Trojan BDS/backdoor.Gen gros problème !

Skouma -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

Depuis quelque temps mon internet est devenu lent, seulement le surf sur le net, en dl j'ai ma vitesse de connexion normal et pratiquement au même moment mon antivirus gratuit Avira me détecte un virus BDS/backdoor.Gen situé C:\Windows\SysWOW64\msippsth.dll.

Mais mon Avira ne pouvait le suppr problème de droits, je suis donc aller supprimer manuellement le fichier msippsth.dll (qui après une rapide recherche sur internet se révèle être un trojan également) après moult difficultés j'arrive a le suppr avec Avira je reboot mon Pc, je vérifie que ce fichier n'existe plus et effectivement il n'y est plus.

Mais alors que je pensais être débarrassé de tout problèmes mon internet ne marche plus du tout ! plus aucune connexion ! je suis obliger de restaurer mon système à un point de sauvegarde pour retrouver mon fichier msippsth.dll, mon (mes) virus et mon internet ...

Si vous avez une quelconque solution je vous en serais reconnaissant, merci d'avance.

13 réponses

  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    On va faire une analyse de ton PC:
    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
  2. Skouma
     
    Voilà le lien :

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijONt1GZw.txt

    Merci pour l'aide.
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    En effet tu es bien infecté.

    Fais tout d"abord ceci:
    /!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
    Pour Windows 7: https://www.androidworld.fr/

    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
    - Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
    - Déconnecte toi et ferme toutes les applications en cours
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Ensuite tu fais ceci:
    /!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
    Pour Windows 7: https://www.androidworld.fr/

    - Télécharge Malwarebytes
    - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
    - Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    - L'analyse peut durer un bon moment.....
    - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Cela fait deux rapports à poster

    Smart
    0
  4. Skouma
     
    Je crois bien que mon problème est résolu j'ai retrouvé un surf fluide mais bon par acquis de conscience je vais poster les deux rapports :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 03/09/10 à 23:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:46:26 le 03/09/2010, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X64)
    Laurent@PC-DE-LAURENT (HP-Pavilion KZ776AA-ABF m9376.fr)

    ============== ACTION(S) ==============

    0,Fichier supprimé: C:\Users\Laurent\AppData\Roaming\Mozilla\FireFox\Profiles\nzaymkuh.default\searchplugins\cherche.xml
    0,Fichier supprimé: C:\Users\Laurent\scriptjava.html
    0,Fichier supprimé: C:\Users\Laurent\temp1.6
    0,Dossier supprimé: C:\Users\Laurent\AppData\Roaming\DesktopIcon
    0,Dossier supprimé: C:\Users\Laurent\AppData\LocalLow\PriceGong
    0,Dossier supprimé: C:\Users\Laurent\AppData\LocalLow\Toolbar4

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\Laurent\AppData\Roaming\Mozilla\FireFox\Profiles\nzaymkuh.default\Prefs.js --
    Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://www.cherche.us/");
    -- Fichier Fermé --

    0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2269050
    0,Erreur suppression clé: HKLM\Software\Conduit (Error code: -2)
    0,Clé supprimée: HKCU\Software\Grand Virtual
    0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    0,Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{122A30DB-7CA8-41BC-A3D9-4AFBDC65453F}
    3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{122A30DB-7CA8-41BC-A3D9-4AFBDC65453F}
    0,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us

    0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|binternet
    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.5.11 (fr)] **

    -- C:\Users\Laurent\AppData\Roaming\Mozilla\FireFox\Profiles\nzaymkuh.default\User.js --
    browser.search.selectedEngine, GoogIe
    keyword.URL, hxxp://www.simalo.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=6kIRVegu&q=

    -- C:\Users\Laurent\AppData\Roaming\Mozilla\FireFox\Profiles\nzaymkuh.default\Prefs.js --
    browser.download.dir, C:\\Users\\Laurent\\Downloads
    browser.download.lastDir, C:\\Users\\Laurent\\Tracing\\WPPMedia\\Downloads
    browser.search.selectedEngine, GoogIe
    browser.startup.homepage_override.mstone, rv:1.9.1.11
    keyword.URL, hxxp://www.simalo.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=6kIRVegu&q=

