Ordinateur infecté par un trojanRésolu/Fermé

Question

Bonsoir,
J'ai chopé une saloperie et ça a mis le bazar dans mon pc.
Je dispose de Windows Vista.
J'ai fait un scan hijack This et voici le rapport :

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:06:15, on 06/09/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Orange\Connexion Internet Orange\Launcher\Launcher.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Orange\MailNotifier\MailNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Orange\Connexion Internet Orange\systray\systrayapp.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\Connexion Internet Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\Manu\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qq5.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {AEEC3B59-CA98-4EBA-A140-57B94E283583} - (no file)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\Connexion Internet Orange\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France	bSoft.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {2787680D-A6FC-4D72-A8EB-47988C8A616D} - C:\Windows\system32
urwslk.dll (file missing)
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France	bSoft.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: barre d'outils Orange - {D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France	bSoft.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] "C:\Program Files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmes\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe" -osboot
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MailNotifier] C:\Program Files\Orange\MailNotifier\MailNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Programmes\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - Startup: OpenOffice.org 3.2.lnk = D:\Utilitaires\Open Office\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: ajouter cette page à vos favoris Orange - C:\Users\Manu\AppData\Local\Temp\cce61A8.html
O8 - Extra context menu item: traduire la page - C:\Users\Manu\AppData\Local\Temp\cce61A6.html
O8 - Extra context menu item: traduire le texte sélectionné - C:\Users\Manu\AppData\Local\Temp\cce61A7.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\Emsisoft Anti-Malware\a2service.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Service Google Update (gupdate1caec797315f0d8) (gupdate1caec797315f0d8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Kingsoft Antivirus WebShield Service - Kingsoft Corporation - C:\ProgramData\wd\KSWebShield.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Unknown owner - C:\Program Files\Nero\Nero 7\InCD\NBHRegInCDSrv.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: Orange update Core Service - Unknown owner - C:\Program Files\Orange\OrangeUpdate\Service\OUCore.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe

Utilisateur anonyme · Answer

Bonjour 

* Télécharge et installe : Malwarebyte's Anti-Malware  
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/) 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée  
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)  
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"  
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"  
* A la fin du scan, clique sur Afficher les résultats  
* Coche tous les éléments détectés puis clique sur Supprimer la sélection  
* Enregistre le rapport  
* S'il t'est demandé de redémarrer, clique sur Yes  
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)  
* Si tu as besoin d'aide regarde ce tutorial   
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  

(Lien édité - fonctionnait pas avec la parenthèse ;-)

Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

ManRay · Answer

Salut, merci de ton aide.
J'ai fait toutes les manip comme tu m'as dit et voici le rapport :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4554

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

06/09/2010 15:44:51
mbam-log-2010-09-06 (15-44-51).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 318128
Temps écoulé: 1 heure(s), 8 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://www.qq5.com) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Manu\Favorites\ÌÔ±¦¹ºÎï.url (Hijack.Trace) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

* Télécharge ftp://zebulon.fr/ZHPDiag.exe ZHPDiag ( de Nicolas coolman ). 
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html  (En bas de page).
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\ 
* Laisse toi guider lors de l'installation 
* Il se lancera automatiquement à la fin de l'installation 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

ManRay · Answer

Ok voici le lien : http://www.cijoint.fr/cjlink.php?file=cj201009/cijIu6RMMK.txt 

Au passage j'ai refait plusieurs scan rapides avec Malwarebytes et il me retrouve toujours un fichier infecté.

ManRay · Answer

Svp est-ce que quelqu'un peut m'aider ?

Utilisateur anonyme · Answer

A faire dans l'ordre. 

1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
ServiceStop:Kingsoft Antivirus WebShield Service
O23 - Service: Kingsoft Antivirus WebShield Service (Kingsoft Antivirus WebShield Service) . (.Kingsoft Corporation - ????.) - C:\ProgramData\wd\KSWebShield.exe     
[HKCU\Software\AppDataLow\Toolbar]  
O42 - Logiciel: Spyware Doctor 8.0 - (.PC Tools.) [HKLM] -- Spyware Doctor     
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France	bSoft.dll     
R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France	bSoft.dll     
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France	bSoft.dll     
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France	bSoft.dll     
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKLM\Software\Conduit]     
O43 - CFD:Common File Directory ----D- C:\Program Files\Conduit     
 OPT: O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe     
 OPT:O4 - HKLM\..\Run: [LanguageShortcut] . (.Pas de propriétaire - Language Application.) -- C:\Program Files\CyberLink\PowerDVD\Language\Language.exe     
 OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe     
 OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- D:\Programmes\Adobe Reader\Reader\Reader_sl.exe     
 OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OBealsched.exe     
  O69 - SBI: SearchScopes [HKCU] {6C08444C-B736-4C01-99A8-4CC9E59A9BC9} - (Google) - http://www.gggdu.com 
MBRFix




