virus trojan Résolu

Question

Bonjour, depuis quelques semaines je suis infecté par un virus trojan, il s'agit de tr/download.gen, il semble.
Antivir me le détecte, je le supprime mais il revient sans cesse.
Il se trouve à cet emplacement : C\utilisateurs\maxime\appdata\local	emp\~temp\mlp310\mdm.exe
En fait le mdm.exe se trouvait la première fois dans le dossier mlp297, dès que je demande à antivir de me le supprimer, ce dernier revient dans un nouveau dossier mlp*** qui va en croissant, j'en suis donc aujourd'hui à mlp310.
J'ai lu beaucoup de forums, je ne suis apparement pas le seul infecté par mdm.exe, mais je ne comprends pas les réponses des forums, ils demandent d'effectuer des scan disk de toutes sortes et je comprends rien.
J'ai trouvé sur un forum qu'il fallait shooter la connexion internet afin d'éviter que le trojan se ballade dans le PC, et d'effectuer un scan antiviral, ce que j'ai fait. En l'effectuant, un nouveau trojan est apparu bloqué comme le premier par antivir.
Celui ci se trouve à cet enplacement : C\ ........\~temp\hmml100\csrss.exe
A l'inverse de mdm.exe, ce trojan va en décroissant : hmml99, hmml98 etc...

Pouvez vous m'aider SVP.



Je suis sous windows 7 64 bits, je dispose de antivir, spybot search and destroy, ccleaner et malwarebytes.

Bjk · Answer

Ce virus est dans tes fichiers temporaires. Il te suffit donc de supprimer tes fichiers temp ;) Utilise ccleaner pour ça et tout devrait rentrer dans l'ordre! (J'ai déjà eu ce problème et je l'ai résolu comme ca!)

raphy963 · Answer

Bonjour,
Un trojan? ha! ha! ha! c'est moi qui te hack!!!! non sérieux a tu des rootkit en plus?

Smart91 · Answer

Bonjour,

YTout d'abord tu peux désinstaller Spybot, il n'est plus utile aujourd'hui et ne fait que ralentir ton PC.
Ensuite on va faire une analyse de ton PC:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

Utilisateur anonyme · Answer

hmm il ce peu que quand antivir le détuit  il ne le fait pas completement au cause
d'un virus trop gros ou trop fort donc il revien ou ton virus ce multiplie xD mais bon 
pour ce virus je les pas eu je vai fair des recherche je te redonne dotre nouvelle

Utilisateur anonyme · Answer

https://fr.norton.com/?ref=google_fr&gclid=CNqckP2ruaMCFYGX2Aodgyhvdw

voila la version gratuit est dispo

136544 · Answer

Il est dans mon ordi depuis environ 1 mois et demi.
J'ai déja utilise ccleaner mais ca marche pas il revient tout le tps.
je vais suivre les instruction sde smart91.
merci de vous interesse à mon cas.
sinon mes compétences sont limitées donc rootkit et autres mots techniques : comprends pas !!!

Smart91 · Answer

OK. J'attends le rapport de ZHPDiag, c'est un outil de diagnostic qui va nous permettre de faire une analyse de ton PC et de détecter d'éventuelles infections

Smart

136544 · Answer

le scan bloque a 74 %, une fenetre d'erreur apparait avec une croix rouge indiquant %1 n'est pas une application win32 valide, class ID : {76A64158-CB41-11D1-8B02-00600806D9B6}.

Smart91 · Answer

Relance ZHPDiag, clique sur l'icone en forme de tournevis et décoche cette ligne:
Liste des services legacy (LALS)(064)
Refait un scan et poste le rapport

Smart

136544 · Answer

voila la réponse :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijjUbFTT6.txt

136544 · Answer

Depuis le scan, j'ai essayé d'aller voir dans temp le dossier ~temp\mlp*** : aucune trace, est ce que le trojan est parti de lui meme ou je sais pas ...
par contre en parcourant mes programmes au démarrage via ccleaner, j'ai trouvé dllhosts.exe (pas dllhost mais bien dllhosts) dans le répertoire temp.
Est ce normal, est ce un virus ?

merci de vos réponses

Smart91 · Answer

Tu as encore des infections
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