    ========================================

    ** Internet Explorer Version [8.0.6001.18943] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    SearchAssistant:
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 31 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 03/09/2010 (4091 Octet(s))

    Fin à: 23:52:58, 03/09/2010

    ============== E.O.F ==============

    Le deuxième:

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4539

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18943

    04/09/2010 02:23:25
    mbam-log-2010-09-04 (02-23-25).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Elément(s) analysé(s): 616502
    Temps écoulé: 2 heure(s), 17 minute(s), 46 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 2
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\Windows\System32\toigw.dll (Trojan.Agent) -> Delete on reboot.
    c:\Windows\System32\msippsth.dll (Backdoor.Bot) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip pass-through filter (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\jgyo0w (Trojan.Downloader) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsdefrag (Trojan.Downloader) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\System32\toigw.dll (Trojan.Agent) -> Delete on reboot.
    c:\Windows\System32\msippsth.dll (Backdoor.Bot) -> Delete on reboot.
    C:\Windows\SysWOW64\msippsth.dll (Backdoor.Bot) -> Delete on reboot.
    C:\Windows\SysWOW64\toigw.dll (Trojan.Agent) -> Delete on reboot.

    Voilà encore merci pour l'aide !!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Relance MBAM , vide la quarantaine et redémarre le PC.
    Ensuite tu refais un scan ZHPDiag et tu postes le rapport

    Smart
    0
  7. Skouma
     
    Voilà le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijW9a1eVl.txt
    0
  8. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il reste encores des traces
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    [HKCU\Software\AppDataLow\Toolbar]
    O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}


    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Ensuite tu fais ceci:
    - Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau.

    Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.-

    Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

    - Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    -Clique sur "Recherche"
    - Laisse travailler l'outil
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : Tutoriel "Recherche"

    Cela fait donc deux rapports à poster

    Smart
    0
  9. Skouma
     
    Premier rapport :

    Rapport de ZHPFix v1.12.3142 par Nicolas Coolman, Update du 31/08/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-05-09-2010-17-55-13.txt
    Run by Laurent at 05/09/2010 17:55:13
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKCU\Software\AppDataLow\Toolbar => Clé supprimée avec succès

    ========== Elément(s) de donnée du Registre ==========
    O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms} => Donnée supprimée avec succès

    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    1 : Elément(s) de donnée du Registre

    End of the scan

    Deuxième rapport :

    ############################## | UsbFix 7.023 | [Recherche]

    Utilisateur: Laurent (Administrateur) # PC-DE-LAURENT [HP-Pavilion KZ776AA-ABF m9376.fr]
    Mis à jour le 02/09/10 par El Desaparecido / C_XX
    Lancé à 17:57:42 | 05/09/2010
    Site Web: http://www.teamxscript.org
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
    CPU 2: Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
    Internet Explorer 8.0.6001.18943

    Pare-feu Windows: Activé
    RAM -> 4094 Mo
    C:\ (%systemdrive%) -> Disque fixe # 454 Go (110 Go libre(s) - 24%) [HP] # NTFS
    D:\ -> Disque fixe # 12 Go (1 Go libre(s) - 11%) [FACTORY_IMAGE] # NTFS
    E:\ -> Disque fixe # 466 Go (237 Go libre(s) - 51%) [HP2] # NTFS
    F:\ -> CD-ROM
    G:\ -> CD-ROM
    H:\ -> Disque amovible # 7 Go (6 Go libre(s) - 75%) [] # FAT32

    ################## | Éléments infectieux |

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{3af93341-a490-11df-b5eb-001fc6ec15df}
    Shell\AutoRun\Command = G:\autorun.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{859ab873-8c16-11de-924d-001fc6ec15df}
    Shell\AutoRun\Command = K:\autorun.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{cefbefde-c249-11de-bd64-806e6f6e6963}
    Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

