Cheval de troie en grosse quantite

Question

Bonsoir,

J'etais tranquillement sur le net, lorsque l'agent d'avast m'a indique que j'avais plusieurs chevaux de troie et ceci pendant une bonne demi-heure: (j'etais sur un site de streaming)

Voici l'un des messages sur les dizaines que j'ai eu:

CHEVAL DE TROIE BLOQUE

Agent des fichiers avast a bloque une menace.
Aucune autre action n'est demandee.

Objet:        C:Program Files/Mozilla Firefox/defaults/profile/bookmarks.html
Infection:   VBS:ExeDropper-gen (Trj)
Action Mis en quarantaine
Processus: C:WINDOWS/system32/svchost.exe

La menace a ete detectee et bloquee juste avant la creation ou modification du fichier.

J'ai immediatement lancee une analyse Avast plus une de Malwarebytes, Avast n'a rien trouve et Malwarebytes 4 fichiers infectes.
Apres redemarrage ils devaient donc tous etre supprimes logiquement.
Cela dit Avast a continue de m'alerter sur certains chevaux de troie bloques apres le redemarrage, et a arrete depuis.
Le probleme est que Mozilla n'a jamais redemarre et crashait a chaque relance, (j'ai installe a nouveau et ca marche depuis)
Le plus gros probleme que je rencontre c'est que le sablier de ma souris ne cesse de clignoter meme lorsque je ne fait aucune action.
Je precise que la souris a commence a clignoter au moment meme ou avast a detecte plusieurs chevaux de troie.
J'ai tente combofix, qui semble avoir ralenti ce processus mais neanmoins ca continue encore.
Quelqu'un aurait il une idee du genre de virus , s'il est dangereux ou pas, et comment etre sur de s'en debarasser.
Je suis loin d'etre connaisseur en informatique mais je suis pret a suivre toutes les etapes pour etre sur de me debarrasser de ce parasite.
Merci d;avance

moment de grace · Answer

bonjour 

poste le rapport de Malwarebytes,stp 

puis 

Télécharge ZHPDiag ( de Nicolas coolman ).  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) 
  
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )  

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.  

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.  

Rend toi sur Cjoint : http://www.cijoint.fr/  

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "  

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau  

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message 


CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Scalonaf · Answer

Bonsoir Moment de Grace

Merci pour te reponse si rapide

Voici le rapport Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4788

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

25/10/2010 20:05:18
mbam-log-2010-10-25 (20-05-18).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 144479
Temps écoulé: 15 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{cd5f7e26-24da-82f6-d18f-bd133fcdcc50} (Trojan.ZbotR.Gen) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Start Menu\Programs\Startup\sysqgv32.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\config\systemprofile\Application Data\Aqzi\fyiq.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Voici egalement le rapport combofix apres redemarrage

2010-10-26 04:23:45 . 2010-10-26 04:23:45              306 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Notify-NavLogon.reg.dat
2010-10-26 04:23:45 . 2010-10-26 04:23:45              852 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Notify-ACNotify.reg.dat
2010-10-26 04:23:37 . 2010-10-26 04:23:37              171 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat
2010-10-26 04:20:53 . 2010-10-26 04:20:53           56,832 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\system32undll32Srv.exe.vir
2010-10-26 04:19:03 . 2010-10-26 04:20:03               16 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\system32\dmlconf.dat.vir
2010-10-26 04:15:58 . 2010-10-26 04:15:58            6,448 ----a-w-  C:\Qoobox\Quarantine\Registry_backups	cpip.reg
2010-10-26 04:09:08 . 2010-10-26 04:09:08               51 ----a-w-  C:\Qoobox\Quarantine\catchme.log
2010-05-25 08:14:16 . 2010-05-25 08:14:16          460,088 ----a-w-  C:\Qoobox\Quarantine\C\Program Files\setup.exe.vir

moment de grace · Answer

ok 

redemarre le pc et vide la quarantaine de MBAM 

poste moi le rapport de Combofix stp (C:\ComboFix.txt)

et fais ZHPdiag 

CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Scalonaf · Answer

Voila j'ai scanne avec ZHPdiag et envoyer le rapport sur cijoint.fr.
Avast continue de me bloquer des virus: win32 ramnit-E.
J'ai donc l'impression que j'ai encore une crasse sur mon ordi, meme si c'est un peu moins chiant qu'hier soir mais j'aimerais bien me debarasser de tous les trucs indesirables

moment de grace · Answer

il faut que tu copies ici le lien de ci joint

de plus fais en de même pour le rapport combofix  (C:\ComboFix.txt)

