Sujet Précédent Sujet Suivant

Rootkit C:/windows/svchost.exe détecté

Fermé
Franckpas - 15 oct. 2010 à 10:28
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 21 oct. 2010 à 18:49
Bonjour,

J'ai Avast comme anti virus, depuis quelques temps il me donne une alerte "Rootkit C:/windows/svchost.exe détecté".

Mon PC fonctionne, mais j'ai remarqué un ralentissement au niveau d'internet... Je ne sais pas si c'est lié?

Je suis novice dans le domaine. Après avoir fais quelques recherches sur le net, j'ai téléchargé Hijackthis mais je n'ai pas les compétences nécessaires pour analyser le rapport. J'ai aussi fais un scanne en ligne du fichier sur le site Kaspersky et me dit que c'est un virus: Trojan-Spy.Win32.SpyEyes.nm.

Que dois-je faire? Aidez moi s'il vous plait.

Merci

PS: je vous met le rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:02:09, on 15/10/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17091)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Uniblue\RegistryBooster\rbmonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
C:\Program Files\EeePC\ACPI\AsEPCMon.exe
C:\Program Files\EeePC\ACPI\AsTray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hercules\Audio\DJ Console Series\MK2\HDJ2CPL.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ASUS\Eee Docking\Eee Docking.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
C:\WINDOWS\system32\MsiExec.exe
C:\DOCUME~1\PASTIN~1\LOCALS~1\Temp\IXP180.TMP\SetupAdmin.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Pastinelli Franck\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eeepc.asus.com/global
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
R3 - URLSearchHook: ZoneAlarm Security Toolbar - {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Program Files\ZoneAlarm_Security\tbZone.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ZoneAlarm Security Toolbar - {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Program Files\ZoneAlarm_Security\tbZone.dll
O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\Program Files\Fichiers communs\justDo\Jd2002.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O3 - Toolbar: ZoneAlarm Security Toolbar - {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Program Files\ZoneAlarm_Security\tbZone.dll
O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynAsusAcpi] C:\Program Files\Synaptics\SynTP\SynAsusAcpi.exe
O4 - HKLM\..\Run: [DJ Console Mk2] C:\Program Files\Hercules\Audio\DJ Console Series\MK2\HDJ2CPL.exe -hide
O4 - HKLM\..\Run: [Cerberus] C:\WINDOWS\system32\winlogone.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [svchost7174078] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKCU\..\Run: [Eee Docking] C:\Program Files\ASUS\Eee Docking\Eee Docking.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TrueTransparency] "C:\Documents and Settings\Pastinelli Franck\Mes documents\Vista inspirat\truetransparency-crystalxp.net-fr-5139\TrueTransparency\TrueTransparency.exe"
O4 - HKCU\..\Run: [UniblueRegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Save Flash with Flash Catcher - res://C:\Program Files\Fichiers communs\justDo\IECatcher.DLL/FlashCatcher.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Program Files\Fichiers communs\justDo\IECatcher.DLL
O9 - Extra 'Tools' menuitem: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Program Files\Fichiers communs\justDo\IECatcher.DLL
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A voir également:

15 réponses

Réponse 1 / 15
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
15 oct. 2010 à 10:33
Bonjour,

- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Ensuite tu fais ceci:
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Cela fait deux rapports à poster

Smart
0
Réponse 2 / 15
franckpas
17 oct. 2010 à 12:24
Re!

voila j'ai suivi la procédure et voici les deux rapports:






======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:05:19 le 16/10/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Pastinelli Franck@PC-DE-FRANCK ( )

============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé

0,Fichier supprimé: C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
0,Fichier supprimé: C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
0,Dossier supprimé: C:\Program Files\Application Updater
0,Dossier supprimé: C:\Documents and Settings\Pastinelli Franck\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Program Files\Conduit
0,Dossier supprimé: C:\Documents and Settings\Pastinelli Franck\Application Data\pdfforge
0,Dossier supprimé: C:\Program Files\pdfforge Toolbar
0,Dossier supprimé: C:\Documents and Settings\Pastinelli Franck\Application Data\Search Settings
3,Fichier supprimé: C:\WINDOWS\Installer\4e17c8.msi

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Pastinelli Franck\Application Data\Mozilla\FireFox\Profiles\vygnmyl6.default\Prefs.js --
Ligne supprimée: user_pref("CT2645238.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
Ligne supprimée: user_pref("CT2645238.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT264...
Ligne supprimée: user_pref("CT2645238.ct2645238.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_...
-- Fichier Fermé --


