A l'aide svp cheval de troie

Résolu
cattivik -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

Voici le soucis que vient de detecter avast suite à un téléchargement sur la mule quelqu'un pourrait il m'aider?
Nom du fichier: C:\Program Files\eMule\Temp\004.part\Setup86_64.exe\D:\xampp\htdocs\bundle\source\MFC_CM_OB_WS_Fun4IM.exe\AutoIt.script

Nom du logiciel malveillant: AutoIt:Downloader-B [Trj]

Avast ne peux le mettre en quarantaine, car il ne trouve pas le dossier spécifié, pour l'instant mon ordi marche normalement mais je ne peux fermer l'alerte Avast et je n'ose pas éteindre l'ordi... j'ai supprimé les fichier du dossier temp d'emule mais je ne veux pas ouvrir D: (recovery) pour aller chercher le fichier Fun4IM

28 réponses

  • 1
  • 2
Résumé de la discussion

Le problème est qu Avast détecte un fichier malveillant AutoIt:Downloader-B [Trj] après un téléchargement via eMule et ne peut pas le mettre en quarantaine faute de dossier spécifié. Plusieurs solutions consistent à relancer un diagnostic ZHPDiag et diffuser le rapport, supprimer les restes d’antivirus et trancher entre Avast et AVG, puis analyser le fichier suspect sur VirusTotal. Certains avis indiquent que le virus a été repéré mais ne se serait pas lancé sans exécution manuelle, préconisant des nettoyages de raccourcis et une réévaluation des risques. En cas d’écran bleu ultérieur, il convient de poursuivre les analyses parallèles avec les outils recommandés et de surveiller l’évolution du système sans supposer une résolution immédiate.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. KarCAroum Messages postés 298 Statut Membre 91
     
    le virus a deja été repéré. s'il n'a pas été lancé manuellemnt pas de crainte à avoir
    2
    1. cattivik
       
      Merci! comment savoir s'il n'a pas été lancé? je le pense cart pour le moment en dehors du fait de ne pouvoir fermer l'alerte d'avast tout semble fonctionner normalement et sans ralentissement, mais je n'ai toujours pas redemarrer mon ordi il est resté allumé....
      0
    2. KarCAroum Messages postés 298 Statut Membre 91
       
      smart a raison d'avoir élargi le diagnostic
      0
  2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Est-ce que tu peux refaire un ZHPdiag et poster le rapport via cijoint

    Smart
    2
    1. cattivik
       
      bien sur tiens le voici! Pfff merci suis désolé que ce soit si long

      http://www.cijoint.fr/cjlink.php?file=cj201012/cijsAbJLBm.txt
      0
    2. cattivik
       
      bonne fin de soirée! Je vais me coucher encore merci et à demain matin
      0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Donc ce n'est pas dû l'action de ZHPFix.
    Est-ce que tu as installé un nouveau périphérique entre temps ou alors un nouveau programme exceptés ceux que je t'ai fait installés

    Smart
    1
    1. cattivik
       
      non rien de nouveau
      0
  4. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va commencer par faire un peu de nettoyage en particumiers au niveau des antivirus. J'aurais dû tye le faire bien avant, car installer plusieurs antivirus c'est source de conflit et de ralentissement de ton PC.
    Tu as:
    - Avast 4 qui n'est pas à jour (On est à la version 5)
    - AVG Antivirus
    - des restes de F-Secure
    - des restes de Norton

    Pour désinstaller Symantec/Norton:
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

    Pour désinstaller F-Secure:
    ftp://ftp.f-secure.com/support/tools/uitool/UninstallationTool.zip

    Ensuite il faut que tu fasses un chois entre AVG et Avast.

    Ensuite tu as énormément de raccourcis sur ton bureau que tu peux supprimer, ainsi que beaucoup de programmes de jeux de poker. Fais attention tous les sites de jeux de Poker en ligne ne sont pas sérieux et installe des malwares

    Ensuite tu vas ceci par rapport aux indications que tu m'as données quand tu as eu l'écran bleu

    Va sur ce site https://www.virustotal.com/gui/
    - Clique sur parcourir
    - Dans nom du fichier colle ce fichier : C:\Users\cattivik\AppData\Local\Temp\catchme.sys
    - Clique sur Send File et puis reanalyze
    - Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport

    Smart
    1
    1. cattivik
       
      bonjour à toi !!

      Bon et bien je fais tout ça...et je te dis
      0
    2. cattivik
       
      voici le lien du rapport:

      http://www.virustotal.com/file-scan/report.html?id=cfeb7eea71896a74faf3e002eab7eacde6f1fbca449e76ea09231b5b5814de1b-1291969791
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Catchme.sys est OK

    Refais un scan ZHpDiag et poste le rapport via cijoint
    Est-ce que tu as eu encore un écrann bleue

    Smart
    1
    1. cattivik
       
      non plus d'écran bleus depuis hier, voici le rapport ZHPDiag

      http://www.cijoint.fr/cjlink.php?file=cj201012/cij5aUScts.txt encore et toujours merci pour ta patience
      0
  7. cattivik
     
    En fermant la fenetre d'avertissement d'avast il semble qu'il en detecte un nouveau :

    C:\Program Files\eMule\Temp\004.part\Setup86_64.exe\D:\xampp\htdocs\bundle\source\MFC_CM_OB_WS_Fun4IM.exe\atlanticim.exe\nsis.hdr

    Nom du logiciel malveillant :NSIS:Downloader-CO [Drp]

    Type de logiciel: dropper

    C:\Program Files\eMule\Temp\004.part\Setup86_64.exe\D:\xampp\htdocs\bundle\source\MFC_CM_OB_WS_Fun4IM.exe\msindex_it.exe\7zip.sfx.script