    HKCU\.\.\.\.\Explorer\MountPoints2\{ec8586d2-1d5a-11df-bab5-806e6f6e6963}
    Shell\AutoRun\Command = G:\autorun.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va faire le nettoyage et la vaccination:
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau
    - Clique sur "Suppression"
    - Laisse travailler l'outil
    - Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    /!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Aide en images : "Nettoyage"

    Smart
    0
  11. Skouma
     
    Voilà:

    ############################## | UsbFix 7.023 | [Suppression]

    Utilisateur: Laurent (Administrateur) # PC-DE-LAURENT [HP-Pavilion KZ776AA-ABF m9376.fr]
    Mis à jour le 02/09/10 par El Desaparecido / C_XX
    Lancé à 19:11:27 | 05/09/2010
    Site Web: http://www.teamxscript.org
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
    CPU 2: Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
    Internet Explorer 8.0.6001.18943

    Pare-feu Windows: Activé
    RAM -> 4094 Mo
    C:\ (%systemdrive%) -> Disque fixe # 454 Go (109 Go libre(s) - 24%) [HP] # NTFS
    D:\ -> Disque fixe # 12 Go (1 Go libre(s) - 11%) [FACTORY_IMAGE] # NTFS
    E:\ -> Disque fixe # 466 Go (237 Go libre(s) - 51%) [HP2] # NTFS
    F:\ -> CD-ROM
    G:\ -> CD-ROM
    H:\ -> Disque amovible # 7 Go (6 Go libre(s) - 75%) [] # FAT32

    ################## | Éléments infectieux |

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3af93341-a490-11df-b5eb-001fc6ec15df}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{859ab873-8c16-11de-924d-001fc6ec15df}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{cefbefde-c249-11de-bd64-806e6f6e6963}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ec8586d2-1d5a-11df-bab5-806e6f6e6963}