Scalonaf · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijJalYnHN.txt 

Et le rapport combofix: 

2010-10-26 18:20:17 . 2010-10-26 18:20:17              860 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-Windows Media Format Runtime.reg.dat 
2010-10-26 06:23:22 . 2010-10-26 17:28:50           56,832 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\system32undll32Srv.exe.vir 
2010-10-26 04:29:00 . 2010-10-26 17:30:28           56,832 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\explorerSrv.exe.vir 
2010-10-26 04:23:45 . 2010-10-26 04:23:45              306 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Notify-NavLogon.reg.dat 
2010-10-26 04:23:45 . 2010-10-26 04:23:45              852 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Notify-ACNotify.reg.dat 
2010-10-26 04:23:37 . 2010-10-26 04:23:37              171 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat 
2010-10-26 04:19:03 . 2010-10-26 18:14:49               16 ----a-w-  C:\Qoobox\Quarantine\C\WINDOWS\system32\dmlconf.dat.vir 
2010-10-26 04:15:58 . 2010-10-26 18:18:15            6,354 ----a-w-  C:\Qoobox\Quarantine\Registry_backups	cpip.reg 
2010-10-26 04:09:08 . 2010-10-26 18:15:14              153 ----a-w-  C:\Qoobox\Quarantine\catchme.log 
2010-05-25 08:14:16 . 2010-05-25 08:14:16          460,088 ----a-w-  C:\Qoobox\Quarantine\C\Program Files\setup.exe.vir 

J'espere qu'avec ca ca va se resoudre assez vite, merci a toi en tout cas

Est-ce que continuer a analyser avec mBAM sert a quelque chose pour l'instant ou mieux vaut attendre?

moment de grace · Answer

le rapport combofix n'est pas conforme

regarde là (C:\ComboFix.txt)

Scalonaf · Answer

Effectivement c'est pas la meme chose desole, alors le voici:

ComboFix 10-10-26.03 - Nathalie 26/10/2010  11:16:04.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.2038.1417 [GMT -7:00]
Running from: c:\program files\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\ExplorerSrv.exe
c:\windows\system32\dmlconf.dat
c:\windows\system32undll32Srv.exe

.
(((((((((((((((((((((((((   Files Created from 2010-09-26 to 2010-10-26  )))))))))))))))))))))))))))))))
.