----------------------------------------------------------
* Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse 
=======================================================

ManRay · Answer

ok voici le rapport :

Rapport de ZHPFix v1.12.3145 par Nicolas Coolman, Update du 06/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-06-09-2010-18-23-34.txt
Run by Manu at 06/09/2010 18:23:34
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O23 - Service: Kingsoft Antivirus WebShield Service (Kingsoft Antivirus WebShield Service) . (.Kingsoft Corporation - ????.) - C:\ProgramData\wd\KSWebShield.exe => Clé absente
HKCU\Software\AppDataLow\Toolbar => Clé absente
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Clé absente
HKCU\Software\AppDataLow\Software\Conduit => Clé absente
HKLM\Software\Conduit => Clé absente

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [LanguageShortcut] . (.Pas de propriétaire - Language Application.) -- C:\Program Files\CyberLink\PowerDVD\Language\Language.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- D:\Programmes\Adobe Reader\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
O69 - SBI: SearchScopes [HKCU] {6C08444C-B736-4C01-99A8-4CC9E59A9BC9} - (Google) - http://www.gggdu.com => Donnée remplacée avec succès

========== Dossier(s) ==========
C:\Program Files\Conduit => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\programdata\wd\kswebshield.exe => Supprimé et mis en quarantaine
c:\program files\softonic_france\tbsoft.dll => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Spyware Doctor 8.0 - (.PC Tools.) [HKLM] -- Spyware Doctor => Logiciel déjà supprimé
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar => Logiciel déjà supprimé

========== Etat des services ==========
Kingsoft Antivirus WebShield Service => Service arrêté avec succès

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

========== Récapitulatif ==========
5 : Clé(s) du Registre
8 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
2 : Fichier(s)
2 : Logiciel(s)
1 : Etat des services
1 :Master Boot Record

End of the scan

Utilisateur anonyme · Answer

ok.

Le nettoyage a commencé.
Post un nouveau rapport Zhpdiag.

ManRay · Answer

ok voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijeEsNTWs.txt

Utilisateur anonyme · Answer

Télécharge BTRK_RunBox Par jeanmimigab sur ton bureau.
Fais un double-clic dessus pour le lancer.
Une fenêtre qui s'ouvre, patiente jusqu'au message "Download OK"et appuie sur une touche comme demandé.
Fais le choix 1 et appuie sur la touche "Entrée".
poste le contenu du rapport qui s'ouvre et ferme le.
Pour quitter le programme fais le choix 4 et appuie sur la touche "Entrée".

ManRay · Answer

le rapport :

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows Vista Home Basic Edition Service Pack 2 (build 6002), 32-bit
System volume is \.\C:
\.\C: -> \.\PhysicalDrive0 at offset 0x00000000'00007e00
Boot sector MD5 is: 0ec6b2481fc707d1e901dc2a875f2826

     Size  Device Name          MBR Status
 --------------------------------------------
   465 GB  \.\PhysicalDrive0   OK (DOS/Win32 Boot code found)

Done;



Press any key to quit...

Utilisateur anonyme · Answer

*	rends toi sur ce site : https://www.virustotal.com/gui/ 
==>Analyse ce fichier:
------------------------------------------------------------------------------------------
 C:\Windows\system32\drivers\fwucc.sys 

------------------------------------------------------------------------------------------
*	Cliquez sur Parcourir... :
*	Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
*	Cliquez ensuite sur Envoyez le fichier : s'il a déjà été analysé, demande une nouvelle analyse.
*	Fais un copier/coller du rapport sur le forum.

ManRay · Answer

Problème !!!
Le fichier "fwucc.sys" n'apparaît pas !

Utilisateur anonyme · Answer

oops j'ai oublié.


