Trojan.agent/gen-frauder[startup]?

Résolu
ouha Messages postés 169 Statut Membre -  
 shadi -
Bonjour,

je viens de faire une analyse avec superantispy et il ma détectée sa:trojan.agent/gen-frauder[startup] et 2 comme sa trojan.agent/gen-Alient je n'ai rien touchée encore a la fin du scan je préfére avoir l'avis de quelqu'un.
merci d'avance pour votre aide.

22 réponses

  • 1
  • 2
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    franchement, SuperAntiSpyware (SZAS) est un bon anti Spy.

    Avant d'en lancer un autre :

    - supprimer tout ce qui a été trouvé par SAS

    - mettre le rapport dans une réponse

    - faire redémarrer l'ordi

    - faire ceci (pour avoir un diagnostic) :

    Télécharge la dernière version de ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

    pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur Cijoint

    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    2
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    de rien pour l'aide, ce fut avec plaisir.

    Je ne t'ai même pas demandé si l'ordi allait bien.

    Si tu as un souci, tu réouvre le topic.

    Bon surf.
    1
  3. Utilisateur anonyme
     
    Salut !

    Vu les noms des fichiers suspects, ils sont mauvais...
    Je ne connais pas trop superantispy, mais s'il propose de mettre les fichier en quarantaine, met les : la quarantaine est un dossier créé et surveillé par l'antivirus/spyware, afin de bloquer certains fichier sans les supprimer. Tu pourras les récupérer si nécessaire.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. ouha Messages postés 169 Statut Membre
     
    salut lyonnais92 et merci pour vos réponses rapide j'ai supprimé et redémarrer l'ordi et j'ai lancé ZHPDIAG et voici le lien du rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201012/cij3TMeokO.txt
    0
  6. ouha Messages postés 169 Statut Membre
     
    Désolée je vais au dodo je finirais demain matin.En tous qu'à merci a vous et bonne soirée .
    0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    j'aurai bien aimé avoir le rapport de SuperAntiSpyware.

    ===

    Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

    R3 - URLSearchHook: setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Setuprog\tbSetu.dll
    R3 - URLSearchHook: setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Setuprog\tbSetu.dll
    O2 - BHO: setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Setuprog\tbSetu.dll
    O3 - Toolbar: setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Setuprog\tbSetu.dll
    [HKCU\Software\AppDataLow\Software\Conduit]
    [HKCU\Software\AppDataLow\Software\Setuprog]
    [HKLM\Software\Conduit]
    [HKLM\Software\Setuprog]
    O43 - CFD: 09/05/2010 - 18:38:42 ----D- C:\Program Files\Conduit
    O43 - CFD: 21/12/2010 - 13:39:18 ----D- C:\Program Files\Setuprog
    O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} [DefaultScope] - (Setuprog Customized Web Search) - http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2552113
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole1079455854209924744.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole1128825183365888524.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole1171869860916207466.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole1229699628573340391.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole155357060784729409.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole1661162698601294896.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole1744419834084819637.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole1795832861969970391.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole2130244352427019148.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole2428686907520277069.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole2535652799390431290.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole2926117872302130392.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole3004087278830377590.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole3153930381117286568.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole3307595774939775094.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole3474459079887423192.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole3539845386567075060.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole3719250873825932475.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole3867378425978297011.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole4290185691441510959.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole434839612975997069.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole4561759027372179764.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole4978337251782350075.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole5020168809249436381.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole5106007409170763432.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole5145596238602503523.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole5302650379829413371.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole5765181948177482091.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole5868529099436529084.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole6400994990022929531.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole6769954813936739376.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole6799778301423733042.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole6837608922814967976.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole6938365939362737561.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole6986517718183212432.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole6991429695924696804.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole7107082208254797318.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole7477824908790696426.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole7601888084208898724.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole7901026038481813370.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole8000150475350079093.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole8252358578676305885.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole8298658883305447934.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole8552807548606488058.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole8691706458385362559.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole8770182766542063066.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole8983889240161130204.dll   [43520]
    [MD5.22736CB1C85CD187A2419F0E55DEBBF7] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Local\Temp\proxy_vole9185547124460288485.dll   [43520]
    [MD5.DE633B760309664B5DF356A894982CB5] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Yahya\AppData\Roaming\QNVW601P.dll   [16]


    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

    Clique sur "Tous" puis sur "Nettoyer".