    Nom: VBS:Malware-gen

    Type: Virus/ver

    Je ne peux pas fermer la fenetre d'avertissement sans déclancher l'alarme avast et ouvrir cette fenetre d avertissement!
    0
  8. KarCAroum Messages postés 298 Statut Membre 91
     
    c'est un script auto it qui est un excellent logiciel pour les admin et installeur sur windows, je trouve inadmissible de faire une virus avec d'ailleurs. bref tu risques rien tant que tu l'as pas lancé
    La mule c'est bien pour le peer to peer légal.
    Rappellons que le peer to peer illégal à éviter et de plus est surveillé.
    0
    1. cattivik
       
      Merci
      0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Le mieux est de fiaire un diagnostic de ton PC/
    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
    1. cattivik
       
      Merci pour ta réponse je fais ça et je te fais passer le rapport... encore merci
      0
    2. cattivik
       
      voilà le lien Smart: encore merci!

      http://www.cijoint.fr/cjlink.php?file=cj201012/cijsMgGRMm.txt
      0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    A la lecture du rapport de ton rapport tu as plusieurs infections sur ton PC,
    A savoir, l'ad-aware Navipromo/Magic Control qui affiche des publicitésintempestives.
    Il s'installe via certains programmes, dont ceux-ci :

    - Funky Emoticons
    - go-astro
    - GoRecord
    - HotTVPlayer / HotTVPlayer & Paris Hilton
    - Live-Player
    - MailSkinner
    - Messenger Skinner
    - Instant Access
    - InternetGameBox
    - Officiale Emule (Version d'Emule modifiée)
    - Original Solitaire
    - SuperSexPlayer
    - Speed Downloading
    - Sudoplanet
    - Webmediaplayer

    Fais attention de ne pas faire la même erreur, donc évite ces programmes

    Préventions rogues:

    Ne pas accepter les fausses alertes de sécurité faisant croire que l'ordinateur est infecté afin de faire télécharger et surtout acheter ces rogues qui sont de faux antivirus ou antispyware
    En effet, ces alertes vous harcèlent afin de vous faire acheter la version "commerciale", et une modification de la page de démarrage pour vous rediriger vers des sites d'alertes ou sites de rogues.

    On va arranger tout cela:
    /!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
    Pour Windows 7: https://www.androidworld.fr/

    - Télécharge Malwarebytes
    - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
    - Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    - L'analyse peut durer un bon moment.....
    - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Ensuite:

    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
    - Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
    - Déconnecte toi et ferme toutes les applications en cours
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Cela fait deux rapports à poster

    Smart
    0
    1. cattivik
       
      c trèsd sympa je vais faire tout celà et te poste les résultats! désolé pour ma réponse tardive mais je ne peux être tout le temps devant l'ordi en ce moment... Merci encore pour ton aide

      Voici le rapport Malwarebytes:

      Malwarebytes' Anti-Malware 1.50
      www.malwarebytes.org

      Version de la base de données: 5263

      Windows 6.0.6002 Service Pack 2
      Internet Explorer 8.0.6001.18975

      08/12/2010 08:31:23
      mbam-log-2010-12-08 (08-31-15).txt

      Type d'examen: Examen complet (C:\|D:\|F:\|)
      Elément(s) analysé(s): 388663
      Temps écoulé: 1 heure(s), 57 minute(s), 9 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 11

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\888pokerfr (Poker) (PUP.Casino.Gen) -> No action taken.
      HKEY_CURRENT_USER\SOFTWARE\RegistryDoktorFrNE (Rogue.RegistryDoctor) -> No action taken.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      c:\microgaming\Poker\888MPP\install.exe (PUP.Casino.Gen) -> No action taken.
      c:\program files\illusion\RapeLay\rapelay +12 trainer.exe (Password.Stealer) -> No action taken.
      c:\program files\illusion\RapeLay\rapelay anti cum trainer.exe (Password.Stealer) -> No action taken.
      c:\Users\cattivik\Desktop\888guestpoker.exe (PUP.Casino.Gen) -> No action taken.
      c:\Users\cattivik\Desktop\888Poker.exe (PUP.Casino.Gen) -> No action taken.
      c:\WINDOWS\System32\nvs2.inf (Adware.EGDAccess) -> No action taken.
      c:\Users\cattivik\local settings\application data\iwboae_nav.dat (Adware.NaviPromo) -> No action taken.
      c:\Users\cattivik\local settings\application data\jpqghjzlv_nav.dat (Adware.NaviPromo) -> No action taken.
      c:\Users\cattivik\local settings\application data\iwboae_navps.dat (Adware.NaviPromo) -> No action taken.
      c:\Users\cattivik\local settings\application data\jpqghjzlv_navps.dat (Adware.NaviPromo) -> No action taken.
      c:\Users\cattivik\local settings\temporary internet files\pse_350_fra.exe (Trojan.Agent) -> No action taken.

      Il ne m'a rien demandé de supprimer au redemarrage mais j'ai toujours pas redémarré mon pc depuis hier.... dois je le faire avant de lancer Ad remover a ton avis? je reste devant le PC cet après midi donc je serais plus réactif merci encore
      0
  11. totobetourne Messages postés 5677 Statut Membre 65
     
    bonjour
    tu colles le rapport avant suppression. as tu bien cliquer sur supprimer?
    colle le rapport apres supression.
    0
    1. cattivik
       
      non je n'ai pas le souvenir qu'il me l'ai prposé je vais le refaire! pour infos je colle les rapports avast en mémoire! je relance malware....

      Rapports avast!