Cliquer sur l'icône de l'Explorateur 

L'Explorateur s'ouvre. Cliquer sur Organiser, puis sur Options des dossiers et de recherche

Dans l'onglet Affichage

1 - cocher la case Afficher les fichiers, dossiers et lecteurs cachés, pour rendre visible les fichiers et dossiers cachés

2 - décocher la case Masquer les extensions des fichiers dont le type est connu, pour rendre visible toutes les extensions

3 - décocher la case Masquer les fichiers protégés du système d'exploitation, pour rendre visible les fichiers système protégés

Cliquer sur Appliquer.

A présent tu dois trouver ce fichier.

Profites en pour faire analyser ce second  fichier et post les rapports.

C:\Program Files\PC Tools Security\BDT\FGuard.exe   
--
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

ManRay · Answer

J'ai fait comme tu m'as dit mais je ne trouve toujours pas le fichier "fwucc.sys"
Par contre j'ai analysé l'autre :

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5:	5a5d3967788653b73ecc260b6329ac5b
Date first seen:	2010-08-24 06:19:52 (UTC)
Date last seen:	2010-09-04 06:03:54 (UTC)
Detection ratio:	0/43

What do you wish to do?

Utilisateur anonyme · Answer

je ne pense pas que les bugs proviennent d'une infection.
Certainement un probléme matériel.

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi a cette adresse : http://www.gmer.net/ et cliques sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport Gmer sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

ManRay · Answer

Le scan ne va pas au bout : "gmer a cessé de fonctionné"

ManRay · Answer

Ok j'ai relancé un scan en tant qu'administrateur et ça semble marcher. Je le poste dès qu'il est fini.

ManRay · Answer

Voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijSW3iMJZ.txt

ManRay · Answer

Quelqu'un est là ?

Utilisateur anonyme · Answer

Il me faut un peu de temps por analyser les rapports ;)

Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

\ !/Désactive provisoirement la protection en temps réel de ton Antivirus et de tes Antispywares.\ !/
* Double-clique sur l'icône Usbfix située sur ton Bureau.
* Clique sur le bouton.
* Suppression 
* Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Cliques sur OK
* Laisses Usbfix scanner ton système
* Postes le rapport qui se trouve ici ===========?C:\ UsbFix.txt

\ !/Apres l'option suppression il est recommander de redémarrer votre pc .
===========================================================

On continu la désinfection. 

/!\ A l'attention de ceux qui passent sur ce sujet /!\  
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.  

/!\ Désactive tous tes logiciels de protection  (Antivirus, Antispywares)  /!\  

* Télécharge combofix(de sUBs) sur ton Bureau.  
* Double-clique sur ComboFix.exe afin de le lancer.  
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème) 
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Lorsque la recherche sera terminée, un rapport apparaîtra.  
*  Héberge le rapport C:\Combofix.txt  sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum  
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec . 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix

Utilisateur anonyme · Answer

edit


Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

ManRay · Answer

ok
rapport USbfix :

############################# | UsbFix 7.023 | [Recherche]

Utilisateur: Manu (Administrateur) # PC-DE-MANU [System manufacturer P5Q-PRO]
Mis à jour le 02/09/10 par El Desaparecido / C_XX
Lancé à 00:15:49 | 07/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Activé
RAM -> 2046 Mo 
C:\ (%systemdrive%) -> Disque fixe # 233 Go (63 Go libre(s) - 27%) [] # NTFS
D:\ -> Disque fixe # 233 Go (198 Go libre(s) - 85%) [] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM

################## | Éléments infectieux |

Présent! C:\Users\Manu\AppData\Local\Temp\AutoRun.exe
Présent! E:\Autorun.inf

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{6773b2b7-5865-11df-8e32-0022155a5fb9}
Shell\AutoRun\Command = KLIZAVI/sapun.exe
Shell\explore\Command = KLIZAVI/sapun.exe
Shell\open\Command = KLIZAVI/sapun.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

rapport comboFix :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijHRZJPbL.txt

Utilisateur anonyme · Answer

Fais Usbfix mais avec l'option "supprimer"
=====================================================
1. Télécharge http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ par Swandog46 sur ton Bureau.