-  Télécharge Malwarebytes
-  Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
-  Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) 
-  Lance une analyse complète en cliquant sur "Exécuter un examen complet"
-  Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
-  L'analyse peut durer un bon moment.....
-  Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
-  Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
-  Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart

136544 · Answer

Salut, Annalyse effectuée, voila la réponse :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4431

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

15/08/2010 05:28:17
mbam-log-2010-08-15 (05-28-17).txt

Type d'examen: Examen complet (C:\|D:\|E:\|I:\|)
Elément(s) analysé(s): 341162
Temps écoulé: 55 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
I:\Documents(E)\partitions pro\guitarpro4+tab\winrar30b2+Fr\crack\Patcher.exe (Trojan.Bancos) -> No action taken.
C:\Users\Maxime\AppData\Roaming\Microsoft\mqtgsvc.exe (Trojan.Agent) -> No action taken.
C:\Users\Maxime\Local Settings\Application Data\dllhst3g.exe (Trojan.Agent) -> No action taken.

Smart91 · Answer

Relance MBAM et fais suppression

Mais évite de télécharger des cracks ==> Le danger des cracks 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

136544 · Answer

ok, je refais un examen complet, je te colle le rapport une fois terminé.

Smart91 · Answer

OK. Pas de pb

Smart

136544 · Answer

voila le rapport de mbam, je t'envoie aussi le rapport de antivir qui m'a trouvé 7 virus !!!

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4432

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

15/08/2010 16:39:38
mbam-log-2010-08-15 (16-39-38).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 336736
Temps écoulé: 59 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

136544 · Answer

antivir :

Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 15 août 2010 15:42

La recherche porte sur 2715134 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista 64 Bit
Version de Windows : (plain) [6.1.7600]
Mode Boot : Démarré normalement
Identifiant : Système
Nom de l'ordinateur : MAXIME-PC

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 03/02/2010 18:59:39
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:59:39
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:59:39
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 18:59:39
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 18:59:39
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 18:32:40
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 11:54:25
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 12:25:42
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 13:20:30
VBASE008.VDF : 7.10.9.166 2048 Bytes 23/07/2010 13:20:31
VBASE009.VDF : 7.10.9.167 2048 Bytes 23/07/2010 13:20:31
VBASE010.VDF : 7.10.9.168 2048 Bytes 23/07/2010 13:20:31
VBASE011.VDF : 7.10.9.169 2048 Bytes 23/07/2010 13:20:31
VBASE012.VDF : 7.10.9.170 2048 Bytes 23/07/2010 13:20:32
VBASE013.VDF : 7.10.9.198 157696 Bytes 26/07/2010 13:38:38
VBASE014.VDF : 7.10.9.255 997888 Bytes 29/07/2010 13:39:11
VBASE015.VDF : 7.10.10.28 139264 Bytes 02/08/2010 13:38:43
VBASE016.VDF : 7.10.10.52 127488 Bytes 03/08/2010 13:39:03
VBASE017.VDF : 7.10.10.84 137728 Bytes 06/08/2010 13:39:30
VBASE018.VDF : 7.10.10.107 176640 Bytes 09/08/2010 17:37:25
VBASE019.VDF : 7.10.10.130 132608 Bytes 10/08/2010 17:37:23
VBASE020.VDF : 7.10.10.158 131072 Bytes 12/08/2010 17:37:30
VBASE021.VDF : 7.10.10.159 2048 Bytes 12/08/2010 17:37:30
VBASE022.VDF : 7.10.10.160 2048 Bytes 12/08/2010 17:37:31
VBASE023.VDF : 7.10.10.161 2048 Bytes 12/08/2010 17:37:31
VBASE024.VDF : 7.10.10.162 2048 Bytes 12/08/2010 17:37:31
VBASE025.VDF : 7.10.10.163 2048 Bytes 12/08/2010 17:37:31
VBASE026.VDF : 7.10.10.164 2048 Bytes 12/08/2010 17:37:31
VBASE027.VDF : 7.10.10.165 2048 Bytes 12/08/2010 17:37:31
VBASE028.VDF : 7.10.10.166 2048 Bytes 12/08/2010 17:37:31
VBASE029.VDF : 7.10.10.167 2048 Bytes 12/08/2010 17:37:31
VBASE030.VDF : 7.10.10.168 2048 Bytes 12/08/2010 17:37:31
VBASE031.VDF : 7.10.10.182 49664 Bytes 13/08/2010 17:37:25
Version du moteur : 8.2.4.34
AEVDF.DLL : 8.1.2.1 106868 Bytes 30/07/2010 13:39:21
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 30/07/2010 13:39:20
AESCN.DLL : 8.1.6.1 127347 Bytes 16/05/2010 21:54:30
AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 14:33:26
AERDL.DLL : 8.1.8.2 614772 Bytes 21/07/2010 12:43:02
AEPACK.DLL : 8.2.3.5 471412 Bytes 07/08/2010 13:38:53
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 23/07/2010 13:20:48
AEHEUR.DLL : 8.1.2.11 2834805 Bytes 07/08/2010 13:38:52
AEHELP.DLL : 8.1.13.2 242039 Bytes 21/07/2010 12:42:17
AEGEN.DLL : 8.1.3.19 393587 Bytes 07/08/2010 13:38:47
AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 14:33:23
AECORE.DLL : 8.1.16.2 192887 Bytes 21/07/2010 12:42:06
AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 14:33:21
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 03/02/2010 18:59:39
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 17:15:23
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 03/02/2010 18:59:39
RCTEXT.DLL : 9.0.73.0 88321 Bytes 03/02/2010 18:59:39