      06/03/2009 08:07:22 SYSTEM 1640 Function setifaceUpdatePackages() has failed. Return code is 0xC0000142, dwRes is C0000142.
      13/03/2009 00:49:44 SYSTEM 1704 Sign of "Win32:Kapucen-B [Wrm]" has been found in "C:\Program Files\eMule\Temp\003.part" file.
      26/04/2009 15:08:26 SYSTEM 1708 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\WINDOWS\System32\conime.exe (C:\WINDOWS\System32\conime.exe) returning error, 00000005.
      27/04/2009 09:26:52 SYSTEM 1708 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\Users\cattivik\AppData\Roaming\Mozilla\Firefox\Profiles\ni7qc2by.default\places.sqlite (C:\Users\cattivik\AppData\Roaming\Mozilla\Firefox\Profiles\ni7qc2by.default\places.sqlite) returning error, 00000005.
      09/05/2009 13:17:32 SYSTEM 1740 Sign of "HTML:Iframe-inf" has been found in "http://www.seekerfeed.com/la.htm" file.
      09/05/2009 13:17:34 SYSTEM 1740 Sign of "HTML:Iframe-inf" has been found in "http://www.seekerfeed.com/la.htm" file.
      10/07/2009 09:28:22 SYSTEM 1636 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
      22/08/2009 23:02:16 SYSTEM 1764 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
      06/09/2009 22:17:52 1536 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
      06/09/2009 22:17:52 1536 An error has occured while attempting to update. Please check the logs.
      23/10/2009 10:33:17 SYSTEM 1736 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\WINDOWS\System32\conime.exe (C:\WINDOWS\System32\conime.exe) returning error, 00000005.
      11/12/2009 20:26:00 SYSTEM 1572 Sign of "VBS:Malware-gen" has been found in "F:\AutoRun.inf" file.
      09/01/2010 19:50:36 SYSTEM 1744 Sign of "Win32:Trojan-gen" has been found in "C:\Program Files\eMule\Temp\004.part\GoBack\Setup.exe" file.
      20/01/2010 07:56:14 SYSTEM 1584 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\WINDOWS\System32\conime.exe (C:\WINDOWS\System32\conime.exe) returning error, 00000005.
      21/01/2010 10:41:03 SYSTEM 1648 Sign of "Win32:Zlob-CQQ [Trj]" has been found in "C:\Users\cattivik\AppData\Local\Temp\Rar$DR02.650\Keygens\AvastKeygen.exe" file.
      21/01/2010 10:41:12 SYSTEM 1648 Sign of "Win32:Keygen-BE [Tool]" has been found in "C:\Users\cattivik\AppData\Local\Temp\Rar$DR02.650\Keygens\keygen.exe\[PECompact]" file.
      21/01/2010 10:42:49 SYSTEM 1648 Sign of "Win32:Zlob-CQQ [Trj]" has been found in "C:\Users\cattivik\AppData\Local\Temp\Rar$EX12.360\Keygens\AvastKeygen.exe" file.
      21/01/2010 10:42:54 SYSTEM 1648 Sign of "Win32:Keygen-BE [Tool]" has been found in "C:\Users\cattivik\AppData\Local\Temp\Rar$EX12.360\Keygens\keygen.exe\[PECompact]" file.
      12/03/2010 15:34:37 SYSTEM 1552 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\Users\cattivik\AppData\Local\Temp\Utherverse\{A125AA53-C1E7-DD04-AD32-65D49C09042E} (C:\Users\cattivik\AppData\Local\Temp\Utherverse\{A125AA53-C1E7-DD04-AD32-65D49C09042E}) returning error, 00000005.
      30/03/2010 17:27:07 SYSTEM 1616 Sign of "Win32:Zlob-CQQ [Trj]" has been found in "C:\Users\cattivik\AppData\Local\Temp\Rar$DR01.971\Keygens\AvastKeygen.exe" file.
      30/03/2010 17:28:11 SYSTEM 1616 Sign of "Win32:Malware-gen" has been found in "C:\Users\cattivik\AppData\Local\Temp\Rar$DR01.971\Keygens\keygen.exe" file.
      30/03/2010 17:28:21 SYSTEM 1616 Sign of "Win32:Zlob-CQQ [Trj]" has been found in "F:\Keygens\AvastKeygen.exe" file.
      30/03/2010 17:29:20 SYSTEM 1616 Sign of "Win32:Zlob-CQQ [Trj]" has been found in "C:\Users\cattivik\AppData\Local\Temp\Rar$EX14.684\Keygens\AvastKeygen.exe" file.
      30/03/2010 17:29:23 SYSTEM 1616 Sign of "Win32:Malware-gen" has been found in "C:\Users\cattivik\AppData\Local\Temp\Rar$EX14.684\Keygens\keygen.exe" file.
      30/03/2010 17:30:13 SYSTEM 1616 Sign of "Win32:Zlob-CQQ [Trj]" has been found in "C:\Users\cattivik\AppData\Local\Temp\Rar$DR00.035\Keygens\AvastKeygen.exe" file.
      30/03/2010 17:30:15 SYSTEM 1616 Sign of "Win32:Malware-gen" has been found in "C:\Users\cattivik\AppData\Local\Temp\Rar$DR00.035\Keygens\keygen.exe" file.
      29/04/2010 15:23:21 SYSTEM 1748 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\Users\cattivik\AppData\Local\Apple Computer\iTunes\Cache.db (C:\Users\cattivik\AppData\Local\Apple Computer\iTunes\Cache.db) returning error, 00000005.
      03/05/2010 10:10:56 SYSTEM 1792 Sign of "HTML:IFrame-NG [Trj]" has been found in "http://maigrirautrement.com/2009/11/rgime-dukan-phase-dattaque/" file.
      11/08/2010 23:54:46 SYSTEM 1684 Function setifaceUpdateFiles() has failed. Return code is 0x20000011, dwRes is 20000011.
      11/08/2010 23:54:46 SYSTEM 1684 An error has occured while attempting to update. Please check the logs.
      19/08/2010 13:19:01 SYSTEM 1664 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
      19/08/2010 13:19:02 SYSTEM 1664 An error has occured while attempting to update. Please check the logs.
      23/08/2010 13:23:47 SYSTEM 1572 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
      23/08/2010 13:23:49 SYSTEM 1572 An error has occured while attempting to update. Please check the logs.
      02/09/2010 10:34:21 SYSTEM 1692 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\Program Files\PKR\cache\pkrui_win.dll-1.tmp (C:\Program Files\PKR\cache\pkrui_win.dll-1.tmp) returning error, 00000005.
      06/10/2010 12:07:32 SYSTEM 1600 Sign of "Win32:Malware-gen" has been found in "C:\Program Files\eMule\Temp\011.part\Install.exe\Install.exe" file.
      10/10/2010 12:26:47 SYSTEM 1672 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\WINDOWS\System32\conime.exe (C:\WINDOWS\System32\conime.exe) returning error, 00000005.
      07/12/2010 18:05:23 SYSTEM 1760 Sign of "Win32:Agent-AMKA [Drp]" has been found in "C:\Program Files\eMule\Temp\003.part\Setup.exe" file.
      07/12/2010 19:54:36 SYSTEM 1760 Sign of "AutoIt:Cleckir-E [Trj]" has been found in "C:\Program Files\eMule\Temp\004.part\Setup86_64.exe\AutoIt.script" file.
      07/12/2010 21:00:21 SYSTEM 1760 Sign of "Win32:Agent-AMBQ [Trj]" has been found in "C:\$RECYCLE.BIN\S-1-5-21-3784866518-2196864130-2446656268-1000\$RI7MBE2.part\patch\crack.exe" file.
      07/12/2010 21:16:21 SYSTEM 1760 Sign of "AutoIt:Downloader-B [Trj]" has been found in "C:\Program Files\eMule\Temp\004.part\Setup86_64.exe\D:\xampp\htdocs\bundle\source\MFC_CM_OB_WS_Fun4IM.exe\AutoIt.script" file.
      07/12/2010 21:59:27 SYSTEM 1760 Sign of "NSIS:Downloader-CO [Drp]" has been found in "C:\Program Files\eMule\Temp\004.part\Setup86_64.exe\D:\xampp\htdocs\bundle\source\MFC_CM_OB_WS_Fun4IM.exe\atlanticim.exe\nsis.hdr" file.
      07/12/2010 22:03:11 SYSTEM 1760 Sign of "VBS:Malware-gen" has been found in "C:\Program Files\eMule\Temp\004.part\Setup86_64.exe\D:\xampp\htdocs\bundle\source\MFC_CM_OB_WS_Fun4IM.exe\msindex_it.exe\7zip.sfx.script" file.
      07/12/2010 22:04:40 SYSTEM 1760 Sign of "VBS:Malware-gen" has been found in "C:\Program Files\eMule\Temp\004.part\Setup86_64.exe\D:\xampp\htdocs\bundle\source\MFC_CM_OB_WS_Fun4IM.exe\msindex_it.exe\config.txt" file.

