un antivirus qui n'en est pas un!Fermé

Question

Bonjour, 
J'ai besoin de votre aide car sur l'ordinateur familial quand on veut lancer internet explorer il y a un message qui indique c'est dangereux d'afficher cette page (pour info la page que je veux lancer est google.fr !). Par contre quand je lance firefox il n'y a aucun message d'alerte. 
J'ai également remarqué qu'il y avait un "soi-disant" antivirus qui je crois s'appelle Antivirus IS (ou Windows Security alert) qui affiche une fenêtre d'erreur sur le bureau. Ce message indique que "The file mpcmdrun.exe is infected". Et bien sur il faut que j'achète la version du soi disant antivirus.
Le problème c'est qu'il y a déjà un antivirus (avast, qui a déjà été mis à jour.) et je ne sais pas comment enlever cet antivirus IS.
J'ai essayer de lancer ad-aware et spybot mais cet Windows security alert m'empêche de les enlever.
Merci d'avance pour votre aide.

s@f

Configuration: Windows Vista / Firefox 3.6.10

Utilisateur anonyme · Answer

Bonjour
C'est un rogue

Télécharge rkill depuis l'un des liens ci-dessous:

http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe

Enregistre le fichier sur le Bureau.
Désactive le module résident de l'antivirus et celui de l'antispyware.
Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier [b]rkill/b téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
Une fenêtre à fond noir va apparaître brièvement, puis disparaître.
Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution

Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller

s@af · Answer

Bonjour,
merci pour ta réponse (très rapide!!). J'ai téléchargé rkill sans aucun problème; par contre le rogue m'empêche de le lancer. J'ai également téléchargé malwarebytes' anti-malware , mais là aussi après l'avoir installé je ne peux pas le lancer.
As tu une idée?
merci d'avance
s@f

Utilisateur anonyme · Answer

essaye en mode sans échec

s@f · Answer

bonjour,
voilà je viens de finir l'analyse avec "Malwarebytes' Anti-Malware 1.46". 
dont voici le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.5730.13

21/09/2010 18:57:30
mbam-log-2010-09-21 (18-57-30).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 291543
Temps écoulé: 1 heure(s), 20 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\TypeLib\{b6acb3f1-6a83-432c-b854-3e1056f87f4e} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{819db72d-1c28-4387-9778-e2ff3dc86f74} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{64f56fc1-1272-44cd-ba6e-39723696e350} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64f56fc1-1272-44cd-ba6e-39723696e350} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64f56fc1-1272-44cd-ba6e-39723696e350} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eoengine (Rogue.Eorezo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\EoRezo\EoEngine.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\EoRezo\EoAdv\EoAdv.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.

Voilà. Par contre quandje relance le PC en "mode normal" j'ai toujours le rogue présent sur l'ordinateur.
Je vous remercie d'avance
s@f

caro · Answer

une réponse qui n'en est pas une!!!!

s@f · Answer

comment ça? qu'est ce qui n'est pas une réponse? ma réponse? Ce n'est pas ce rapport qu'il fallait mettre?

Utilisateur anonyme · Answer

Vide la quarantaine de Malwarebytes 
Pour le rogue, on va regarder où il est situé pour pouvoir l'éradiquer 
Malwarebytes n'est pas à jour, je comprends mieux pourquoi il n'a 
pas trouvé le rogue

* Télécharge ZHPDiag (de Nicolas Coolman) 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
Héberge le rapport ICI 
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

s@f · Answer

bonjour
je viens de déposer le fichier au lien indiqué. J'espère que tu le trouveras!
merci d'avance
s@f

Utilisateur anonyme · Answer

Bonjour
Tu as oublié de me donner le lien où tu as hébergé le rapport

s@f · Answer

oups oui pardon, je suis allé trop vite
voici le lien:
 http://www.cijoint.fr/cjlink.php?file=cj201009/cijIufxRX3.txt

encore merci
s@f

Utilisateur anonyme · Answer

Excuse moi, je dois partir, je verrai cela ce soir

s@f · Answer

ok!! pas de soucis!!!
^^ bonne fin d'aprèm !
et encore merci !

s@f

Utilisateur anonyme · Answer

Attention, cet outil n'est pas à utiliser à la légère, et doit
être recommandé que par une personne formée à cet outil
Imprime la procédure

 Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tutoriel pour bien utiliser l'outil
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
Surtout, accepte d'installer la console de récupération
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

s@f · Answer

bonsoir,
voici le rapport de ComboFix (qui a très bien fonctionné)
encore merci de ton aide!

ComboFix 10-09-22.06 - Administrateur 23/09/2010  19:57:59.1.2 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.1023.808 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\msconfig.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-23 au 2010-09-23  ))))))))))))))))))))))))))))))))))))
.