* Décompresse le fichier
* avenger.exe sur le bureau

2. Copie le contenu en gras ci-dessous (CTRL+C),


Drivers to delete:
fwucc

Files to delete:
c:\windows\system32\drivers\fwucc.sys 
c:\programdata\PC Tools\DownloadManager\Spyware Doctor8.0\sdsetup_dl.exe 
C:\ProgramData\wd\KSWebShield.exe
 C:\Users\Manu\Downloads\kkzrcs1p.exe
C:\ProgramData\wd\kswebshield.dll 


Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur.

* Faites un clic droit sur la fenêtre sous "Input Script There":, Et choisissez Coller.A présent du dois avoir le script dans la fenétre blanche d' Avenger.
* Clique sur Exécuter
* Réponds "Yes" quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

* Il va Redémarrer le système.
* Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
* Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse. 

Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html 

====================================================
* Télécharge et installe : Malwarebyte's Anti-Malware 
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme) 
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher" 
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats 
* Coche tous les éléments détectés puis clique sur Supprimer la sélection 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer, clique sur Yes 
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.) 
* Si tu as besoin d'aide regarde ce tutorial  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

ManRay · Answer

Rapport USBFix :

############################## | UsbFix 7.023 | [Suppression]

Utilisateur: Manu (Administrateur) # PC-DE-MANU [System manufacturer P5Q-PRO]
Mis à jour le 02/09/10 par El Desaparecido / C_XX
Lancé à 13:18:01 | 07/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Activé
RAM -> 2046 Mo 
C:\ (%systemdrive%) -> Disque fixe # 233 Go (65 Go libre(s) - 28%) [] # NTFS
D:\ -> Disque fixe # 233 Go (198 Go libre(s) - 85%) [] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[07/09/2010 - 13:20:06 | SHD ] 	C:\$RECYCLE.BIN
[18/09/2006 - 23:43:36 | A | 24] 	C:\autoexec.bat
[07/09/2010 - 13:14:52 | D ] 	C:\Avenger
[07/09/2010 - 13:14:18 | A | 2296] 	C:\avenger.txt
[13/05/2010 - 01:48:09 | D ] 	C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] 	C:\bootmgr
[05/05/2010 - 18:42:05 | RAS | 8192] 	C:\BOOTSECT.BAK
[07/09/2010 - 00:45:22 | D ] 	C:\ComboFix
[07/09/2010 - 00:45:20 | A | 15827] 	C:\ComboFix.txt
[18/09/2006 - 23:43:37 | A | 10] 	C:\config.sys
[02/11/2006 - 14:59:44 | SHD ] 	C:\Documents and Settings
[07/09/2010 - 13:14:24 | ASH | 2146492416] 	C:\hiberfil.sys
[05/05/2010 - 18:11:53 | D ] 	C:\Intel
[07/09/2010 - 13:14:23 | ASH | 2460282880] 	C:\pagefile.sys
[21/01/2008 - 04:43:50 | D ] 	C:\PerfLogs
[07/09/2010 - 13:14:18 | RD ] 	C:\Program Files
[06/09/2010 - 12:50:18 | D ] 	C:\ProgramData
[07/09/2010 - 00:45:22 | AD ] 	C:\Qoobox
[05/05/2010 - 18:20:29 | A | 426] 	C:\RHDSetup.log
[07/09/2010 - 01:39:59 | SHD ] 	C:\System Volume Information
[05/05/2010 - 18:32:52 | D ] 	C:\Temp
[07/09/2010 - 13:20:06 | D ] 	C:\UsbFix
[07/09/2010 - 13:18:08 | A | 2237] 	C:\UsbFix.txt
[05/05/2010 - 18:05:17 | RD ] 	C:\Users
[07/09/2010 - 13:14:40 | D ] 	C:\Windows
[06/09/2010 - 18:23:33 | A | 28918] 	C:\ZHPExportRegistry-06-09-2010-18-23-33.txt
[07/09/2010 - 13:20:06 | D ] 	D:\$RECYCLE.BIN
[16/01/2008 - 12:48:06 | A | 12246] 	D:\eula.1036.txt
[16/01/2008 - 12:48:06 | A | 1110] 	D:\globdata.ini
[16/01/2008 - 12:48:14 | A | 843] 	D:\install.ini
[16/01/2008 - 12:52:54 | A | 97296] 	D:\install.res.1036.dll
[04/09/2010 - 04:43:28 | D ] 	D:\Jeux
[05/05/2010 - 18:28:13 | D ] 	D:\MyWorks
[26/06/2010 - 20:25:58 | D ] 	D:\Players
[03/06/2010 - 21:42:48 | D ] 	D:\Programmes
[06/09/2010 - 18:17:46 | SHD ] 	D:\System Volume Information
[08/06/2010 - 22:47:41 | D ] 	D:\Utilitaires
[16/01/2008 - 12:48:06 | A | 5686] 	D:\vcredist.bmp
[16/01/2008 - 12:58:54 | A | 1442522] 	D:\VC_RED.cab
[16/01/2008 - 13:00:56 | A | 233984] 	D:\VC_RED.MSI