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\utilitaires\maintenance\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : dimanche 15 août 2010 15:42

La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FlashUtil10i_ActiveX.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'HPHC_Service.exe' - '0' module(s) sont contrôlés
Processus de recherche 'CLMLSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DVDAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TVAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '0' module(s) sont contrôlés
Processus de recherche 'HpqToaster.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Com4QLBEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '0' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '0' module(s) sont contrôlés
Processus de recherche 'hpqWmiEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PresentationFontCache.exe' - '0' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPWAMain.exe' - '0' module(s) sont contrôlés
Processus de recherche 'CNMNSUT.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '0' module(s) sont contrôlés
Processus de recherche 'hpwuschd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QLBCTRL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPHelper.exe' - '0' module(s) sont contrôlés
Processus de recherche 'LightScribeControlPanel.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPAdvisor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BJMYPRT.EXE' - '0' module(s) sont contrôlés
Processus de recherche 'sttray64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '0' module(s) sont contrôlés
Processus de recherche 'SmartMenu.exe' - '0' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '0' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '0' module(s) sont contrôlés
Processus de recherche 'taskhost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'WLIDSVCM.EXE' - '0' module(s) sont contrôlés
Processus de recherche 'WLIDSVC.EXE' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'StarWindServiceAE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ijplmsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AESTSr64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés
Processus de recherche 'conhost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'wlanext.exe' - '0' module(s) sont contrôlés
Processus de recherche 'atieclxx.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'hpservice.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'stacsv64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'atiesrxx.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés
Processus de recherche 'services.exe' - '0' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '0' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés
'27' processus ont été contrôlés avec '27' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '35' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <OS>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Users\Maxime\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\31a14e50-265a5095
[0] Type d'archive: ZIP
--> sunny/Changes.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.W
--> sunny/MyFiles.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.U
C:\Users\Maxime\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\68a9cc5c-2212e5bb
[0] Type d'archive: ZIP
--> ________vload.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.AH
C:\Users\Maxime\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\6f8e481c-4dbb737c
[0] Type d'archive: ZIP
--> AppleT.class
[RESULTAT] Contient le cheval de Troie TR/Dldr.Java.Agent.CF
C:\Users\Maxime\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\2f34cbed-483b8ae7
[0] Type d'archive: ZIP
--> F.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.FG
--> Google.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.FF
C:\Users\Maxime\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\53682f47-61012025
[0] Type d'archive: ZIP
--> AppleT.class
[RESULTAT] Contient le cheval de Troie TR/Dldr.Java.Agent.CF
C:\Windows\System32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <DATA>
Recherche débutant dans 'E:\' <RECOVERY>

Début de la désinfection :
C:\Users\Maxime\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\31a14e50-265a5095
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cc8fdd5.qua' !
C:\Users\Maxime\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\68a9cc5c-2212e5bb
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cc8fddc.qua' !
C:\Users\Maxime\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\6f8e481c-4dbb737c
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c9ffe0a.qua' !
C:\Users\Maxime\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\2f34cbed-483b8ae7
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c9afe0a.qua' !
C:\Users\Maxime\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\53682f47-61012025
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c9dfdd7.qua' !