2010-09-22 14:04 . 2010-09-22 14:05	--------	d-----w-	c:\program files\ZHPDiag
2010-09-22 13:55 . 2010-09-22 13:55	--------	d-----w-	c:\documents and settings\invit\Application Data\Malwarebytes
2010-09-21 15:18 . 2010-09-21 15:18	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-09-21 14:55 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-21 14:55 . 2010-09-21 14:55	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2010-09-21 14:55 . 2010-09-21 15:18	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-09-21 14:55 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-18 19:59 . 2010-09-18 20:01	--------	d-----w-	c:\documents and settings\LocalService.AUTORITE NT\Local Settings\Application Data\Temp

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-23 17:15 . 2008-12-22 20:45	384	----a-w-	c:\windows\system32\DVCStateBkp-{00000002-00000000-0000000A-00001102-00000004-20011102}.dat
2010-09-23 17:15 . 2008-12-22 20:45	384	----a-w-	c:\windows\system32\DVCState-{00000002-00000000-0000000A-00001102-00000004-20011102}.dat
2010-09-22 13:59 . 2008-12-06 11:17	--------	d-----w-	c:\program files\Wanadoo
2010-09-14 09:00 . 2009-09-10 14:47	--------	d-----w-	c:\documents and settings\invit\Application Data\EoRezo
2010-09-07 15:12 . 2010-06-30 08:02	38848	----a-w-	c:\windows\avastSS.scr
2010-09-07 15:11 . 2009-01-16 18:14	167592	----a-w-	c:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2009-01-16 18:15	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2009-01-16 18:14	165584	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2009-01-16 18:15	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2009-01-16 18:14	100176	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-09-07 14:47 . 2009-01-16 18:14	94544	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-09-07 14:47 . 2009-01-16 18:14	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-09-07 14:46 . 2009-01-16 18:15	28880	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-08-05 16:50 . 2007-12-18 02:04	84870	----a-w-	c:\windows\system32\perfc00C.dat
2010-08-05 16:50 . 2007-12-18 02:04	512176	----a-w-	c:\windows\system32\perfh00C.dat
2008-11-26 18:16 . 2008-11-26 18:16	278528	----a-w-	c:\program files\Fichiers communs\FDEUnInstaller.exe
2009-01-27 01:34 . 2009-01-27 01:34	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34 . 2009-01-27 01:34	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2006-06-27 . 8443526AC6669B7395F46345B72E4DA6 . 95744 . . [5.1.2600.2939] . . c:\windows\system32\drivers\atapi.sys


[-] 2007-12-18 . BC84C4F67D0E880B0C46DC0CE2B8CBAA . 182656 . . [5.1.2600.2899] . . c:\windows\system32\drivers
dis.sys

[-] 2007-12-18 . 4E58CFDE572D519C1ECE6D363243F399 . 77824 . . [5.1.2600.2586] . . c:\windows\system32\browser.dll

[-] 2007-12-18 . 1F344D221471E07CE9E7836A40B5278E . 399360 . . [5.1.2600.2948] . . c:\windows\system32pcss.dll

[-] 2007-12-18 . FB66744D525EA5DF9A719F1DB9B2DFF4 . 507904 . . [5.1.2600.2815] . . c:\windows\system32\winlogon.exe

[-] 2007-12-18 02:04 . 3A24EE37E29522CA95D2DBDEF35C89F4 . 243200 . . [2001.12.4414.312] . . c:\windows\system32\es.dll

[-] 2007-12-18 . E810C77961D1A2802927D28C1255DAAF . 19968 . . [5.1.2600.2839] . . c:\windows\system32\linkinfo.dll

[-] 2007-12-18 . D67885E5AC55E318AFC7D7AEE7AB915E . 343040 . . [7.0.2600.3085] . . c:\windows\system32\msvcrt.dll

[-] 2007-12-18 . EB0349334ECAD45736DAF747222B0F0D . 2302976 . . [5.1.2600.3093] . . c:\windows\system32
toskrnl.exe

[-] 2007-12-18 . ADDC47DFD517F2143D71E9310E414B50 . 1789952 . . [6.00.2900.3156] . . c:\windows\explorer.exe

[-] 2007-12-18 . AFEC4B4C6D837CD17EC3F0FCCFEE4544 . 1449984 . . [5.1.2600.2948] . . c:\windows\system32\ole32.dll


[-] 2007-12-18 . 1BEA1DDF119135E9310EED58B3782ABF . 56320 . . [5.1.2600.3019] . . c:\windows\system32\eventlog.dll

[-] 2007-12-18 . A3D1AC12DEF2E1B391E57C4A63C46F56 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[-] 2007-12-18 . 43836CFFABAC8D6779E8EE55E308DF2C . 25088 . . [5.1.2600.2180] . . c:\windows\system32\ctfmon.exe