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

Pour Avenger, impossible de trouver le fichier C:\avenger.txt par contre il y a un fichier zip qui contient avenger.txt mais il demande un mot de passe.

De plus, quand je lance Malwarbytes il bloque au bout de quelques secondes sur : C:\Windows\system32\zipfldr.dll

ManRay · Answer

ok j'ai retrouvé le rapport Avenger :

ogfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "MBAMSwissArmy" found!
DisplayName:  MBAMSwissArmy 
ImagePath:  \??\C:\Windows\system32\drivers\mbamswissarmy.sys 
Start Type:  3 (Manual)

Rootkit scan completed.


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\fwucc" not found!
Deletion of driver "fwucc" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\drivers\fwucc.sys" not found!
Deletion of file "c:\windows\system32\drivers\fwucc.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\programdata\PC Tools\DownloadManager\Spyware Doctor8.0\sdsetup_dl.exe" not found!
Deletion of file "c:\programdata\PC Tools\DownloadManager\Spyware Doctor8.0\sdsetup_dl.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\ProgramData\wd\KSWebShield.exe" not found!
Deletion of file "C:\ProgramData\wd\KSWebShield.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Users\Manu\Downloads\kkzrcs1p.exe" not found!
Deletion of file "C:\Users\Manu\Downloads\kkzrcs1p.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\ProgramData\wd\kswebshield.dll" not found!
Deletion of file "C:\ProgramData\wd\kswebshield.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

ManRay · Answer

Ok voici le rapport Malwarbytes, il ne trouve aucun fichier infecté :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4560

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

07/09/2010 15:10:53
mbam-log-2010-09-07 (15-10-53).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 314412
Temps écoulé: 55 minute(s), 32 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour ManRay , il n'est pas transposable sur un autre ordinateur !  
* Télécharge ce dossier ManRay.zip 
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau et pas ailleurs. 
* Désactive tes logiciels de protection  
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe  
comme ceci :http://img155.imageshack.us/img155/4837/cfscriptop0.gif  
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !  
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

ManRay · Answer

ok voici le scan :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijF4DtNOl.txt

Utilisateur anonyme · Answer

Pour vérifier post un nouveau rapport zhpdiag.

a++

ManRay · Answer

Ok le voici :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijBOgE1jX.txt

Utilisateur anonyme · Answer

Pour protéger efficacement ton pc je te conseille vivement l'installation d'antivir.

télécharges et installes antivir gratuit .(Antivir est un bon antivirus et de plus trés performant)
http://www.commentcamarche.net/download/telecharger-55-antivir

Configure le impérativement comme ceci :
https://www.commentcamarche.net/ 
=======================================================
A faire dans l'ordre. 

1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
 O64 - Services: CurCS - (.not file.) - ejhkf (ejhkf)  .(.Pas de propriétaire - Pas de description.) - LEGACY_EJHKF 
 O64 - Services: CurCS - (.not file.) - fwucc (fwucc)  .(.Pas de propriétaire - Pas de description.) - LEGACY_FWUCC 
 O64 - Services: CurCS - (.not file.) - PC Tools Data Store (pctDS)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PCTDS 
 O64 - Services: CurCS - (.not file.) - PC Tools Extended File Attributes (pctEFA)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PCTEFA 
 O64 - Services: CurCS - (.not file.) - ugtdqaob (ugtdqaob)  .(.Pas de propriétaire - Pas de description.) - LEGACY_UGTDQAOB 




----------------------------------------------------------
* Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse 
====================================================
Ton pc est maintenant propre. 
Voici quelques conseils. 