Fin de la recherche : dimanche 15 août 2010 16:45
Temps nécessaire: 1:01:58 Heure(s)

La recherche a été effectuée intégralement

31922 Les répertoires ont été contrôlés
687754 Des fichiers ont été contrôlés
7 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
5 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
3 Impossible de contrôler des fichiers
687744 Fichiers non infectés
5973 Les archives ont été contrôlées
3 Avertissements
7 Consignes

136544 · Answer

j'ai oublié de redésactiver l'UAC, c'est vraiment important ?!

136544 · Answer

bon j'ai relancé MBAM en ayant désactiver l'UAC, aucun malware trouvé.

Smart91 · Answer

On va faire quand même une vérification.
Télécharge la nouvelle version de ZHPDiag (depuis hier soir) fais un Scan et poste le rapport

Smart

136544 · Answer

Scan terminé, voila le lien :

http://www.cijoint.fr/cjlink.php?file=cj201008/cij5xZMpX7.txt

Smart91 · Answer

Il restes encore des infections
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O4 - HKUS\S-1-5-18\..\Run: [MqtgSVC] C:\Users\Maxime\AppData\Roaming\MICROS~1\mqtgsvc.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [ClipSrv] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Maxime\LOCALS~1\APPLIC~1\clipsrv.exe
O4 - HKUS\S-1-5-18\..\Run: [Spool] C:\Users\Maxime\LOCALS~1\APPLIC~1\spoolsv.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [SessMgr] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Maxime\LOCALS~1\APPLIC~1\sessmgr.exe
O4 - HKUS\S-1-5-18\..\Run: [CmSTP] C:\Windows\System\cmstp.exe (.not file.)    => Infection Diverse
O4 - HKUS\S-1-5-18\..\Run: [DllHst] C:\Windows\dllhst3g.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [Logman] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Maxime\LOCALS~1\APPLIC~1\logman.exe
O4 - HKUS\S-1-5-18\..\Run: [MqtgSVC] C:\Users\Maxime\AppData\Roaming\MICROS~1\mqtgsvc.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [ClipSrv] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Maxime\LOCALS~1\APPLIC~1\clipsrv.exe
O4 - HKUS\S-1-5-18\..\Run: [Spool] C:\Users\Maxime\LOCALS~1\APPLIC~1\spoolsv.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [SessMgr] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Maxime\LOCALS~1\APPLIC~1\sessmgr.exe
O4 - HKUS\S-1-5-18\..\Run: [CmSTP] C:\Windows\System\cmstp.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [DllHst] C:\Windows\dllhst3g.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [Logman] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Maxime\LOCALS~1\APPLIC~1\logman.exe[HKCU\Software\AppDataLow\Toolbar]    => Infection BT (Toolbar.Adw)


----------------------------------------------------------
-  Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
-  Les lignes se collent automatiquement dans ZHPFix
-  Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

136544 · Answer

c'est fait voila la réponse :


Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-15-08-2010-20-42-04.txt
Run by Maxime at 15/08/2010 20:42:04
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O4 - HKUS\S-1-5-18\..\Run: [MqtgSVC] C:\Users\Maxime\AppData\Roaming\MICROS~1\mqtgsvc.exe (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [ClipSrv] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Maxime\LOCALS~1\APPLIC~1\clipsrv.exe  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [Spool] C:\Users\Maxime\LOCALS~1\APPLIC~1\spoolsv.exe (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [SessMgr] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Maxime\LOCALS~1\APPLIC~1\sessmgr.exe  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [CmSTP] C:\Windows\System\cmstp.exe (.not file.) => Infection Diverse  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [DllHst] C:\Windows\dllhst3g.exe (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [Logman] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Maxime\LOCALS~1\APPLIC~1\logman.exe  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [Logman] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Maxime\LOCALS~1\APPLIC~1\logman.exe[HKCU\Software\AppDataLow\Toolbar] => Infection BT (Toolbar.Adw)  => Valeur absente