[-] 2007-12-18 . 70921DE4C83652DC301A05F0CC46C985 . 297984 . . [5.1.2600.2627] . . c:\windows\system32	ermsrv.dll

[-] 2007-12-18 02:04 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

[-] 2007-12-18 . 61381C1B4C0374569FBBF20FF9BE199C . 2437632 . . [5.1.2600.3093] . . c:\windows\system32
tkrnlpa.exe

c:\windows\System32\drivers\beep.sys ... manque !!
c:\windows\System32\wscntfy.exe ... manque !!
c:\windows\System32egsvc.dll ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2004-10-08 196608]
"Creative MediaSource Go"="c:\program files\Creative\MediaSource\GO\CTCMSGo.exe" [2003-05-29 131072]
"RemoteCenter"="c:\program files\Creative\MediaSource\RemoteControl\RCMan.EXE" [2003-06-12 135168]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"DAEMON Tools Lite 4.30.3 Setup"="c:\documents and settings\Administrateur\Bureau\daemon-tools_daemon_tools_4.30.3_francais_10729.exe" [2009-01-15 7321032]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe" [2009-02-03 240544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2007-01-10 1235456]
"UberIcon"="c:\program files\UberIcon\UberIcon Manager.exe" [2006-07-17 122880]
"VisualTaskTips"="c:\windows\System32\VisualTaskTips.exe" [2007-12-18 36864]
"Vistadrv"="c:\windows\system32\Vistadrive\vsdrv.exe" [2006-07-30 121089]
"Styler"="c:\program files\styler\Styler.exe" [2006-05-03 307200]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-10-08 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-10-08 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-10-08 217088]
"CTSysVol"="c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-07-02 57344]
"CTDVDDET"="c:\program files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE" [2003-06-18 45056]
"CTHelper"="CTHELPER.EXE" [2003-06-20 24576]
"AsioReg"="CTASIO.DLL" [2003-06-20 118784]
"SBDrvDet"="c:\program files\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-26 136600]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"hpppta"="c:\program files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hpppta.exe" [2000-10-05 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-03-03 2904064]
"nwiz"="nwiz.exe" [2004-03-03 782336]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-03-03 46080]
"CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-10 41984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"TSClientMSIUninstaller"="c:\windows\Installer\TSClientMsiTrans	scuinst.vbs" [2007-12-18 12451]
"tscuninstall"="c:\windows\system32	scupgrd.exe" [2007-12-18 44544]
"nltide_3"="advpack.dll" [2007-12-18 124928]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

R0 Si3124;Si3124;c:\windows\system32\drivers\si3124.sys [18/12/2007 04:04 76208]
R0 Si3531;Si3531;c:\windows\system32\drivers\Si3531.sys [18/12/2007 04:04 210224]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 20:19 13592]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [16/01/2009 20:14 165584]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16/01/2009 20:14 17744]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [11/04/2010 07:38 133104]
S3 RT2400;ASUS Wireless Driver;c:\windows\system32\DRIVERS\RT2400.sys --> c:\windows\system32\DRIVERS\RT2400.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15/01/2009 21:04 717296]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - HELPSVC
.
Contenu du dossier 'Tâches planifiées'

2010-09-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-11 05:38]

2010-09-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-11 05:38]

2010-09-23 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.lo.st
uDefault_Search_URL = hxxp://www.google.fr/keyword/%s
mStart Page = hxxp://www.google.fr
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\a67yjeon.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - plugin: c:\program files\Google\Update\1.2.183.29
pGoogleOneClick8.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-SaveLinksOrder - (no file)
Toolbar-Locked - (no file)
Toolbar-ITBarLayout - (no file)
Toolbar-ITBarLayout - (no file)
Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)
HKU-Default-RunOnce-nltide3 - rundll32 advpack.dll
AddRemove-FranceTelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-23 20:04
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(748)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll

- - - - - - - > 'lsass.exe'(884)
c:\windows\system32\setupapi.dll
.
Heure de fin: 2010-09-23  20:07:07
ComboFix-quarantined-files.txt  2010-09-23 18:07

Avant-CF: 142 633 504 768 octets libres
Après-CF: 142 827 057 152 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 6DDA061DB09EF69CFE38678F2BD75788


Merci d'avance
s@f

Utilisateur anonyme · Answer

Bonsoir,
Je vois un restant d'infection

Télécharge Ad-Remover (de C_XX) sur ton bureau:
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
https://www.androidworld.fr/
Désactive l'anti-virus

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur Scanner.
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans C:\Ad-Remover-SCAN[1].txt

s@f · Answer

bonsoir,
voici le rapport:

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 21:53:03 le 23/09/2010, Mode sans echec

