0	2010.07.31	-
GData	21	2010.07.31	-
Ikarus	T3.1.1.84.0	2010.07.31	-
Jiangmin	13.0.900	2010.07.29	-
Kaspersky	7.0.0.125	2010.07.31	-
McAfee	5.400.0.1158	2010.07.31	ProcKill-BU
McAfee-GW-Edition	2010.1	2010.07.30	Heuristic.BehavesLike.Win32.Suspicious.H
Microsoft	1.6004	2010.07.31	-
NOD32	5327	2010.07.30	-
Norman	6.05.11	2010.07.31	-
nProtect	2010-07-31.01	2010.07.31	-
Panda	10.0.2.7	2010.07.31	-
PCTools	7.0.3.5	2010.07.31	-
Prevx	3.0	2010.07.31	-
Rising	22.58.05.04	2010.07.31	-
Sophos	4.56.0	2010.07.31	Kill It
Sunbelt	6668	2010.07.31	-
SUPERAntiSpyware	4.40.0.1006	2010.07.31	-
Symantec	20101.1.1.7	2010.07.31	-
TheHacker	6.5.2.1.328	2010.07.30	-
TrendMicro	9.120.0.1004	2010.07.31	-
TrendMicro-HouseCall	9.120.0.1004	2010.07.31	-
VBA32	3.12.12.7	2010.07.30	-
ViRobot	2010.7.31.3965	2010.07.31	-
VirusBuster	5.0.27.0	2010.07.31	-
Information additionnelle
File size: 55296 bytes
MD5...: fb9f5efc10280f3659dce48069725c3c
SHA1..: 71b68fb0e9ef62251687a509ee1b210e032ca3ef
SHA256: 0dfc621ceda95d297c34951272311e1f7f433d07810da65b233bf7241ada68ad
ssdeep: 768:clLBQVqMXdcotA2XPCtCcBbbdpv/h62grynogB5cVY6laJQGMGyDNtXoso:s
QV5HA26TBHzv/02CynDB5SJlbGMGAV
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x37e16202 (Thu Sep 16 21:32:50 1999)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xa000 0x9200 6.60 5b6c86dd42883b5c46ade2a84fbd4a65
.data 0xb000 0x6000 0x2800 4.82 f1b174cc040cf4e6468a05adc66905c6
.tls 0x11000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rdata 0x12000 0x1000 0x200 0.21 0df4bd0c02c5a4849424e4ac5ac9bd03
.idata 0x13000 0x1000 0x600 5.01 5950269e1f31a7fe07fb4f9c630299df
.edata 0x14000 0x1000 0x200 1.23 d5a5ecc0449f4ea96b58398cab9eebb8
.rsrc 0x15000 0x1000 0x200 0.93 a4bb7cd7f55ec165cd12688bb9c882c0
.reloc 0x16000 0x1000 0xa00 6.17 1c52ff4322b660d14cce8352e373d17a

( 2 imports )
> KERNEL32.DLL: CloseHandle, CreateFileA, CreateToolhelp32Snapshot, EnterCriticalSection, ExitProcess, GetACP, GetCPInfo, GetCommandLineA, GetCurrentThreadId, GetEnvironmentStrings, GetFileType, GetLastError, GetLocalTime, GetModuleFileNameA, GetModuleHandleA, GetOEMCP, GetProcAddress, GetProcessHeap, GetStartupInfoA, GetStdHandle, GetStringTypeW, GetVersion, GetVersionExA, GlobalMemoryStatus, HeapAlloc, HeapFree, InitializeCriticalSection, LeaveCriticalSection, LoadLibraryA, MultiByteToWideChar, OpenProcess, Process32First, Process32Next, RaiseException, RtlUnwind, SetConsoleCtrlHandler, SetFilePointer, SetHandleCount, Sleep, TerminateProcess, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, UnhandledExceptionFilter, VirtualAlloc, VirtualFree, VirtualQuery, WideCharToMultiByte, WriteFile
> USER32.DLL: EnumThreadWindows, EnumWindows, GetWindowModuleFileNameA, MessageBoxA, PostMessageA, wsprintfA

( 2 exports )
__GetExceptDLLinfo, ___CPPdebugHook
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: DOS Executable Borland C++ (39.2%)
Win32 Executable Generic (25.7%)
Win32 Dynamic Link Library (generic) (22.8%)
Generic Win/DOS Executable (6.0%)
DOS Executable Generic (6.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

crapoulou · Answer

Je pense que tu peux ignorer l'alerte.
Il s'agit certainement d'un faux positif.
Comment va le PC ?
Peut-on passer à la fin de désinfection ?