2010-10-26 17:50 . 2010-10-26 18:06	--------	d-----w-	c:\documents and settings\Nathalie\Application Data\Zucu
2010-10-26 17:50 . 2010-10-26 17:50	--------	d-----w-	c:\documents and settings\Nathalie\Application Data\Ulviqi
2010-10-26 17:50 . 2010-10-26 17:50	--------	d-----w-	c:\program files\win
2010-10-26 06:00 . 2010-10-26 17:27	--------	d-----w-	c:\program files\ZHPDiag
2010-10-26 04:33 . 2010-10-26 04:33	56832	----a-w-	c:\program files\Internet Explorer\iexploreSrv.exe
2010-10-26 04:07 . 2010-10-26 18:14	3887256	----a-r-	c:\program files\ComboFix.exe
2010-10-26 03:33 . 2010-10-26 17:29	56832	----a-w-	c:\program files\Common Files\InstallShield\UpdateService\agentSrv.exe
2010-10-26 03:33 . 2010-10-26 17:28	56832	----a-w-	c:\program files\Common Files\InstallShield\UpdateService\ISUSPMSrv.exe
2010-10-26 02:31 . 2010-10-26 17:50	--------	d-----w-	c:\program files	mp
2010-10-26 02:31 . 2010-10-26 17:27	--------	d-----w-	c:\program files\Microsoft
2010-10-13 01:02 . 2010-09-18 06:53	974848	------w-	c:\windows\system32\dllcache\mfc42.dll
2010-10-13 01:02 . 2010-09-18 06:53	954368	------w-	c:\windows\system32\dllcache\mfc40.dll
2010-10-13 01:02 . 2010-09-18 06:53	953856	------w-	c:\windows\system32\dllcache\mfc40u.dll
2010-10-13 01:02 . 2010-08-23 16:12	617472	------w-	c:\windows\system32\dllcache\comctl32.dll
2010-10-10 19:18 . 2010-10-10 19:18	--------	d-----w-	c:\documents and settings\Nathalie\Application Data\Malwarebytes
2010-10-10 19:18 . 2010-04-29 22:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-10 19:18 . 2010-10-10 19:18	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-10 19:18 . 2010-10-10 19:18	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-10-10 19:18 . 2010-04-29 22:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-07 15:21 . 2010-10-07 15:21	--------	d-----w-	c:\program files\Microsoft CAPICOM 2.1.0.2
2010-10-07 15:14 . 2009-08-07 02:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-10-07 15:14 . 2009-08-07 02:23	215920	----a-w-	c:\windows\system32\muweb.dll
2010-10-06 13:36 . 2010-10-06 13:36	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-10-06 13:23 . 2010-10-06 13:23	5717428	----a-w-	c:\program files\Setup-SopCast-3.2.9.exe
2010-09-30 00:38 . 2010-09-30 00:38	--------	d-----w-	c:\documents and settings\Nathalie\Application Data\OpenOffice.org
2010-09-30 00:32 . 2010-10-26 02:50	--------	d-----w-	c:\program files\OpenOffice.org 3
2010-09-30 00:32 . 2010-10-26 02:54	--------	d-----w-	c:\program fileseadmes
2010-09-30 00:32 . 2010-10-26 02:42	--------	d-----w-	c:\program files\licenses
2010-09-30 00:32 . 2010-09-30 00:32	--------	d-----w-	c:\program filesedist
2010-09-29 23:41 . 2010-09-30 00:13	134946144	----a-w-	c:\program files\OOo_3.2.1_Win_x86_install_fr(2).exe
2010-09-29 22:48 . 2010-09-29 22:58	--------	d-----w-	c:\documents and settings\Nathalie\Application Data\GenJ3
2010-09-26 19:24 . 2010-09-27 00:20	--------	d-----w-	c:\program files\eMule

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-24 07:00 . 2009-12-04 00:08	5427	----a-w-	c:\windows\system32\EGATHDRV.SYS
2010-09-18 19:23 . 2006-04-30 06:55	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2006-04-30 06:55	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2006-04-30 06:55	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2006-04-30 06:55	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-09 14:16 . 2006-04-30 06:56	667136	----a-w-	c:\windows\system32\wininet.dll
2010-09-09 14:16 . 2006-04-30 06:56	61952	----a-w-	c:\windows\system32	dc.ocx
2010-09-09 14:16 . 2006-04-30 06:55	81920	----a-w-	c:\windows\system32\ieencode.dll
2010-09-08 16:49 . 2006-04-30 06:55	369664	----a-w-	c:\windows\system32\html.iec
2010-09-07 15:12 . 2010-09-07 02:22	38848	----a-w-	c:\windows\avastSS.scr
2010-09-07 15:11 . 2010-03-08 05:48	167592	----a-w-	c:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2010-03-08 05:48	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2010-03-08 05:48	165584	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2010-03-08 05:48	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2010-03-08 05:48	100176	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-09-07 14:47 . 2010-03-08 05:48	94544	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-09-07 14:47 . 2010-03-08 05:48	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-09-07 14:46 . 2010-03-08 05:48	28880	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-09-01 11:51 . 2006-04-30 06:55	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-08-31 13:42 . 2006-04-30 06:55	1852800	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 08:02 . 2006-04-30 06:56	119808	----a-w-	c:\windows\system32	2embed.dll
2010-08-27 05:57 . 2006-04-30 06:55	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-26 13:39 . 2006-04-30 06:55	357248	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-26 12:52 . 2010-03-08 16:04	5120	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-23 16:12 . 2006-04-30 06:55	617472	----a-w-	c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2006-04-30 06:55	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-16 08:45 . 2006-04-30 06:55	590848	----a-w-	c:\windows\system32pcrt4.dll
2010-05-25 08:15 . 2010-05-25 08:15	3097088	----a-w-	c:\program files\openofficeorg32.msi
.