      la bombe de décompression étant d'hier ceux du 7/12 sont les plus concernés

      A tout de suite après malware
      0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu n'as pas suivi ce qu j'avais dit relance MBAm et surtout fais ceci:
    Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"

    J'ai mis en gras ce qui est important. Et reposte le rapport

    Smart
    0
    1. cattivik Messages postés 8 Statut Membre
       
      ok voilà qui est fait et voici le rapport! désolé pour l'innatention! merci

      Malwarebytes' Anti-Malware 1.50
      www.malwarebytes.org

      Version de la base de données: 5263

      Windows 6.0.6002 Service Pack 2
      Internet Explorer 8.0.6001.18975

      08/12/2010 14:13:54
      mbam-log-2010-12-08 (14-13-53).txt

      Type d'examen: Examen rapide
      Elément(s) analysé(s): 152217
      Temps écoulé: 6 minute(s), 27 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 1
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 8

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\RegistryDoktorFrNE (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      c:\Users\cattivik\Desktop\888guestpoker.exe (PUP.Casino.Gen) -> Quarantined and deleted successfully.
      c:\Users\cattivik\Desktop\888Poker.exe (PUP.Casino.Gen) -> Quarantined and deleted successfully.
      c:\WINDOWS\System32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
      c:\Users\cattivik\local settings\application data\iwboae_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
      c:\Users\cattivik\local settings\application data\jpqghjzlv_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
      c:\Users\cattivik\local settings\application data\iwboae_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
      c:\Users\cattivik\local settings\application data\jpqghjzlv_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
      c:\Users\cattivik\local settings\temporary internet files\pse_350_fra.exe (Trojan.Agent) -> Quarantined and deleted successfully.

      et là effectivement il me demande de redemarrer.... et donc je le fais a tout de suite j'espère
      0
    2. cattivik Messages postés 8 Statut Membre
       
      redémarrage sans soucis apparent je vais donc passer a AD remover
      0
    3. cattivik Messages postés 8 Statut Membre
       
      Scan AD remover très rapide et il ne m'a rien demandé de nettoyer (le bouton nettoyé reste grisé)

      Voici le rapport:

      ======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

      Mis à jour par TeamXscript le 08/12/10 à 10:40
      Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
      Site web: http://www.teamxscript.org

      C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 14:25:14 le 08/12/2010, Mode normal

      Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
      cattivik@BUREAU (Hewlett-Packard HP Pavilion dv9649)

      ============== RECHERCHE ==============


      Fichier trouvé: C:\Users\cattivik\AppData\Local\iwboae.dat
      Dossier trouvé: C:\Programs\PartyGaming
      Fichier trouvé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\PartyPoker.lnk
      Fichier trouvé: C:\Windows\Temp\msksetup.log
      Fichier trouvé: C:\Users\cattivik\AppData\Roaming\Microsoft\Windows\Start Menu\Casino-On-Net.lnk
      Dossier trouvé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Casino-On-Net
      Dossier trouvé: C:\Program Files\CasinoOnNet
      Dossier trouvé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PartyPoker
      Fichier trouvé: C:\Users\Public\Desktop\Everest Poker.fr.lnk
      Fichier trouvé: C:\Users\cattivik\Desktop\PartyPokerFrSetup.exe