Martin · Answer

Ok. Oui, le PC va bien, je pense qu'on peut continuer.

crapoulou · Answer

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : Télécharge Toolscleaner sur ton Bureau = = = =>>> En cliquant ici <<<= = = = * Double-clique sur ToolsCleaner2.exe et laisse le travailler * Clique sur Recherche et laisse le scan se terminer. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options facultatives. * Clique sur Quitter, pour que le rapport puisse se créer. * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse. ********************* Mets à jour Internet Explorer en téléchargeant la version 8 (même si tu ne l'utilises pas, sinon c'est une faille de sécurité de ne pas le tenir à jour...) = = = =>>> En cliquant ici <<<= = = = ********************* Tu peux garder Malwarebytes anti malware en tant qu'anti malware, il est très efficace. (Même s'il ne résout pas tous les problèmes, bien entendu ... !) Par contre, il n'a pas de scan résident en mode gratuit ! Il faut donc pour l'utiliser le lancer, faire les mises à jour et faire un scan complet après. ********************* Je vois que tu as un logiciel d'échange de fichiers via le P2P (peer-to-peer), à savoir eMule. Je ne sais pas si tu crack des logiciels et cela ne me regarde pas mais je te conseille de lire ce qui suit quelque soit l'utilisation que tu fasses avec ce logiciel. En plus d'être illégaux, les cracks sont souvent bourrés d'infection (Bagle, rogues par exemple) et certaines très coriaces (Virut, Mabezat par exemple). Voici le lien d'une vidéo montrant les effets d'une infection Bagle : https://www.youtube.com/watch?v=nqLoz4XCY60 Je te conseille de lire cet article concernant le danger des cracks (merci à Malekal) : http://forum.malekal.com/ftopic893.php ********************* * Télécharge Ccleaner Slim : = = = = >>> En cliquant ici <<< = = = = * Installe le. * Choisis l'onglet Nettoyeur Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui. Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant. * Choisis l'onglet Registre - Clique sur Chercher des erreurs - Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça) - Au message Voulez-vous sauvegarder les changements faits dans le registre, réponds Oui et enregistre le fichier au format « .reg » en le nommant par la date par exemple en le mettant sur le bureau. Puis continue. - A la fenêtre qui s'ouvre ensuite, clique sur Corriger toutes les erreurs sélectionnées puis OK - Recommence jusqu'à ce qu'aucune erreur n'apparaisse (ou une seule récurrente). - Ferme Ccleaner. * Tutoriel en images ICI si besoin. Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m'est jamais arrivé ! Il vaut mieux prendre des précautions, c'est tout. ;-)

Martin · Answer

Voilà, j'ai fait tout ça, pour Emule non je ne DL pas de cracks, d'ailleurs je vais sûrement le désinstaller, il ne me sers pas à grand chose.

Le rapport de TC :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Propriétaire\Recent\HijackThis.lnk: trouvé !
C:\Documents and Settings\Propriétaire\Recent\UsbFix.lnk: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !
C:\WINDOWS\system32\config\systemprofile\Recent\MSNFix.lnk: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Propriétaire\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\WINDOWS\system32\config\systemprofile\Recent\MSNFix.lnk: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Propriétaire\Recent\UsbFix.lnk: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\UsbFix\UsbFix.exe: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Ad-remover: supprimé !

crapoulou · Answer

Supprime Toolscleaner et C:\TCleaner.txt

Martin · Answer

Supprimé

crapoulou · Answer

Parfait alors !

Martin · Answer

Et bien, crapoulou, je te remercie beaucoup de ta patience, c'est super sympa de ta part. A bientôt.

crapoulou · Answer

A ton service.
Bonne continuation.
Sois vigilent ;-).
A+++.

Aide pour Hijackthis

39 réponses

Discussions similaires

Newsletters