(((((((((((((((((((((((((((((   SnapShot@2010-10-26_04.20.54   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-26 18:07 . 2010-10-26 18:07	16384              c:\windows\Temp\Perflib_Perfdata_3a8.dat
+ 2010-10-26 18:07 . 2010-10-26 18:07	16384              c:\windows\Temp\Perflib_Perfdata_348.dat
+ 2009-12-04 00:37 . 2010-10-26 18:08	3216              c:\windows\system32\encobject.dat
- 2009-12-04 00:37 . 2010-10-26 04:20	3216              c:\windows\system32\encobject.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-06 2260480]
"Google Update"="c:\documents and settings\Nathalie\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-08-26 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-05-25 151552]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-02-23 237568]
"TpShocks"="TpShocks.exe" [2006-03-16 106496]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-07-25 94208]
"TP4EX"="tp4ex.exe" [2005-10-17 65536]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-07-25 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-07-25 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-07-25 118784]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-03-08 30192]
"LPManager"="c:\progra~1\THINKV~2\PrdCtr\LPMGR.exe" [2006-07-04 110592]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-02-02 122940]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-07-28 81920]
"AwaySch"="c:\program files\Lenovo\AwayTask\AwaySch.EXE" [2006-08-16 69632]
"TVT Scheduler Proxy"="c:\program files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"DiskeeperSystray"="c:\program files\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-19 196696]
"ACWLIcon"="c:\program files\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-12-25 110592]
"PDService.exe"="c:\program files\Lenovo\SafeGuard PrivateDisk\pdservice.exe" [2006-03-14 41472]
"cssauth"="c:\program files\Lenovo\Client Security Solution\cssauth.exe" [2006-07-15 2341632]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"Message Center Plus"="c:\program files\LENOVO\Message Center Plus\MCPLaunch.exe" [2009-05-28 49976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Administrator\Start Menu\Programs\Startup\
nucuvi.exe [2010-10-26 212992]

c:\documents and settings\Nathalie\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2009-12-3 24576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\ACNotify]
 [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\AwayNotify]
2006-08-16 17:07	49152	----a-w-	c:\program files\Lenovo\AwayTask\AwayNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\NavLogon]
 [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\psfus]
2006-04-26 03:20	40448	----a-w-	c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	pfnf2]
2005-07-05 14:45	28672	----a-w-	c:\windows\system32
otifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	photkey]
2005-11-30 11:16	24576	----a-w-	c:\windows\system32	phklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli psqlpwd

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\eMule\emule.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [07/03/2010 22:48 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [07/03/2010 22:48 17744]
R2 PrivateDisk;PrivateDisk;c:\program files\Lenovo\SafeGuard PrivateDisk\privatediskm.sys [13/03/2006 17:05 58368]
R2 smi2;smi2;c:\program files\SMI2\smi2.sys [14/07/2006 16:55 3968]
R2 smihlp;SMI helper driver;c:\program files\ThinkVantage Fingerprint Software\smihlp.sys [25/04/2006 20:00 3456]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [03/12/2009 16:58 30192]
.
Contents of the 'Scheduled Tasks' folder

2010-10-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2766004825-4238936734-3186031441-1005Core.job
- c:\documents and settings\Nathalie\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-08-26 02:55]

2010-10-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2766004825-4238936734-3186031441-1005UA.job
- c:\documents and settings\Nathalie\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-08-26 02:55]

2010-10-26 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2009-12-03 16:13]

2009-12-04 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2009-12-04 01:32]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://uk.ask.com?o=15007&l=dis
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: &Google Search - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
IE: &Translate English Word - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: Backward Links - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
IE: Similar Pages - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Translate Page into English - c:\program files\Google\GoogleToolbar1.dll/cmtrans.html
FF - ProfilePath - c:\documents and settings\Nathalie\Application Data\Mozilla\Firefox\Profiles\mbwr0ajl.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.co.uk/webhp?hl=en&num=10&lr=&cr=&safe=images
FF - plugin: c:\documents and settings\Nathalie\Local Settings\Application Data\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHANS REMOVED - - - -