      Clé trouvée: HKLM\Software\Classes\Toolbar.CT2438727
      Clé trouvée: HKCU\Software\CasinonetInstaller
      Clé trouvée: HKCU\Software\casinoonnet
      Clé trouvée: HKCU\Software\Grand Virtual
      Clé trouvée: HKCU\Software\Lanconfig
      Clé trouvée: HKCU\Software\pacificpoker
      Clé trouvée: HKCU\Software\PartyGaming
      Clé trouvée: HKCU\Software\pokerinstaller
      Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Casino-On-Net
      Clé trouvée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119EF862C6B3A0D853419B87EB3E2F6C78640A
      Clé trouvée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A
      Clé trouvée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F
      Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}

      Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|iwboae
      Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp
      Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
      Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc


      ============== SCAN ADDITIONNEL ==============

      ** Mozilla Firefox Version [3.6.9 (fr)] **

      -- C:\Users\cattivik\AppData\Roaming\Mozilla\FireFox\Profiles\0z416d2s.default\Prefs.js --
      browser.startup.homepage, hxxp://fr.msn.com/
      browser.search.selectedEngine, Live Search
      browser.startup.homepage, hxxp://fr.msn.com/
      keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
      browser.search.selectedEngine, Live Search
      browser.startup.homepage, hxxp://fr.msn.com/
      keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
      browser.search.selectedEngine, Live Search
      browser.startup.homepage, hxxp://fr.msn.com/
      keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
      browser.search.selectedEngine, Live Search

      ========================================

      ** Internet Explorer Version [8.0.6001.18975] **

      [HKCU\Software\Microsoft\Internet Explorer\Main]
      AutoHide: yes
      Default_Page_URL: hxxp://fr.msn.com/
      Do404Search: 0x01000000
      Enable Browser Extensions: yes
      Local Page: C:\Windows\system32\blank.htm
      Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Show_ToolBar: yes
      Start Page: hxxp://www.sfr.fr/kit/adsl/

      [HKLM\Software\Microsoft\Internet Explorer\Main]
      AutoHide: yes
      Default_Page_URL: hxxp://fr.msn.com/
      Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Delete_Temp_Files_On_Exit: yes
      Local Page: C:\Windows\System32\blank.htm
      Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Start Page: hxxp://fr.msn.com/

      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm

      ========================================

      C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
      C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

      C:\Ad-Report-SCAN[1].txt - 08/12/2010 (4533 Octet(s))

      Fin à: 14:26:02, 08/12/2010

      ============== E.O.F ==============
      0
    4. cattivik Messages postés 8 Statut Membre
       
      on dirait que tout marche normalement! je te remercie beaucoup pour cette précieuse aide, ce soir je relancerai une analyse générale....
      0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Relance AD-Remover et choisis Nettoyage

    Smart
    0
    1. cattivik Messages postés 8 Statut Membre
       
      voilà qui est fait et voici le rapport au redémarrage....

      ======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

      Mis à jour par TeamXscript le 08/12/10 à 10:40
      Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
      Site web: http://www.teamxscript.org

      C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:35:43 le 08/12/2010, Mode normal

      Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
      cattivik@BUREAU (Hewlett-Packard HP Pavilion dv9649)

      ============== ACTION(S) ==============


      Fichier supprimé: C:\Users\cattivik\AppData\Local\iwboae.dat
      Dossier supprimé: C:\Programs\PartyGaming
      Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\PartyPoker.lnk
      Fichier supprimé: C:\Windows\Temp\msksetup.log
      Fichier supprimé: C:\Users\cattivik\AppData\Roaming\Microsoft\Windows\Start Menu\Casino-On-Net.lnk
      Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Casino-On-Net
      Dossier supprimé: C:\Program Files\CasinoOnNet
      Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PartyPoker
      Fichier supprimé: C:\Users\Public\Desktop\Everest Poker.fr.lnk
      Fichier supprimé: C:\Users\cattivik\Desktop\PartyPokerFrSetup.exe

      (!) -- Fichiers temporaires supprimés.


      Clé supprimée: HKLM\Software\Classes\Toolbar.CT2438727
      Clé supprimée: HKCU\Software\CasinonetInstaller
      Clé supprimée: HKCU\Software\casinoonnet
      Clé supprimée: HKCU\Software\Grand Virtual
      Clé supprimée: HKCU\Software\Lanconfig
      Clé supprimée: HKCU\Software\pacificpoker
      Clé supprimée: HKCU\Software\PartyGaming
      Clé supprimée: HKCU\Software\pokerinstaller
      Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Casino-On-Net
      Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119EF862C6B3A0D853419B87EB3E2F6C78640A
      Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A
      Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F
      Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}

      Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|iwboae
      Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp
      Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
      Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc


      ============== SCAN ADDITIONNEL ==============

      ** Mozilla Firefox Version [3.6.9 (fr)] **

      -- C:\Users\cattivik\AppData\Roaming\Mozilla\FireFox\Profiles\0z416d2s.default\Prefs.js --
      browser.startup.homepage, hxxp://fr.msn.com/
      browser.search.selectedEngine, Live Search
      browser.startup.homepage, hxxp://fr.msn.com/
      keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
      browser.search.selectedEngine, Live Search
      browser.startup.homepage, hxxp://fr.msn.com/
      keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
      browser.search.selectedEngine, Live Search
      browser.startup.homepage, hxxp://fr.msn.com/
      keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
      browser.search.selectedEngine, Live Search

      ========================================

      ** Internet Explorer Version [8.0.6001.18975] **

      [HKCU\Software\Microsoft\Internet Explorer\Main]
      AutoHide: yes
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Do404Search: 0x01000000
      Enable Browser Extensions: yes
      Local Page: C:\Windows\system32\blank.htm
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Show_ToolBar: yes
      Start Page: hxxp://fr.msn.com/

      [HKLM\Software\Microsoft\Internet Explorer\Main]
      AutoHide: yes
      Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Delete_Temp_Files_On_Exit: yes
      Local Page: C:\Windows\System32\blank.htm
      Search bar: hxxp://search.msn.com/spbasic.htm
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start Page: hxxp://fr.msn.com/

      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm

      ========================================

      C:\Program Files\Ad-Remover\Quarantine: 5064 Fichier(s)
      C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