========== Fichier(s) ==========
c:\users\maxime\locals~1\applic~1\clipsrv.exe  => Supprimé et mis en quarantaine
c:\users\maxime\locals~1\applic~1\sessmgr.exe  => Supprimé et mis en quarantaine
c:\users\maxime\locals~1\applic~1\logman.exe  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
8 : Valeur(s) du Registre
3 : Fichier(s)


End of the scan

Smart91 · Answer

Refais un scan ZHPDiag et poste le rapport

Smart

136544 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cij9IS4cZk.txt

Smart91 · Answer

C'est toujours là. On va faire autrement
- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.itxassociates.com/OT-Tools/OTM.exe
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer. 
- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 

--------------------------------------------------------------------
:reg 
 [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"ClipSrv"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"CmSTP"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"DllHst"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"ClipSrv"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"CmSTP"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"DllHst"=-

:files
c:\users\maxime\locals~1\applic~1\clipsrv.exe
c:\windows\system\cmstp.exe
c:\windows\dllhst3g.exe

:commands 
[purity] 
[emptytemp] 
[Reboot] 

--------------------------------------------------------------------



- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved. 

- Clique maintenant sur le bouton MoveIt! 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Smart

136544 · Answer

voila le rapport de OTM

All processes killed
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\ClipSrv not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\CmSTP not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\DllHst not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\ClipSrv not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\CmSTP not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\DllHst not found.
========== FILES ==========
File/Folder c:\users\maxime\locals~1\applic~1\clipsrv.exe not found.
File/Folder c:\windows\system\cmstp.exe not found.
File/Folder c:\windows\dllhst3g.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Maxime
->Temp folder emptied: 3009293 bytes
->Temporary Internet Files folder emptied: 80397208 bytes
->Java cache emptied: 48045333 bytes
->Flash cache emptied: 2003192 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2918 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67910 bytes
RecycleBin emptied: 733641401 bytes
 
Total Files Cleaned = 827,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 08162010_011931

Files moved on Reboot...
C:\Users\Maxime\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Maxime\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YIT8EWR7\adsCASILZSX.htm moved successfully.
C:\Users\Maxime\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8FGMFWW8\affich-18835757-virus-trojan[1].htm moved successfully.
C:\Users\Maxime\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5X8TDJOD\adsCAISZB8O.htm moved successfully.
C:\Users\Maxime\AppData\Local\Microsoft\Windows\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

Registry entries deleted on Reboot...

Smart91 · Answer

Vide la quarantaine de Antivir. Redémarre le PC et fais un scan ZHPDiag et poste le rapport

Smart

136544 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijeX83kGB.txt

Smart91 · Answer

On va faire autrement:
Avant de commencer, fait une sauvegarde de tous tes documents 

Attention, cet outil n'est pas à utiliser à la légère, et doit être recommandé que par une personne formée à cet outil 
Imprime la procédure 

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

-  /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
-  Double-clique sur ComboFix.exe 
-  Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
-  Surtout, accepte d'installer la console de récupération 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart

136544 · Answer

problème, une fenetre apparait lors du lancement.
combofix incompatible OS, fonctionne qu'avec windows XP et 2000.

Smart91 · Answer

Exact c'est de ma faute j'ai oublé que tu étais en 64 bits.
Je reviens vers toi

Smart

Smart91 · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection) 

- Télécharge ici : List_Kill'em
et enregistre le sur ton bureau 

Si tu as XP => double clique 
Si tu as Vista ou windows 7 => clic droit "executer en tant que...." 
sur le raccourci sur ton bureau pour lancer l'installation 

Laisse coché : 

- Executer List_Kill'em 
une fois terminée , clic sur "terminer" et le programme se lancera seul 
choisis l'option Search 

-  laisse travailler l'outil
  Il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur ok à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué. 

- Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED" 

NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 
- Clique sur Parcourir et cherche le fichier ci-dessus. 
- Clique sur Ouvrir. 
- Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt est ajouté dans la page. 
- Copie ce lien dans ta réponse. 
- Fais de même avec more.txt qui se trouve sur ton bureau 

Smart

136544 · Answer

voila le rapport list'em :

http://www.cijoint.fr/cjlink.php?file=cj201008/cij7Q3u8Sr.txt

et voila le more :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijovwBmvv.txt

Smart91 · Answer

- Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

- choisis l'Option Clean ton PC va redemarrer, 

Laisse travailler l'outil. En fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

- colle le contenu dans ta reponse

Smart

136544 · Answer

voila le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijWcjfEjd.txt

Smart91 · Answer

Refais un scan ZHPDiag et poste le rapport 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

foo · Answer

refais uin sans zhpdiag ??!
ca veut dire quoi ?!!!

foo · Answer

Ah OK !!

http://www.cijoint.fr/cjlink.php?file=cj201008/cij5HeBDa2.txt

136544 · Answer

j'ai changé de pseudo entre temps, je sais pas comment !!

Smart91 · Answer

"j'ai changé de pseudo entre temps, je sais pas comment !!"

Il ya des bugs sur CCM en cmoment c'est peut-être la raison

Il rest encores des traces mais list Kill'em a bien supprimé ce que je voulais
Fais ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKCU\Software\AppDataLow\Toolbar]
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files (x86)\Softonic_France	bSoft.dll
R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files (x86)\Softonic_France	bSoft.dll
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Softonic_France	bSoft.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Softonic_France	bSoft.dll
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar
[HKCU\Software\AppDataLow\Software\Conduit]
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Conduit


----------------------------------------------------------
-  Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
-  Les lignes se collent automatiquement dans ZHPFix
-  Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

136544 · Answer

Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-16-08-2010-23-11-41.txt
Run by Maxime at 16/08/2010 23:11:41
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\AppDataLow\Toolbar  => Clé absente
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Softonic_France	bSoft.dll  => Clé absente
HKCU\Software\AppDataLow\Software\Conduit  => Clé absente

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files (x86)\Softonic_France	bSoft.dll  => Valeur absente
R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files (x86)\Softonic_France	bSoft.dll  => Valeur absente
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Softonic_France	bSoft.dll  => Valeur absente

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files (x86)\Conduit  => Dossier absent

========== Fichier(s) ==========
c:\program files (x86)\softonic_france	bsoft.dll  => Fichier absent

========== Logiciel(s) ==========
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar  => 


========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
1 : Dossier(s)
1 : Fichier(s)
1 : Logiciel(s)


End of the scan

Smart91 · Answer

On a presque terminé. 
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard : 
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

-  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/ 
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours 
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.  
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] . 
- Laisse travailler l'outil et ne touche à rien ... 
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log) 
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : 
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

136544 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 03:19:52 le 17/08/2010, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
Maxime@MAXIME-PC (Hewlett-Packard HP Pavilion dv7 Notebook PC) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 17/08/2010 (1887 Octet(s)) 

Fin à: 03:21:42, 17/08/2010 
 
============== E.O.F ==============

Smart91 · Answer

Refais un scan ZHPDiag et poste le rapport

Smart

136544 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijk5FbKpW.txt

Smart91 · Answer

Voilà maintenant tout est OK: 
Fais la mise à jour suivantes: 
Mise à jour flashplayer vers la version 10.1.82.76 
* Ferme tous tes navigateurs 
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs). 
* Réinstalle ActiveX (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin 

Vérifie également la mise à jour d'Adobe Air 

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour 
et lis ceci: Pourquoi tenir ses programmes a jour  

1. Désinstallation des outils 

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »  
Tutoriel pour t'aide  

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :  
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections 
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....  
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.  
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).  

3. Désactiver la restauration système et céer un point de restauration  
Dans la barre des tâches de Windows, clique sur Démarrer.  
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.  
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"  
Clique sur Appliquer.  
Ensuite décoche "Désactiver la restauration du systeme"  
Clique sur appliquer puis ok  
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides 

Quelques conseils de Prévention 

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.  

- Par rapport au P2P : http://www.libellules.ch/...  

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :  
Prévention et Protection 

Sois plus vigilant(e) sur Internet à l'avenir 

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

136544 · Answer

tout est clair pour moi, c'est vrai que les liens concernant les virus et autres xxx-wares foutent les chiasses. j'essaierai d'être plus prudent, il est vrai que je télécharge un peu sur torrent.
En tout cas merci pour tout, bonne continuation.
Max

Smart91 · Answer

Heureux de t'avoir aidé

Smart

Virus trojan

50 réponses

Discussions similaires

Newsletters