AddRemove-Windows Media Format Runtime - c:\program files\Windows Media Player\wmsetsdk.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-26 11:19
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1380)
c:\windows\system32	vt_gina.dll
c:\program files\Lenovo\Client Security Solution\css_gina_plugin.dll
c:\program files\Lenovo\Client Security Solution\css_wait_bar.dll
c:\program files\Lenovo\Client Security Solution\cssuserdatadispatcher.dll
c:\program files\Lenovo\Client Security Solution\csswait.dll
c:\program files\Common Files\Lenovo	vt_banner.dll
c:\program files\Lenovo\Client Security Solution\cssdlgpwentry.dll
c:\program files\Lenovo\Client Security Solution\dlganswerprompt.dll
c:\program files\Lenovo\Client Security Solution	vttsp.dll
c:\program files\Lenovo\Client Security Solution	csrpc.dll
c:\program files\Common Files\Lenovo	vt_res.dll
c:\program files\ThinkVantage Fingerprint Software\pscssint.dll
c:\program files\ThinkVantage Fingerprint Software\infra.dll
c:\program files\ThinkVantage Fingerprint Software\VTI.DLL
c:\windows\system32\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll
c:\windows\system32\biologon.dll
c:\program files\ThinkVantage Fingerprint Software\homepass.dll
c:\program files\ThinkVantage Fingerprint Software\bio.dll
c:\program files\ThinkVantage Fingerprint Softwareemote.dll
c:\program files\ThinkVantage Fingerprint Software\ps2css.dll
c:\windows\system32	phklock.dll
c:\program files\Lenovo\AwayTask\AwayNotify.dll

- - - - - - - > 'lsass.exe'(1436)
c:\windows\system32\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\infra.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll
.
Completion time: 2010-10-26  11:20:35
ComboFix-quarantined-files.txt  2010-10-26 18:20
ComboFix2.txt  2010-10-26 04:24

Pre-Run: 71,839,748,096 bytes free
Post-Run: 71,831,625,728 bytes free

- - End Of File - - 1687B517AC812A2D0610EF93066D1570

moment de grace · Answer

ok

ces rapports ne montrent plus vraiment d'infection

1)
Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


c:\documents and settings\Administrator\Start Menu\Programs\Startup\ nucuvi.exe


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

.......................

2)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

........................

3)


DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

Scalonaf · Answer

Bon j'ai fait ce qu'il fallait et a priori comme tu dis ca semble bon j'ai refait un scan mBAM il n'a rien trouve et les applications n'ont plus l'air de tourner sans mon accord, avast ne bloque plus de virus a tout bout de champ.
Ca m'a donc l'air d'etre ok a present.
Entre combofix, ADremover et zhpDiag ca fait beaucoup de programmes telecharges, dois-je les garder sur mon disque dur a ton avis ( ca ne prend pas enormement de place de toute maniere)

Encore merci pour ton aide

moment de grace · Answer

poste moi les rapport stp

- le lien Virus Total
- Ad Remover
- Kikllem

pour les outils, je m'en occuperai ensuite

Bah gestionnaire · Answer

Bon. j'étais la cible du même problème, et je n'ai pas pu le résoudre que par un formatage de disque ..

il se peut que Avast était le sujet de cette attaque car après l'installation d'autre virus, le problème est résolu ...

Scalonaf · Answer

Le rapport ADremover:

======= REPORT FROM AD-REMOVER 2.0.0.2,B | ONLY XP/VISTA/7 =======

Updated by TeamXscript on 25/10/10 at 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 12:37:37 on 26/10/2010, Normal boot

Microsoft Windows XP Professional Service Pack 3 (X86) 
Nathalie@ZORBA ( ) 
 
============== ACTION(S) ==============


File deleted: C:\Documents and Settings\Nathalie\Application Data\Mozilla\FireFox\Profiles\mbwr0ajl.default\searchplugins\askcom.xml

(!) -- Temporary files deleted.


-- File opened: C:\Documents and Settings\Nathalie\Application Data\Mozilla\FireFox\Profiles\mbwr0ajl.default\Prefs.js --
Line deleted:  
Line deleted:  
Line deleted: user_pref("browser.search.defaultengine", "Ask.com"); 
Line deleted: user_pref("browser.search.defaultenginename", "Ask.com"); 
Line deleted: user_pref("browser.search.order.1", "Ask.com"); 
-- File closed --
 

Key deleted: HKLM\Software\Classes\CLSID\{47C6C527-6204-4F91-849D-66E234DEE015}
Key deleted: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
Key deleted: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
Key deleted: HKLM\Software\Classes\CLSID\{9461b922-3c5a-11d2-bf8b-00c04fb93661}
Key deleted: HKLM\Software\Classes\CLSID\{B791A095-A4AC-4312-8894-5B7E8FF5B3CD}
Key deleted: HKLM\Software\Classes\TypeLib\{ECA4E801-17AE-4863-9F5C-AF4047AABEE0}
Key deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}