1,Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2645238
0,Clé supprimée: HKLM\Software\Application Updater
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKLM\Software\pdfforge
0,Clé supprimée: HKLM\Software\Search Settings
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\pdfforge
0,Clé supprimée: HKCU\Software\Search Settings
0,Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
3,Clé supprimée: HKLM\Software\Classes\Installer\Products\3D7B197543B881247905A6E8540DDA23
3,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\3D7B197543B881247905A6E8540DDA23
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}
0,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
0,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}

0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.10 (fr)] **

-- C:\Documents and Settings\Pastinelli Franck\Application Data\Mozilla\FireFox\Profiles\vygnmyl6.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\Pastinelli Franck\\Bureau\\rapport pathé
browser.startup.homepage, hxxp://google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.10

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 88 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 16/10/2010 (1758 Octet(s))

Fin à: 00:08:58, 16/10/2010

============== E.O.F ==============







Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4857

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

17/10/2010 12:00:43
mbam-log-2010-10-17 (12-00-43).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 186195
Temps écoulé: 44 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0kvfml7w-0plt-bl32-fk1j-5f1w61yaaon5} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Cerberus (Backdoor.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\victim (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost7174078 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cerberus (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Pastinelli Franck\Mes documents\Mes fichiers reçus\Office_2007_pro (ne pas supprimer)\Keygen Office 2007.exe (Hacktool.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\WidgiHelper.exe.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7A9834F4-C2C8-4E92-9869-22D7445482F1}\RP9\A0004398.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7A9834F4-C2C8-4E92-9869-22D7445482F1}\RP9\A0004400.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7A9834F4-C2C8-4E92-9869-22D7445482F1}\RP9\A0004409.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\~TM21.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Pastinelli Franck\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Documents\Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Documents\Server\server.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 3 / 15
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
Modifié par Smart91 le 17/10/2010 à 13:44
Evite de télécharger des logiciele crackés ou alors des keygen. Lis le dossiers
suivant: Le danger des cracks

Relance AD-R et clique sur "Désinstaller"
Relance MBAM et vide la quarantaine.
Ensuite
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
Réponse 4 / 15
franckpas
17 oct. 2010 à 14:06
Merci SMART pour ton aide! Voici le lien que tu m'a demandé:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijKmjQjKK.txt


Franckpas
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
Modifié par Smart91 le 20/10/2010 à 13:33
OK. Il ya une infection par Clés USB pour ton information et éviter de faire les mêmes erreurs lis bien les dossiers ci-dessous:
Infections par disques amovibles
Infections par disques amovibles 2

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Ensuite:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : Tutoriel "Recherche"

Cela fait deux rapports à poster

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
Réponse 6 / 15
franckpas
17 oct. 2010 à 15:22
Ok alors j'ai suivi les instructions et j'ai branché mon DD externe, j'utilise aussi une clé usb mais je n'arrive pas à mettre la main dessus. Si je la retrouve, dois-je faire la même manipulation?

Voici les 2 rapports :




Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre :
Run by Pastinelli Franck at 17/10/2010 15:07:03
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès


========== Récapitulatif ==========
1 : Elément(s) de donnée du Registre


End of the scan







############################## | UsbFix 7.031 | [Recherche]

Utilisateur: Pastinelli Franck (Administrateur) # PC-DE-FRANCK [ ]
Mis à jour le 16/10/10 par El Desaparecido / C_XX
Lancé à 15:16:39 | 17/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@arx-services.com

CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
CPU 2: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Désactivé /!\
Antivirus: avast! Antivirus 5.0.83886412 [(!) Disabled | (!) Outdated]
Firewall: ZoneAlarm Firewall 9.2.076.000 [Enabled]
RAM -> 1015 Mo
C:\ (%systemdrive%) -> Disque fixe # 72 Go (32 Go libre(s) - 44%) [] # NTFS
D:\ -> Disque fixe # 72 Go (56 Go libre(s) - 77%) [] # NTFS
E:\ -> Disque fixe # 233 Go (34 Go libre(s) - 15%) [IOMEGA_HDD] # FAT32

################## | Éléments infectieux |


Présent! C:\WINDOWS\system32\autorun.inf
Présent! C:\DOCUME~1\PASTIN~1\LOCALS~1\Temp\IXP180.TMP

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\E
Shell\AutoRun\Command = E:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{17a30440-cdf3-11de-bd07-0026186ac11e}
Shell\AutoRun\Command = E:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{18ffa689-ff94-11de-bd4b-0026186ac11e}
Shell\AutoRun\Command = filesystem/pagefile.exe
Shell\eXpLorE\Command = filesystem/pagefile.exe
Shell\oPen\Command = filesystem/pagefile.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{1cfc2e42-f962-11de-bd41-0025d3466506}
Shell\AutoRun\Command = E:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{1e9195c2-0c1f-11df-bd6c-0026186ac11e}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

HKCU\.\.\.\.\Explorer\MountPoints2\{57651414-c49e-11de-84ab-0026186ac11e}
Shell\AutoRun\Command = RunVer.exe
Shell\explore\Command = RunVer.exe e
Shell\open\Command = RunVer.exe e

HKCU\.\.\.\.\Explorer\MountPoints2\{c58ce6cd-c7c0-11de-84b2-0026186ac11e}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{c60e06f8-c2dd-11de-84a7-0026186ac11e}
Shell\AutoRun\Command = E:\Menu.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
0
Réponse 7 / 15
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
17 oct. 2010 à 15:59
"j'utilise aussi une clé usb mais je n'arrive pas à mettre la main dessus. Si je la retrouve, dois-je faire la même manipulation?"