      C:\Ad-Report-CLEAN[1].txt - 08/12/2010 (4857 Octet(s))
      C:\Ad-Report-SCAN[1].txt - 08/12/2010 (4662 Octet(s))

      Fin à: 15:38:53, 08/12/2010

      ============== E.O.F ==============
      J'espère que tout est ok et je te remercie encore et encore!
      0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Relance MBAM et vide la quarantaine
    Relance AD-R et choisis "désinstaller"
    Enfin refais un scan ZHPDiag et poste le rapport via cijoint

    Smart
    0
    1. cattivik Messages postés 8 Statut Membre
       
      Et voilà le rapport final ZHP

      http://www.cijoint.fr/cjlink.php?file=cj201012/cij8i56ShB.txt
      0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il reste encore des traces
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu nel'as pas télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------

    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\Registry_Doktor.job
    [MD5.00000000000000000000000000000000] [APT] [Registry_Doktor] (.Pas de propriétaire.) -- C:\Program Files\RegistryDoktor 4.1\RegistryDoktor.exe (.not file.)


    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Ensuite comme tu as une infection USB. Pour ton information flis bien les dossiers ci-dessous:
    Infections par disques amovibles
    Infections par disques amovibles 2

    Et fais ceci:
    - Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    -Clique sur "Recherche"
    - Laisse travailler l'outil
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : "Recherche"

    Cela fait deux rapports à poster

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. cattivik Messages postés 8 Statut Membre
       
      arf désolé que ça te prenne du temps c vraiment sympa! ok voici le rapport ZHPFix après avoir fait le nettoyage:

      Rapport de ZHPFix 6.12.3226 par Nicolas Coolman, Update du 06/12/2010
      Fichier d'export Registre :
      Run by cattivik at 08/12/2010 17:58:06
      Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Fichier(s) ==========
      c:\windows\tasks\registry_doktor.job => Supprimé et mis en quarantaine
      c:\program files\registrydoktor 4.1\registrydoktor.exe (.not file.) => Fichier absent

      ========== Tache planifiée ==========
      Task : Registry_Doktor => Tâche supprimée avec succès


      ========== Récapitulatif ==========
      2 : Fichier(s)
      1 : Tache planifiée


      End of the scan

      et le rapport USBFix:

      ############################## | UsbFix 7.035 | [Recherche]

      Utilisateur: cattivik (Administrateur) # BUREAU [Hewlett-Packard HP Pavilion dv9649]
      Mis à jour le 05/12/10 par El Desaparecido / C_XX
      Lancé à 18:14:23 | 08/12/2010
      Site Web: http://www.teamxscript.org
      Contact: eldesaparecido@teamxscript.org

      CPU: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
      CPU 2: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
      Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
      Internet Explorer 8.0.6001.18975

      Pare-feu Windows: Activé
      Antivirus: AVG 7.5.519 7.5.519 [Enabled | Updated]
      RAM -> 2046 Mo
      C:\ (%systemdrive%) -> Disque fixe # 142 Go (34 Go libre(s) - 24%) [] # NTFS
      D:\ -> Disque fixe # 7 Go (2 Go libre(s) - 31%) [HP_RECOVERY] # NTFS
      E:\ -> CD-ROM
      F:\ -> Disque amovible # 2 Go (268 Mo libre(s) - 14%) [] # FAT
      G:\ -> Disque amovible # 74 Go (8 Go libre(s) - 11%) [IPODHUB] # FAT32
      H:\ -> Disque amovible # 74 Go (8 Go libre(s) - 11%) [IPODHUB] # FAT32

      ################## | Éléments infectieux |


      Présent! C:\tmp

      ################## | Registre |

      Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

      ################## | Mountpoints2 |

      HKCU\.\.\.\.\Explorer\MountPoints2\{2d59d6e0-ab6c-11df-9091-001b2483cd6e}
      Shell\AutoRun\Command = F:\Windows\AutoRun.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{74aed49c-b88c-11de-8a03-001b2483cd6e}
      Shell\AutoRun\Command = H:\LaunchU3.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{cbd3790a-39ce-11df-a9e8-001b2483cd6e}
      Shell\AutoRun\Command = WDSetup.exe


      ################## | Vaccin |

      (!) Cet ordinateur n'est pas vacciné!

      ################## | E.O.F |
      0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK.
    On va faire le nettoyage et la vaccination:
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau
    - Clique sur "Suppression"
    - Laisse travailler l'outil
    - Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    /!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Aide en images : "Nettoyage"

    Smart
    0
    1. cattivik Messages postés 8 Statut Membre
       
      Ok je viens de procéder à la suppression et le rapport leur est bien parvenu sur le site....Dois je faire la vaccination? c vraiment génial ton aide et leurs outils un grand merci encore et toujours lol
      0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Peux-tu poster le rapport d'USBFix après la suppression STP

    Ce n'est pas treminé.

    Smart
    0
    1. cattivik
       
      bien sur le voilà désolé!

      ############################## | UsbFix 7.035 | [Suppression]

      Utilisateur: cattivik (Administrateur) # BUREAU [Hewlett-Packard HP Pavilion dv9649]
      Mis à jour le 05/12/10 par El Desaparecido / C_XX
      Lancé à 20:23:36 | 08/12/2010
      Site Web: http://www.teamxscript.org
      Contact: eldesaparecido@teamxscript.org

      CPU: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
      CPU 2: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
      Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
      Internet Explorer 8.0.6001.18975

      Pare-feu Windows: Activé
      Antivirus: AVG 7.5.519 7.5.519 [Enabled | Updated]
      RAM -> 2046 Mo
      C:\ (%systemdrive%) -> Disque fixe # 142 Go (32 Go libre(s) - 23%) [] # NTFS
      D:\ -> Disque fixe # 7 Go (2 Go libre(s) - 31%) [HP_RECOVERY] # NTFS
      E:\ -> CD-ROM
      F:\ -> Disque amovible # 2 Go (268 Mo libre(s) - 14%) [] # FAT
      G:\ -> Disque amovible # 74 Go (8 Go libre(s) - 11%) [IPODHUB] # FAT32
      H:\ -> Disque amovible # 74 Go (8 Go libre(s) - 11%) [IPODHUB] # FAT32