============== ADDITIONNAL SCAN ==============

** Mozilla Firefox Version [3.6.11 (en-US)] **

-- C:\Documents and Settings\Nathalie\Application Data\Mozilla\FireFox\Profiles\mbwr0ajl.default\Prefs.js --
browser.download.lastDir, C:\WINDOWS\twain_32
browser.search.selectedEngine, Google
browser.startup.homepage, hxxp://www.google.co.uk/webhp?hl=en&num=10&lr=&cr=&safe=images
browser.startup.homepage_override.mstone, rv:1.9.2.11

========================================

** Internet Explorer Version [6.0.2900.5512] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 1 File(s)
C:\Program Files\Ad-Remover\Backup: 14 File(s)

C:\Ad-Report-CLEAN[1].txt - 26/10/2010 (992 Byte(s)) 

End at: 12:38:12, 26/10/2010 
 
============== E.O.F ============== 

Je ne trouve pas le lien virustotal par contre via panneau de configuration, je peux par contre copier le rapport et te le transmettre ici?

Scalonaf · Answer

Voila le lien virus total donc

http://www.virustotal.com/file-scan/reanalysis.html?id=a3117731634d8d756bc567a09153753d52ba0e491eb2e4af520789a5c3fd4623-1288181222

et le temps de trouver le rapport Kill'em et je te l'envoie via cijoint

moment de grace · Answer

tu as donc restaurer ton systeme...pas forcement une bonne idée

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Scalonaf · Answer

Non en fait j'ai tente une restauration qui n'a pas marche, j'ai utilise combofix qui semble avoir bien nettoye le disque dur. C'est apres que j'ai cree un nouveau point de restauration.
La c'est juste le probleme java qu'il me faut regler.

Lien pour rapport zhpdiag
http://www.cijoint.fr/cjlink.php?file=cj201010/cijZsmiqbF.txt

J'ai remarque dans le rapport que certaines lignes sont surlignees en bleu, est-ce que c'est pour les eventuels problemes? car une ligne sur Java plugin etait en bleu or c'est justement l'un des problemes restants que je rencontre.

moment de grace · Answer

si tu fais des choses de ton côté, je ne vais rien comprendre

poste le rapport combofix du coup stp

C:\ComboFix.txt

Scalonaf · Answer

Via cijoint ou copie/colle ici?
Ben je n'avais pas trop le choix en fait vu que ma connexion internet avait de gros problemes (crash de mozilla et IE reagissait bizarrement egalement -fixe apres scan de combofix)

Scalonaf · Answer

Ok le voici

http://www.cijoint.fr/cjlink.php?file=cj201010/cijdHWu2XE.txt

Scalonaf · Answer

Que me reste -t-il a faire apres ca?

moment de grace · Answer

effectivement

combofix etait utile

pour JAVA, desinstalle le puis réinstalle le

voici pour desinstaller : 

JavaRa 
http://raproducts.org/click/click.php?id=1

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 

............

puis Ccleaner

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

.............

puis réinstalle JAVA

https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/

Scalonaf · Answer

Ok JavaRa me dit qu'il a supprime toutes les anciennes versions, seulement J'ai toujours le dossier Java dans Mes programmes, c'est normal?

Ci-joint n'accepte pas les fichiers .log, puis-je poster le rapport JavaRa ici?

Est ce que je lance CCleaner en attendant?

moment de grace · Answer

supprime manuellement ce dossier

puis Ccleaner oui

laisse tomber pour le rapport de java

Scalonaf · Answer

Je ne peux pas supprimer le dossier Java:

Error deleting file or folder

Cannot delete jqs.exe:access is denied.

Make sure the disk is not full or write-protected and the file is not currently in use.

J'ai eu ce message a chaque fois que j'ai tente de le supprimer.
Je ne sais absolument pas pkoi je ne peux pas le supprimer

moment de grace · Answer

essaie en mode sans échec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

aide toi de ca éventuellement
https://www.commentcamarche.net/telecharger/utilitaires/22737-unlocker/

Scalonaf · Answer

Ok je vais tenter unlocker.

CCleaner a bien fonctionne sinon.
Encore merci de ta patience

Scalonaf · Answer

Bon j'ai reussi a supprimer le fichier Java de Program Files, seulement il est encore dans ma liste des programmes et refuser d'etre desinstalle 

"fatal error during installation"

Que faire?

moment de grace · Answer

Télécharge OTL de OLDTimer 

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/


enregistre le sur ton Bureau. 