En effet il faut mette cette clé et faire la manip ci-dessous. Si tu ne l'a trouve pas tout de suite, tu peux le faire plus tard et suivre les instructions.

On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : "Nettoyage"

Smart
0
Réponse 8 / 15
franckpas
20 oct. 2010 à 10:51
salut smart!

Désolé d'avoir été aussi long, avant toutes choses je rencontre toujours des problèmes au niveau de l'accès aux sites internet (plus grandes difficultés qu'avant à avoir accès à des sites). En effet, environ 1 fois sur 2 l'accès m'est impossible.


Voici le rapport usbfix :


############################## | UsbFix 7.031 | [Suppression]

Utilisateur: Pastinelli Franck (Administrateur) # PC-DE-FRANCK [ ]
Mis à jour le 16/10/10 par El Desaparecido / C_XX
Lancé à 10:14:47 | 20/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@arx-services.com

CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
CPU 2: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Désactivé /!\
Antivirus: avast! Antivirus 5.0.83886412 [(!) Disabled | (!) Outdated]
Firewall: ZoneAlarm Firewall 9.2.076.000 [Enabled]
RAM -> 1015 Mo
C:\ (%systemdrive%) -> Disque fixe # 72 Go (31 Go libre(s) - 44%) [] # NTFS
D:\ -> Disque fixe # 72 Go (56 Go libre(s) - 77%) [] # NTFS
E:\ -> Disque fixe # 233 Go (34 Go libre(s) - 15%) [IOMEGA_HDD] # FAT32

################## | Éléments infectieux |


Supprimé! C:\WINDOWS\system32\autorun.inf
Supprimé! C:\DOCUME~1\PASTIN~1\LOCALS~1\Temp\IXP180.TMP
Supprimé! C:\Recycler\S-1-5-21-318497647-768312090-1001091785-1006
Supprimé! C:\Recycler\S-1-5-21-383405564-820138424-452721992-1003
Supprimé! D:\Recycler\S-1-5-21-318497647-768312090-1001091785-1006

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{17a30440-cdf3-11de-bd07-0026186ac11e}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{18ffa689-ff94-11de-bd4b-0026186ac11e}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1cfc2e42-f962-11de-bd41-0025d3466506}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1e9195c2-0c1f-11df-bd6c-0026186ac11e}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{57651414-c49e-11de-84ab-0026186ac11e}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c58ce6cd-c7c0-11de-84b2-0026186ac11e}