      ################## | Éléments infectieux |


      Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1638992271-1691765578-3997248754-500
      Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3784866518-2196864130-2446656268-1000
      Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3784866518-2196864130-2446656268-500
      Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3784866518-2196864130-2446656268-1000
      Supprimé! C:\tmp
      Supprimé! G:\autorun.inf

      ################## | Registre |

      Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

      ################## | Mountpoints2 |

      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2d59d6e0-ab6c-11df-9091-001b2483cd6e}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{74aed49c-b88c-11de-8a03-001b2483cd6e}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{cbd3790a-39ce-11df-a9e8-001b2483cd6e}

      ################## | Listing |

      [08/12/2010 - 20:28:19 | SHD ] C:\$RECYCLE.BIN
      [02/03/2008 - 20:56:16 | D ] C:\$VAULT$.AVG
      [26/06/2010 - 17:25:03 | D ] C:\494c720efeef2a5d3c15
      [18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
      [28/09/2009 - 11:21:21 | D ] C:\boot
      [11/04/2009 - 07:36:36 | RASH | 333257] C:\bootmgr
      [12/11/2010 - 13:53:44 | D ] C:\bwinPoker
      [05/12/2010 - 15:54:07 | D ] C:\Config.Msi
      [18/09/2006 - 22:43:37 | N | 10] C:\config.sys
      [06/01/2008 - 18:48:00 | SHD ] C:\Documents and Settings
      [03/02/2008 - 13:18:44 | N | 12592] C:\error.log
      [18/07/2009 - 08:34:22 | D ] C:\Games
      [25/06/2007 - 22:27:14 | D ] C:\HP
      [25/01/2008 - 09:22:08 | N | 194] C:\INSTALL.LOG
      [25/06/2007 - 21:16:38 | D ] C:\Intel
      [18/07/2009 - 08:31:54 | N | 0] C:\IO.SYS
      [30/03/2007 - 12:06:52 | D ] C:\MCPP
      [14/10/2010 - 08:56:44 | D ] C:\Microgaming
      [18/07/2009 - 08:31:54 | N | 0] C:\MSDOS.SYS
      [13/03/2008 - 11:38:02 | RHD ] C:\MSOCache
      [16/01/2010 - 12:24:13 | D ] C:\NVIDIA
      [08/12/2010 - 15:57:20 | ASH | 2459627520] C:\pagefile.sys
      [19/03/2008 - 09:02:11 | D ] C:\PerfLogs
      [08/12/2010 - 16:30:15 | D ] C:\Program Files
      [07/12/2010 - 20:46:31 | HD ] C:\ProgramData
      [20/04/2008 - 10:32:31 | N | 0] C:\ProgramData.LOG1
      [20/04/2008 - 10:32:31 | N | 0] C:\ProgramData.LOG2
      [08/12/2010 - 15:36:49 | D ] C:\Programs
      [15/02/2008 - 18:05:41 | N | 477] C:\RHDSetup.log
      [15/02/2008 - 18:07:37 | D ] C:\SwSetup
      [08/12/2010 - 19:59:53 | SHD ] C:\System Volume Information
      [06/01/2008 - 18:59:43 | D ] C:\System.sav
      [08/12/2010 - 20:28:19 | D ] C:\UsbFix
      [08/12/2010 - 20:23:51 | A | 3403] C:\UsbFix.txt
      [20/04/2008 - 10:32:31 | D ] C:\Users
      [24/11/2010 - 08:54:23 | D ] C:\WINDOWS
      [15/04/2008 - 20:07:05 | N | 146] C:\YServer.txt
      [08/12/2010 - 20:28:19 | SHD ] D:\$RECYCLE.BIN
      [11/09/2005 - 16:18:54 | N | 340] D:\AUTOMODE
      [06/01/2008 - 18:58:02 | N | 13] D:\BLOCK.RIN
      [06/01/2008 - 18:41:44 | D ] D:\boot
      [04/10/2006 - 00:02:44 | SH | 438328] D:\bootmgr
      [03/11/2006 - 20:43:28 | SH | 117] D:\Desktop.ini
      [06/01/2008 - 18:25:48 | N | 0] D:\DRECOVERY
      [10/09/2002 - 17:14:28 | N | 8134] D:\Folder.htt
      [06/01/2008 - 18:41:44 | D ] D:\HP
      [30/11/2007 - 13:10:02 | N | 22] D:\HPCD.sys
      [30/11/2007 - 12:55:24 | N | 760] D:\MASTER.LOG
      [06/01/2008 - 18:41:44 | D ] D:\preload
      [03/11/2005 - 16:19:52 | N | 181736] D:\protect.ed
      [30/11/2007 - 12:17:28 | N | 26] D:\RCBoot.sys
      [06/01/2008 - 18:41:44 | RD ] D:\RECOVERY
      [06/01/2008 - 18:41:44 | D ] D:\SOURCES
      [06/01/2008 - 18:41:44 | SHD ] D:\System Volume Information
      [06/01/2008 - 18:41:44 | D ] D:\Tools
      [30/11/2007 - 12:15:03 | N | 14] D:\USER
      [06/01/2008 - 18:41:44 | D ] D:\WINDOWS
      [17/08/2009 - 18:18:08 | N | 1623552] F:\ak2ifw_update_14_DSL.nds
      [17/08/2009 - 17:56:06 | N | 1623040] F:\ak2ifw_update_14_DSi.nds
      [22/09/2009 - 11:45:52 | N | 611392] F:\akmenu4.nds
      [16/10/2009 - 10:58:30 | D ] F:\DSOrganize
      [16/10/2009 - 10:58:44 | D ] F:\moonshell
      [15/11/2009 - 13:14:44 | N | 2727] F:\need info save to your computer.txt
      [07/11/2009 - 17:15:22 | D ] F:\Nintendo DS apps
      [31/07/2007 - 12:49:54 | N | 24576] F:\R4DS ROM Trimmer 2.0.exe
      [16/10/2009 - 10:59:26 | D ] F:\SNES
      [16/10/2009 - 10:58:48 | D ] F:\system
      [16/10/2009 - 10:59:20 | D ] F:\__aio
      [15/11/2009 - 12:25:04 | D ] F:\Games
      [11/10/2008 - 17:06:00 | N | 467008] F:\OsUp.nds
      [10/10/2008 - 22:17:28 | D ] F:\OsUp
      [01/01/2000 - 02:28:50 | D ] G:\iPod_Control
      [01/01/2000 - 02:28:56 | N | 0] G:\.metadata_never_index
      [08/05/2008 - 04:53:12 | D ] G:\.Trashes
      [01/12/2007 - 19:19:32 | D ] G:\Recordings
      [08/05/2008 - 04:53:12 | N | 4096] G:\._.Trashes
      [08/05/2008 - 04:53:12 | N | 4096] G:\._iPod_Control
      [08/05/2008 - 04:53:16 | N | 41307] G:\.VolumeIcon.icns
      [08/05/2008 - 04:53:16 | N | 4096] G:\._.VolumeIcon.icns
      [22/06/2008 - 16:24:26 | N | 4096] G:\._?
      [25/11/2007 - 14:32:58 | N | 20992] G:\onc jacques.doc
      [06/01/2008 - 16:30:46 | D ] G:\Contacts
      [06/01/2008 - 16:31:04 | D ] G:\Documents
      [06/01/2008 - 16:31:20 | D ] G:\Favorites
      [15/04/2008 - 21:00:38 | D ] G:\Music
      [28/06/2008 - 10:30:44 | D ] G:\Pictures
      [24/12/2007 - 18:24:36 | D ] G:\Fred
      [13/06/2009 - 09:37:22 | D ] G:\Log
      [24/06/2009 - 18:48:10 | D ] G:\téléchargements
      [04/12/2010 - 13:23:24 | D ] G:\Photos
      [06/12/2010 - 16:42:42 | D ] G:\Calendars
      [01/01/2000 - 02:28:50 | D ] H:\iPod_Control
      [01/01/2000 - 02:28:56 | N | 0] H:\.metadata_never_index
      [08/05/2008 - 04:53:12 | D ] H:\.Trashes
      [01/12/2007 - 19:19:32 | D ] H:\Recordings
      [08/05/2008 - 04:53:12 | N | 4096] H:\._.Trashes
      [08/05/2008 - 04:53:12 | N | 4096] H:\._iPod_Control
      [08/05/2008 - 04:53:16 | N | 41307] H:\.VolumeIcon.icns
      [08/05/2008 - 04:53:16 | N | 4096] H:\._.VolumeIcon.icns
      [22/06/2008 - 16:24:26 | N | 4096] H:\._?
      [25/11/2007 - 14:32:58 | N | 20992] H:\onc jacques.doc
      [06/01/2008 - 16:30:46 | D ] H:\Contacts
      [06/01/2008 - 16:31:04 | D ] H:\Documents
      [06/01/2008 - 16:31:20 | D ] H:\Favorites
      [15/04/2008 - 21:00:38 | D ] H:\Music
      [28/06/2008 - 10:30:44 | D ] H:\Pictures
      [24/12/2007 - 18:24:36 | D ] H:\Fred
      [13/06/2009 - 09:37:22 | D ] H:\Log
      [24/06/2009 - 18:48:10 | D ] H:\téléchargements
      [04/12/2010 - 13:23:24 | D ] H:\Photos
      [06/12/2010 - 16:42:42 | D ] H:\Calendars