Microsoft Windows XP Professionnel Service Pack 2 (X86) 
Administrateur@E0186C29E2294C4 ( ) 
 
============== RECHERCHE ==============


0,Dossier trouvé: C:\Documents and Settings\Administrateur\Application Data\EoRezo
0,Dossier trouvé: C:\Documents and Settings\invit\Application Data\EoRezo
0,Dossier trouvé: C:\Program Files\EoRezo

0,Clé trouvée: HKLM\Software\Classes\EoRezoBHO.EoBHO
0,Clé trouvée: HKLM\Software\Classes\EoRezoBHO.EoBHO.1
0,Clé trouvée: HKLM\Software\Classes\AppID\EoRezoBHO.DLL
1,Clé trouvée: HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
0,Clé trouvée: HKCU\Software\EoRezo
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.0.18 (fr)] **

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\a67yjeon.default\Prefs.js --
browser.download.lastDir, D:\doc élo
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.0.19

-- C:\Documents and Settings\invit\Application Data\Mozilla\FireFox\Profiles\wb1ovt48.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.0.18

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Search_URL: hxxp://www.google.fr/keyword/%s
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.orange.fr

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.google.fr

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: hxxp://www.lo.st/?tabs
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 23/09/2010 (643 Octet(s)) 

Fin à: 21:57:27, 23/09/2010 
 
============== E.O.F ============== 

Merci !
S@f

Utilisateur anonyme · Answer

Relance Ad Remover, et clique sur nettoyer, et poste le rapport

s@f · Answer

Bonjour,
voici le rapport:

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 11:45:00 le 24/09/2010, Mode sans echec

Microsoft Windows XP Professionnel Service Pack 2 (X86) 
Administrateur@E0186C29E2294C4 ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.



============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.0.18 (fr)] **

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\a67yjeon.default\Prefs.js --
browser.download.lastDir, D:\doc élo
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.0.19

-- C:\Documents and Settings\invit\Application Data\Mozilla\FireFox\Profiles\wb1ovt48.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.0.18

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 55 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 24/09/2010 (3025 Octet(s)) 
C:\Ad-Report-CLEAN[2].txt - 24/09/2010 (486 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 23/09/2010 (2722 Octet(s)) 

Fin à: 11:49:26, 24/09/2010 
 
============== E.O.F ============== 


Merci
s@f

Utilisateur anonyme · Answer

Bonjour
Met à jour Malwarebytes, et refait un scan complet

s@f · Answer

salut!
Voici le rapport de Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4684

Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.5730.13

24/09/2010 17:12:48
mbam-log-2010-09-24 (17-12-48).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 316099
Temps écoulé: 45 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{D4FEF373-5B26-4F67-8DD6-9656C1EE1F50}\RP1144\A0535846.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4FEF373-5B26-4F67-8DD6-9656C1EE1F50}\RP1144\A0535847.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D4FEF373-5B26-4F67-8DD6-9656C1EE1F50}\RP1144\A0535848.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
D:\E\cours\Na\BT\MP3\d4\MF, D,FMx4\MD\C\K.EXE (RiskWare.Tool.CK) -> Quarantined and deleted successfully.


Voilà!!
Encore merci
s@f

Utilisateur anonyme · Answer

Vide la quarantaine de Malwarebytes
Toujours des problèmes ou pas ?

s@f · Answer

Bonsoir,
alors j'ai vidé la quarantaine... et j'ai redémarré l'ordi ... et le rogue (windows security alert) est toujours présent sur l'ordinateur... :s

merci !
s@f

Utilisateur anonyme · Answer

je ne comprends pas, malwarebytes est pourtant à jour, je ne vois pas où
est situé ce rogue, désolée

s@f · Answer

bonjour,
et si je recommençais un des scan? si je refaisais un scan malwarebytes? tu penses que ça pourrait faire quelque chose? ou c'est vraiment particulier?

encore merci pour ton aide!
s@f

Utilisateur anonyme · Answer

Bonjour
Il faudrai installer le service pack3 pour XP
http://www.microsoft.com/downloads/details.aspx?familyid=2fcde6ce-b5fb-4488-8c50-fe22559d164e&displaylang=fr

archet9 · Answer

--- Autres Services/Pilotes en mémoire --- 

*NewlyCreated* - HELPSVC  ...?

archet9 · Answer

Comme tu veux tu choises !!!

s@f · Answer

bonjour,
je suis un peu perdu avec vos commentaires... :s qu'est ce que je peux faire??
encore merci beaucoup pour votre aide ^^

s@f

Utilisateur anonyme · Answer

Bonjour
Fait déjà ceci
https://forums.commentcamarche.net/forum/affich-19248924-un-antivirus-qui-n-en-est-pas-un?page=2#25

Un antivirus qui n'en est pas un!

29 réponses

Discussions similaires

Newsletters