 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer. 

 Coche les 2 cases Lop et Purity 

 Coche la case devant tous les utilisateurs 

 règle age du fichier sur "60 jours" 

 dans la moitié gauche , mets tout sur "tous" 

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

Clic sur Analyse. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 

NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

 Clique sur Parcourir et cherche le fichier ci-dessus. 

Clique sur Ouvrir. 

 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 

est ajouté dans la page. 

 Copie ce lien dans ta réponse. 

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Scalonaf · Answer

Ok voici les liens :

OTL

http://www.cijoint.fr/cjlink.php?file=cj201010/cija6fILTb.txt

Extra

http://www.cijoint.fr/cjlink.php?file=cj201010/cij9GQafTu.txt

moment de grace · Answer

pour java ca semble bon

essaie de le réinstaller par dessus

..........

sais ce qu'il y a ici

C:\Documents and Settings\Nathalie\Application Data\Ogxa  
C:\Documents and Settings\Nathalie\Application Data\Awtye 
C:\Documents and Settings\Nathalie\Application Data\Zucu  
C:\Documents and Settings\Nathalie\Application Data\Ulviqi 

...............

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
ucuvi.exe



Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

Scalonaf · Answer

Ok j'ai affiche le dossiers et fichiers caches je trouve le fichier de rapport ou ca exactement 
Je ne sais pas le genre de nom du fichier a envoyer

EDIT: L'analyse aurait trouve un trojan.win32,generic.SB.0 et un medium risk malware

Scalonaf · Answer

D'apres Prevx  

I686.EXE 
Banking Info Stealer 

Your PC is infected. The file called I686.EXE is considered unsafe and there may be other infections on your PC.

Mais je ne trouve pas le rapport virustotal a t'envoyer

Scalonaf · Answer

Comment transmettre le rapport virustotal??

Scalonaf · Answer

Le voila

http://www.virustotal.com/file-scan/report.html?id=a3117731634d8d756bc567a09153753d52ba0e491eb2e4af520789a5c3fd4623-1288564789

moment de grace · Answer

? Télécharge OTM (OldTimer) sur ton Bureau :  
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/  
? Double-clique sur OTM.exe afin de le lancer.  
? Copie (Ctrl+C) le texte suivant ci-dessous :  



:files  
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
ucuvi.exe 

:commands  
[emptytemp]  
[start explorer]  
[reboot]  


? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.  
? Clique maintenant sur le bouton MoveIt! puis ferme OTM  

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  

? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\  

*Le nom du rapport correspond au moment de sa création : date_heure.log 


CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Scalonaf · Answer

Ok voila le rapport :

All processes killed
========== FILES ==========
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
ucuvi.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Nathalie
->Temp folder emptied: 29307832 bytes
->Temporary Internet Files folder emptied: 37791 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 73491878 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 4931 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2577 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 181553 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 34318 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 98.00 mb
 
 
OTM by OldTimer - Version 3.1.17.2 log created on 10312010_214658

Files moved on Reboot...
File move failed. C:\WINDOWS	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

moment de grace · Answer

ok

reste à me répondre à ca

sais ce qu'il y a ici

C:\Documents and Settings\Nathalie\Application Data\Ogxa
C:\Documents and Settings\Nathalie\Application Data\Awtye
C:\Documents and Settings\Nathalie\Application Data\Zucu
C:\Documents and Settings\Nathalie\Application Data\Ulviqi 

et as tu pu réinstaller JAVA ?

Scalonaf · Answer

En fait ce sont des dossiers caches 
Ogxa est un dossier, lorsque je met le pointeur dessus sans ouvrir car je n'ose pas trop,  
-size 521 bytes 
-File: ysfy.mal 
mal fait penser a malware ^^

Folder Awtye is empy 
Zucu is empty 

et ulviqi fait 644 bytes et le fichier s'appelle pineh.ydz. 
J'ai analyse ces dossiers avec Avast et Mbam, mais ne m'ont rien trouve. 
J'ai quand meme bien envie de les supprimer mais j'attends ton avis