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes : adblock plus 
pour bloquer les publicités ;  

* WOT - Extension pour ton navigateur internet :  
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :  
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/  
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp   
=========================================================
Je conseille de mettre a jour internet explorer  même  si vous ne l'utilisé  jamais. Les MAJ  systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité. 
* Télécharger  IE8 : ici 
=========================================================
Java n'est pas à jour, c'est une faille de sécurité.  
1. Tu dois en premier désinstaller l'ancienne version . 
2.  Ouvre le menu démarrer  
3. Clic sur panneau de configuration  
4. Rends toi a  ajout/suppression de programmes  
5.  Sélectionne toutes les versions de java présentes et désinstalles les. 
6. Ensuite, télécharges et installes la nouvelle version de  java (n'installes pas la barre d'outil proposée lors de l'installation) 
=======================================================

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour  
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.  

 Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.  

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.  

* Un conseil : n'installe pas les BETA  
                               ==================================================== 
Pour supprimer combofix.



*Cliquez sur Démarrer >> Exécuter ...
*Maintenant, tapez ou fait un copié/collé ComboFix /uninstall et cliquez sur OK. (vérifies bien l'espace entre combofix et /).
*Tu auras l'impression que Combofix démarre, mais en réalité il va s'autodétruire :-)
=====================================================
Pour éliminer les programmes de desinfections. 

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)  
http://pc-system.fr/  
* Clique sur Recherche et laisse le scan se terminer.  
* Clique, sur Suppression pour finaliser.  
* Tu peux, si tu le souhaites, te servir des Options facultatives.  
* Clique sur Quitter, pour que le rapport puisse se créer.  
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\). 
=======================================================
Désactiver/Réactiver la restauration système de Vista
* Après une désinfection, il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés.
* Cliquez sur le bouton Vista, faîtes un clic droit sur "Ordinateur" puis cliquez sur "Propriétés" .
* Cliquez ensuite sur "Protection du système" .
* Décochez la case du ou des disque(s) pour lesquels vous souhaitez désactiver la restauration du système .
* Une confirmation est nécessaire et vous informe que les points de restaurations existants vont être supprimés sans possibilité de retour en arrière .
* Pour réactiver la restauration système, il suffit de cocher à nouveau les cases.
* Pensé a vider la corbeille. 
============================================================
Tu peux mettre ton problème en résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/

ManRay · Answer

ok merci beaucoup de ton aide !

Rapport de ZHPFix v1.12.3145 par Nicolas Coolman, Update du 06/09/2010
Fichier d'export Registre : 
Run by Manu at 08/09/2010 15:09:15
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - ejhkf (ejhkf) .(.Pas de propriétaire - Pas de description.) - LEGACY_EJHKF  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - fwucc (fwucc) .(.Pas de propriétaire - Pas de description.) - LEGACY_FWUCC  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - PC Tools Data Store (pctDS) .(.Pas de propriétaire - Pas de description.) - LEGACY_PCTDS  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - PC Tools Extended File Attributes (pctEFA) .(.Pas de propriétaire - Pas de description.) - LEGACY_PCTEFA  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - ugtdqaob (ugtdqaob) .(.Pas de propriétaire - Pas de description.) - LEGACY_UGTDQAOB  => Clé supprimée avec succès


========== Récapitulatif ==========
5 : Clé(s) du Registre


End of the scan

 Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Combofix: trouvé !
C:\UsbFix: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !
C:\Users\Manu\Desktop\avenger.exe: trouvé !
C:\Users\Manu\Desktop\UsbFix.txt: trouvé !
C:\Users\Manu\Downloads\HijackThis.exe: trouvé !
C:\Users\Manu\Downloads\hijackthis.log: trouvé !
C:\Users\Manu\Downloads\UsbFix.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Users\Manu\Desktop\avenger.exe: supprimé !
C:\Users\Manu\Downloads\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\UsbFix\UsbFix.exe: supprimé !
C:\Users\Manu\Desktop\UsbFix.txt: supprimé !
C:\Users\Manu\Downloads\hijackthis.log: supprimé !
C:\Users\Manu\Downloads\UsbFix.exe: supprimé !
C:\Combofix: supprimé !
C:\UsbFix: supprimé !
C:\Program Files\ZHPDiag: supprimé !

Ordinateur infecté par un trojan

33 réponses

Discussions similaires

Newsletters