    ################## | Listing |

    [05/09/2010 - 19:14:02 | SHD ] C:\$Recycle.Bin
    [03/09/2010 - 23:52:59 | A | 4221] C:\Ad-Report-CLEAN[1].txt
    [17/05/2010 - 13:44:21 | D ] C:\ApolloDVD
    [12/06/2009 - 15:38:33 | D ] C:\ARENA
    [06/07/2010 - 22:37:35 | D ] C:\ATI
    [01/11/2009 - 22:18:48 | D ] C:\Boonty
    [27/10/2009 - 20:40:06 | SHD ] C:\Boot
    [11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
    [20/06/2008 - 21:25:25 | RAS | 8192] C:\BOOTSECT.BAK
    [18/10/2009 - 21:09:10 | A | 74] C:\CMLoader.log
    [07/06/2010 - 13:56:39 | D ] C:\DeusEx
    [02/11/2006 - 17:42:17 | SHD ] C:\Documents and Settings
    [03/09/2010 - 23:44:00 | D ] C:\Downloads
    [17/05/2010 - 13:44:20 | A | 2560] C:\DVDSample.bmk
    [26/10/2009 - 20:40:26 | A | 125] C:\FINIS_IT.TXT
    [01/07/2010 - 20:05:51 | D ] C:\gPotato.eu
    [10/01/2009 - 19:04:37 | HD ] C:\hp
    [28/06/2009 - 21:28:41 | D ] C:\Mes Sites Web
    [01/12/2006 - 23:37:14 | A | 904704] C:\msdia80.dll
    [27/02/2009 - 15:37:17 | RHD ] C:\MSOCache
    [31/08/2010 - 00:31:45 | D ] C:\nDoors
    [23/08/2009 - 18:50:27 | D ] C:\NVIDIA
    [05/09/2010 - 13:24:31 | ASH | 4607852544] C:\pagefile.sys
    [21/01/2008 - 05:04:13 | D ] C:\PerfLogs
    [08/08/2010 - 00:15:36 | RD ] C:\Program Files
    [05/09/2010 - 14:18:47 | D ] C:\Program Files (x86)
    [05/09/2010 - 14:13:53 | AD ] C:\ProgramData
    [21/03/2010 - 17:24:15 | D ] C:\Python26
    [05/08/2010 - 01:00:56 | A | 549] C:\rkill.log
    [10/02/2009 - 19:46:56 | D ] C:\Sierra
    [05/09/2010 - 16:04:21 | SHD ] C:\System Volume Information
    [17/05/2010 - 18:13:56 | A | 12225] C:\test.txt
    [05/09/2010 - 19:14:03 | D ] C:\UsbFix
    [05/09/2010 - 19:11:28 | A | 2978] C:\UsbFix.txt
    [15/08/2010 - 17:38:52 | RD ] C:\Users
    [02/09/2010 - 02:26:04 | D ] C:\Windows
    [05/09/2010 - 17:55:13 | A | 378] C:\ZHPExportRegistry-05-09-2010-17-55-13.txt
    [05/09/2010 - 19:14:03 | SHD ] D:\$RECYCLE.BIN
    [19/06/2007 - 16:26:00 | SH | 438328] D:\boo.mgr
    [20/06/2008 - 22:59:20 | RSHD ] D:\boot
    [19/01/2008 - 00:45:46 | SH | 333203] D:\bootmgr
    [29/10/2007 - 19:25:54 | SH | 1237] D:\Desktop.ini
    [20/06/2008 - 22:59:23 | RSHD ] D:\hp
    [10/01/2009 - 19:02:41 | ASH | 129] D:\MASTER.LOG
    [10/01/2009 - 19:02:33 | SHD ] D:\PC-Doctor 5 for Win PE
    [10/01/2009 - 19:02:33 | SH | 428] D:\pcdr.ini
    [20/06/2008 - 22:59:20 | RSHD ] D:\PRELOAD
    [19/06/2007 - 16:22:02 | SH | 182323] D:\protect.arabic
    [05/07/2007 - 11:44:12 | SH | 182298] D:\protect.bulgarian
    [19/06/2007 - 16:22:06 | SH | 181572] D:\protect.catalan
    [19/06/2007 - 16:22:18 | SH | 181898] D:\protect.chinese hong kong
    [19/06/2007 - 16:22:18 | SH | 181916] D:\protect.chinese simplified
    [19/06/2007 - 16:22:18 | SH | 181898] D:\protect.chinese traditional
    [05/07/2007 - 11:33:10 | SH | 181936] D:\protect.croatian
    [04/07/2007 - 12:31:50 | SH | 181735] D:\protect.czech
    [19/06/2007 - 16:22:04 | SH | 181680] D:\protect.danish
    [19/06/2007 - 16:22:12 | SH | 181605] D:\protect.dutch
    [19/06/2007 - 16:22:06 | SH | 181648] D:\protect.ed
    [19/06/2007 - 16:22:06 | SH | 181648] D:\protect.english
    [05/07/2007 - 10:37:06 | SH | 183351] D:\protect.estonian
    [19/06/2007 - 16:22:06 | SH | 181648] D:\protect.finnish
    [19/06/2007 - 16:22:06 | SH | 181616] D:\protect.french
    [19/06/2007 - 16:22:04 | SH | 181650] D:\protect.german
    [04/07/2007 - 12:33:08 | SH | 182717] D:\protect.greek
    [04/07/2007 - 12:36:12 | SH | 182626] D:\protect.hebrew
    [04/07/2007 - 12:37:22 | SH | 181696] D:\protect.hungarian