Scalonaf · Answer

Sinon pour Java tjrs le meme probleme mais je vais attendre qu'on ait tout desinfecte avant car c'est arrive au moment de l'infection je diras, alors peut etre qu'une fois que toutes les traces de virus auront disparu ca marchera.
J'en doute un peu car malgre tous les scans et fix qu'on a fait rien n'a change concernant la desintallation de Java.
Mais finissons deja la purge si tu veux bien et on pourra ce concentrer sur java :)

moment de grace · Answer

ok

les 4 dossiers tu les supprimes

pour JAVA, je manque d'idée

..........

fais un scan en ligne ici 

copie colle le rapport final 

http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335

tuto pout t'aider 

https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky#analyse-de-l-ordinateur

Scalonaf · Answer

Et bien je ne peux pas lancer le scan car il me dit: 

Java support by the browser: FALSE

Edit: j'ai relance le telechargement du plugin java, et tenter l'installation mais toujours pareil.

This software has already been installed on your computer. Would you like to reinstall it?

Quand je fais oui, il retente mais il me redit la meme chose.
Pourtant quand je lance une application necessitant java, il me dit 

Votre navigateur n'est pas compatible Java, ou java n'est pas installé sur votre système.

Scalonaf · Answer

La meme chose avec IE.
Bon je dois y aller, seras tu dispo demain apres midi si non pas grave, ca peut attendre du moment que mon systeme soit nickel maintenant.
Merci et a plus

Scalonaf · Answer

Ya t-il moyen de faire un scan afin de verifier que toutes traces de virus ont disparu de mon ordi?
Pour Java et bien je ne sais vraiment pas quel est le probleme

moment de grace · Answer

Eset (Nod32) en ligne 
https://www.eset.com/ 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

Scalonaf · Answer

Bitdefender n'a rien trouve
Le scan panda active scan a trouve pas mal de choses par contre, voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201011/cijgVUrvt5.txt

J'ai tout vire manuellement.
Pour java je ne vois pas, pas d'autres idees?

moment de grace · Answer

ok

on est sur un truc plus grave

1)

désactive la restauration systeme

2)

à partir d'un autre pc si possible télécharges et graves ceci sur un cd    
(gravure d'un iso ou d'une image) 

https://free.drweb.com/aid_admin/
   


redemarrer le pc en mettant le cd DRWEB dans le lecteur    
puis    
redémarrer le pc en bootant sur le cd Dr.Web    
 (si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer du cd ») 


suivre ensuite les indications de l'outil 

aide toi de ce lien 

http://jal.cyber-nux.fr/?p=123

Scalonaf · Answer

Tu crois que ce n'est pas bon? 
Je n'ai plus vraiment de probleme "visiblement", la connexion est impeccable maintenant. 
Le nettoyage a probablement vire pas mal de plugins et d'update mais je pensais remettre a jour lorsque les applications le demandent en fait. 
Donc si tu n'y vois pas d'inconvenient, crois tu que je peux attendre 2-3 jours avant le truc radical que tu preconises et que je refasse un scan complet avec plusieurs outils pour voir l'evolution a ce moment la? 
Si tu penses vraiment que c'est si grave bon ben je ferais ce que tu dis.
J'aurais aime refaire un scan virustotal, mais je ne trouve plus le fichier nucuvi.exe

moment de grace · Answer

ok

plus simple

Téléchargez Dr.Web CureIt! sur ton Bureau : 
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan. 
Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite. 
Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration. 
Choisissez l'onglet Scanner, et décochez Analyse heuristique. 
De retour à la fenêtre principale : choisissez Analyse complète. 
 Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la. 
Cliquez Oui pour Tout si un fichier est détecté. 
A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine. 
Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport. 
Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv. 
Fermez Dr.Web CureIt! 
Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage. 
Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note 

Ensuite : 

Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/ 
Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier 
Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

Scalonaf · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijt1K9Xjy.txt

moment de grace · Answer

ok

que la restauration système infectée..pas de soucis

comment va le pc ?

Scalonaf · Answer

Il se porte bien :)
Qu'entends tu par la restauration systeme infectee?
Car je trouve encore des virus dans c: system volume information, ca en fait partie?
Sinon ben java, toujours pareil je laisse tomber je ne vois pas quoi faire.

moment de grace · Answer

Car je trouve encore des virus dans c: system volume information, ca en fait partie? 

oui..donc ne restaure pas ton pc !

pour java, je coince

peut être se mettre en mode sans echec pour le désinstaller à nouveau 

puis le réinstaller en normal

Cheval de troie en grosse quantite - Page 3

Discussions similaires

Newsletters