      ################## | Vaccin |

      C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
      D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
      F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
      G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
      H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

      ################## | Upload |

      Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_BUREAU.zip
      http://www.teamxscript.org/Upload.php
      Merci de votre contribution.

      ################## | E.O.F |
      0
    2. cattivik
       
      Je dois sortir excuse moi! Donc je ne posterai pas avant demaint matin....Je te souhaite une très bonne fin de soirée avec moins de boulets de mon espèce loll Je te dis à demain pour la suite de nos aventures
      0
  18. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    C'est bon. refais un scan ZHPdiag et poste le rapport via cijoint. On a presque terminé.
    Si le rapport ne montre plus rien on passe à la phase finale. il nous reste à faire:
    - les mises à jour prioritaires
    - l'optimisation du PC
    - la désinstallation des outils de désinfection
    - les conseills de prévention quand on surfe sur Internet

    Smart
    0
    1. cattivik
       
      Bonjour et bien c parti!

      voici le rapport:
      http://www.cijoint.fr/cjlink.php?file=cj201012/cijKHbAxHE.txt
      0
  19. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Va sur ce site https://www.virustotal.com/gui/
    - Clique sur parcourir
    - Dans nom du fichier colle ce fichier : c:\users\cattivik\appdata\local\zkfoymk.exe
    - Clique sur Send File et puis reanalyze
    - Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport.

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  20. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Va sur ce site https://www.virustotal.com/gui/
    - Clique sur parcourir
    - Dans nom du fichier colle ce fichier : c:\users\cattivik\appdata\local\zkfoymk.exe
    - Clique sur Send File et puis reanalyze
    - Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport.
    0
    1. cattivik
       
      Il ne me permet pas de coller le lien et en parcourant le chemin que tu m'indiques je ne trouve pas le fichier kfoymk.exe (en faisant rechercher non plus) donc je ne peux leur envoyer par mail non plus
      0
  21. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    En fait tu cliqes sur parcourir, un fenêtre s'ouvre et en bas dans nom du fichier tu colles : c:\users\cattivik\appdata\local\zkfoymk.exe

    Est-ce bien cela que tu fais ?

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. cattivik
       
      oui et au moment de faire ouvrir pour que le site le prenne en compte il me dit que le fichier est introuvable
      0
  • 1
  • 2