    [19/06/2007 - 16:22:08 | SH | 181535] D:\protect.italian
    [19/06/2007 - 16:22:10 | SH | 182351] D:\protect.japanese
    [19/06/2007 - 16:22:10 | SH | 182043] D:\protect.korean
    [05/07/2007 - 18:37:00 | SH | 182105] D:\protect.latvian
    [05/07/2007 - 12:04:10 | SH | 181932] D:\protect.lithuanian
    [04/07/2007 - 12:39:14 | SH | 181562] D:\protect.norwegian
    [04/07/2007 - 12:39:52 | SH | 181741] D:\protect.polish
    [04/07/2007 - 12:40:52 | SH | 181617] D:\protect.portuguese
    [04/07/2007 - 12:40:30 | SH | 181866] D:\protect.portuguese brazilian
    [04/07/2007 - 16:14:50 | SH | 182016] D:\protect.romanian
    [19/06/2007 - 16:22:14 | SH | 211936] D:\protect.russian
    [05/07/2007 - 11:32:24 | SH | 181959] D:\protect.serbian latin
    [04/07/2007 - 12:46:44 | SH | 181954] D:\protect.slovak
    [04/07/2007 - 12:47:18 | SH | 181936] D:\protect.slovenian
    [19/06/2007 - 16:22:06 | SH | 181572] D:\protect.spanish
    [04/07/2007 - 12:43:46 | SH | 181605] D:\protect.swedish
    [04/07/2007 - 12:44:22 | SH | 182576] D:\protect.thai
    [04/07/2007 - 12:44:58 | SH | 181829] D:\protect.turkish
    [19/06/2007 - 16:22:16 | SH | 181648] D:\protect.ukranian
    [20/06/2008 - 22:59:20 | RD ] D:\RECOVERY
    [20/06/2008 - 22:59:18 | SH | 44] D:\RESTORE.INI
    [20/06/2008 - 22:59:20 | RSHD ] D:\SOURCES
    [05/09/2010 - 16:04:22 | SHD ] D:\System Volume Information
    [20/06/2008 - 22:59:20 | RSHD ] D:\Windows
    [05/09/2010 - 19:14:03 | SHD ] E:\$RECYCLE.BIN
    [02/05/2010 - 20:39:07 | D ] E:\Anime
    [12/04/2010 - 21:45:25 | D ] E:\Anno 1404
    [28/03/2010 - 00:14:53 | D ] E:\archivinvalidation
    [28/03/2010 - 00:58:36 | D ] E:\Fallout 3
    [28/03/2010 - 00:31:37 | D ] E:\fose
    [24/06/2010 - 15:25:46 | D ] E:\Kotor2
    [25/08/2010 - 23:52:19 | D ] E:\Mass Effect 2
    [05/09/2010 - 16:04:14 | RA | 528] E:\MediaID.bin
    [04/09/2010 - 23:57:04 | HD ] E:\msdownld.tmp
    [12/02/2009 - 21:37:37 | RHD ] E:\MSOCache
    [07/04/2010 - 17:21:05 | D ] E:\Nouveau dossier
    [05/09/2010 - 16:11:43 | D ] E:\PC-DE-LAURENT
    [03/03/2010 - 22:04:43 | D ] E:\Program Files (x86)
    [14/02/2010 - 20:25:50 | D ] E:\Runaway
    [05/09/2010 - 17:37:29 | D ] E:\Steam
    [01/01/2008 - 06:05:31 | SHD ] E:\System Volume Information
    [08/07/2009 - 10:09:40 | D ] H:\Seminiare Juillet 09
    [08/07/2009 - 10:09:44 | D ] H:\Journée 2
    [08/07/2009 - 10:09:48 | AD ] H:\Journée 1
    [13/08/2010 - 14:30:36 | A | 1182567] H:\[eBook FR] ROWLING, J.K. - HP01 - Harry Potter L'école des Sorciers[eMule1.com].pdf.pdf
    [02/09/2010 - 01:57:24 | A | 5272488] H:\registrybooster.exe
    [16/03/2010 - 16:51:26 | A | 71315] H:\Ritounelles.ods
    [14/08/2010 - 13:05:48 | A | 1237127] H:\[eBook FR] ROWLING, J.K. - HP02 - Harry Potter et la Chambre des Secrets.pdf
    [19/08/2010 - 21:30:50 | A | 1530237] H:\_eBook_FR__ROWLING__J.K._-_HP03_-_Harry_Potter_et_le_Prisonnier_d_Azkaban.pdf
    [21/03/2010 - 22:12:02 | A | 72575] H:\Ritounelles1.ods
    [08/08/2010 - 01:29:18 | A | 130] H:\Sid.Meiers.Pirates.FRENCH.iSO-MONCUL.CD1.Shared.By.T.U.A.&.A.D.S.cue
    [16/08/2010 - 00:12:38 | A | 418463136] H:\Sid.Meiers.Pirates.FRENCH.iSO-MONCUL.CD2.Shared.By.T.U.A.&.A.D.S.bin
    [08/08/2010 - 00:34:12 | A | 128] H:\Sid.Meiers.Pirates.FRENCH.iSO-MONCUL.CD2.Shared.By.T.U.A.&.A.D.S.cue
    [14/08/2010 - 22:11:10 | A | 679763280] H:\Sid.Meiers.Pirates.FRENCH.iSO-MONCUL.CD1.Shared.By.T.U.A.&.A.D.S.bin
    [19/08/2010 - 20:49:18 | A | 524310] H:\Stage.docx
    [17/08/2010 - 21:10:16 | A | 432502814] H:\DA2.mp4