################## | Listing |

[04/11/2009 - 17:36:45 | D ] C:\$AVG
[12/05/2009 - 21:44:26 | N | 0] C:\AUTOEXEC.BAT
[19/10/2010 - 00:59:26 | N | 216] C:\boot.ini
[14/04/2008 - 14:00:00 | N | 4952] C:\Bootfont.bin
[18/10/2010 - 14:26:20 | D ] C:\Config.Msi
[12/05/2009 - 21:44:26 | N | 0] C:\CONFIG.SYS
[26/04/2010 - 15:56:44 | D ] C:\Documents and Settings
[25/08/2010 - 19:10:16 | D ] C:\downloads
[12/05/2009 - 21:55:00 | D ] C:\Intel
[12/05/2009 - 21:44:26 | N | 0] C:\IO.SYS
[19/03/2010 - 00:49:54 | D ] C:\LDI-Software
[12/05/2009 - 21:44:26 | N | 0] C:\MSDOS.SYS
[30/10/2009 - 16:25:41 | RHD ] C:\MSOCache
[06/05/1999 - 12:59:00 | N | 220172] C:\nsh10C.tmp
[14/04/2008 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[14/04/2008 - 14:00:00 | N | 252240] C:\ntldr
[20/10/2010 - 10:00:06 | ASH | 1598029824] C:\pagefile.sys
[18/10/2010 - 14:24:21 | RD ] C:\Program Files
[20/10/2010 - 10:20:44 | SHD ] C:\RECYCLER
[01/10/2010 - 09:18:31 | SHD ] C:\System Volume Information
[20/10/2010 - 10:20:45 | D ] C:\UsbFix
[20/10/2010 - 10:20:46 | A | 1270] C:\UsbFix.txt
[17/10/2010 - 12:00:43 | D ] C:\WINDOWS
[17/10/2010 - 15:07:03 | N | 3290] C:\ZHPExportRegistry-17-10-2010-15-07-03.txt
[04/11/2009 - 17:36:45 | D ] D:\$AVG
[01/10/2009 - 09:11:16 | D ] D:\a24f0fa775d10966d5bc58
[10/06/2010 - 09:03:10 | D ] D:\f046b9d1ded1b5a970
[11/08/2010 - 10:54:41 | D ] D:\Mes vidéos
[20/10/2010 - 10:20:44 | SHD ] D:\RECYCLER
[02/10/2010 - 09:13:43 | SHD ] D:\System Volume Information
[05/06/2010 - 16:31:09 | D ] D:\Séries
[17/03/2010 - 22:06:12 | N | 4096] E:\._.Trashes
[17/12/2006 - 13:06:48 | SHD ] E:\System Volume Information
[26/04/2007 - 15:49:38 | D ] E:\Musique
[17/03/2010 - 22:06:12 | D ] E:\.Trashes
[17/12/2006 - 13:06:58 | D ] E:\VideO
[17/03/2010 - 22:06:12 | D ] E:\.Spotlight-V100
[17/12/2006 - 13:07:14 | D ] E:\phOtOs
[08/04/2010 - 14:07:38 | D ] E:\cOurs
[18/06/2010 - 09:44:56 | D ] E:\.fseventsd
[20/12/2006 - 21:17:54 | SHD ] E:\Recycled
[08/04/2010 - 14:00:32 | N | 0] E:\.com.apple.timemachine.donotpresent
[08/04/2010 - 14:00:32 | N | 4096] E:\._.com.apple.timemachine.donotpresent
[27/03/2007 - 20:47:46 | D ] E:\wOrd
[27/03/2007 - 21:00:06 | D ] E:\Mes fichiers recus
[22/06/2007 - 22:31:28 | D ] E:\PrOgrammes
[20/08/2007 - 21:07:10 | SHD ] E:\$RECYCLE.BIN
[01/03/2010 - 12:04:56 | ASH | 36864] E:\Thumbs.db
[28/07/2007 - 11:19:20 | D ] E:\suckmykiss06_skyblog
[26/04/2010 - 15:09:54 | D ] E:\pc franck

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-FRANCK.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |
0
Réponse 9 / 15
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
20 oct. 2010 à 13:37
Relance ZHPDiag.
Clique sur le bouton tournevis et coche la case O1 en plus de celles déjà cochées ensuite clique sur la loue et poste le rapport vi cijoint

Smart
0
Réponse 10 / 15
franckpas
20 oct. 2010 à 15:27
Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201010/ciji3h8oyK.txt

merci
0
Réponse 11 / 15
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
20 oct. 2010 à 16:27
Il y a encore des traces:

- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.itxassociates.com/OT-Tools/OTM.exe
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :

--------------------------------------------------------------
:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c60e06f8-c2dd-11de-84a7-0026186ac11e}]

:commands
[emptytemp]
[Reboot]
--------------------------------------------------------------

- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.

- Clique maintenant sur le bouton MoveIt!

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Tu peux également réactiver ton antivirus avast

Smart
0
Réponse 12 / 15
franckpas
20 oct. 2010 à 17:22
voici le nouveau rapport otm :

All processes killed
========== REGISTRY ==========
Registry delete failed. HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c60e06f8-c2dd-11de-84a7-0026186ac11e}\ scheduled to be deleted on reboot.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c60e06f8-c2dd-11de-84a7-0026186ac11e}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 32969 bytes

User: LocalService

User: NetworkService

User: Pastinelli Franck

Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemdrive% .tmp files removed: 220172 bytes
%systemroot% .tmp files removed: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 0,00 mb


OTM by OldTimer - Version 3.1.16.1 log created on 10202010_171951
0
Réponse 13 / 15
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
21 oct. 2010 à 11:05
Redémarre le PC et refais un un scan ZHPdiag et poste le rapoort

Smart
0
Réponse 14 / 15
franckpas
21 oct. 2010 à 18:30
voila le rapport ci joint :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijAtkCJmN.txt
0
Réponse 15 / 15
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
21 oct. 2010 à 18:49
Fais ceci, il resti encore qq eninfection usbi:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : Tutoriel "Recherche"

Smart
0

Discussions similaires

help rootkit
celine746 -
celine746 -

21 réponses
Avast détecte un rootkit
Marie12345 -
Marie12345 -

2 réponses
win32 Rootkit
Mary -
plopus -

8 réponses
Rootkit détecté par AVG mais ne fait rien?
Hakayami -
hellodu95 -

11 réponses