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | E.O.F |
    0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On a presque terminé. Comment se comporte ton PC ?
    Refais un scan ZHPDiag et poste le rapport via cijoint.

    Smart
    0
  13. Skouma
     
    Mon PC est redevenu normal plus de problème de surf voilà le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijrGmzrNr.txt
    0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Onva faire l'optimisation de ton PC, lesmises à jour et la désinstallation des outils que je t'ai faits télécharger.
    Imprime cette réponse pour bien faire tout ce qui suit:
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 2, 0) -- C:\Program Files (x86)\DVDVideoSoftTB\tbDVDV.dll
    R3 - URLSearchHook: Microsoft Url Search Hook - {872b5b88-9db5-4310-bdd0-ac189557e5f5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 2, 0) -- C:\Program Files (x86)\DVDVideoSoftTB\tbDVDV.dll
    O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\DVDVideoSoftTB\tbDVDV.dll
    O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\DVDVideoSoftTB\tbDVDV.dll
    [HKLM\Software\Conduit]
    OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
    O4 - HKCU\..\Run: [PlayNC Launcher] Clé orpheline
    OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
    O4 - HKUS\S-1-5-21-852146804-3310685303-512661763-1000\..\Run: [PlayNC Launcher] Clé orpheline
    [HKCU\Software\AppDataLow\Software\iGraal]
    [HKCU\Software\Casino]
    [HKCU\Software\Grand Virtual]
    OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe
    OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
    OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    OPT:O4 - HKLM\..\Wow6432Node\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- c:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
    OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe
    OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
    OPT:O4 - HKUS\S-1-5-21-852146804-3310685303-512661763-1000\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe


    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Ensuite tu installes un antivirus car tu n'as que des rest Antivir et il n'est pas actif ==> http://www.commentcamarche.net/download/telecharger-55-antivir

    Maintenant tu fais les mises à jour suivantes:

    Mise àjour Firefox:
    Vers la version 3.6.8 ==> http://www.mozilla-europe.org/fr/firefox/

    Mise à jour Java 6 update 21 ==> https://java.com/fr/download/uninstalltool.jsp
    Et désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 21

    Mise à jour Adobe
    Désinstalle Adobe 8
    Installe Adobe 9.3.4

    Mise à jour flashplayer vers la version 10.1.82.76* Ferme tous tes navigateurs
    * A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
    * Réinstalle ActiveX (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

    Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
    et lis ceci: Pourquoi tenir ses programmes a jour

    Fais déjà ceci, on fera le reste ensuite

    Smart
    0