    Laisse l'outil travailler.

    Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

    Le rapport d'exécution va apparaître dans la fenêtre.

    Copie le dans ta réponse.

    0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    ensuite,

    ->Affiche tous les fichiers et dossiers :
    clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

    [Coche] « afficher les dossiers et fichiers cachés »

    [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

    [Décoche] « masquer les extensions dont le type est connu »

    Puis fais [appliquer] pour valider les changements.

    Et [Ok]

    Clique sur parcourir et cherche ce fichier :C:\Windows\System32\SYSTEM

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

    Fais de même avec

    C:\Windows\System32\bscs.ini

    C:\Windows\System32\LOCALSERVICE.INI
    0
  9. ouha Messages postés 169 Statut Membre
     
    re,
    je fait tous ce que tu me dit et je reviens.Mais je n'ai pas de presse papier sous 7 je peu faire une capture d'écran ou autre chose, ou peu etre que je me trompe?Je les ai mis sur le bloc notes au formats TXT.
    0
  10. ouha Messages postés 169 Statut Membre
     
    re, voila le rapport de SuperAntiSpyware mais il faudrait que tu me dise pour le presse papiers je suis sous windows 7 :

    SUPERAntiSpyware Scan Log
    https://www.superantispyware.com/

    Generated 12/21/2010 at 10:43 PM

    Application Version : 4.34.1000

    Core Rules Database Version : 6049
    Trace Rules Database Version: 3861

    Scan type : Complete Scan
    Total Scan Time : 00:20:59

    Memory items scanned : 775
    Memory threats detected : 0
    Registry items scanned : 6764
    Registry threats detected : 0
    File items scanned : 25797
    File threats detected : 36

    Adware.Tracking Cookie
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@vdwp.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@imrworldwide[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@tradedoubler[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@doubleclick[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@samsung.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@t.bbtrack[1].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@diesel2010.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@bnpparibasnet.solution.weborama[3].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@weborama[1].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@atdmt[1].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@bmw2.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@cnam.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@zanox[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@fnacmagasin.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@msnportal.112.2o7[1].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@cofidis2.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@allianz2.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@smartadserver[3].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@lorealparis2010.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@gemey2010.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@mediaplex[4].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@serving-sys[3].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@bouyguestelecom.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@sfr.solution.weborama[3].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@bs.serving-sys[1].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@apmebf[1].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@mediaplex[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@bnpparibasnet.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@mediaplex[3].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@smartadserver[1].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@serving-sys[1].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@sfr.solution.weborama[2].txt
    C:\Users\Yahya\AppData\Roaming\Microsoft\Windows\Cookies\yahya@apmebf[2].txt

    Trojan.Agent/Gen-Alient
    C:\PROGRAM FILES\SATSUKI DECODER PACK\CPL\SDPCPL.EXE
    C:\USERS\YAHYA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\SATSUKI DECODER PACK\CONFIGURATION.LNK

    Trojan.Agent/Gen-Frauder[Startup]
    C:\USERS\PUBLIC\DESKTOP\EXTRA\VISUEL\BUREAU\CTRL+ALT+N & CTRL+ALT+M.EXE
    0
  11. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    pour le Presse-papier, c'est automatique :

    Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C) .

    Ca se fait quand tu fais Ctrl et C.
    0
  12. ouha Messages postés 169 Statut Membre
     
    re, le rapport ZHPFIX:
    Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-22-12-2010-21-08-14.txt
    Run by Yahya at 22/12/2010 21:08:13
    Windows 7 Ultimate Edition, 32-bit (Build 7600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Module(s) mémoire ==========
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole1079455854209924744.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole1128825183365888524.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole1171869860916207466.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole1229699628573340391.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole155357060784729409.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole1661162698601294896.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole1744419834084819637.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole1795832861969970391.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole2130244352427019148.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole2428686907520277069.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole2535652799390431290.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole2926117872302130392.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole3004087278830377590.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole3153930381117286568.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole3307595774939775094.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole3474459079887423192.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole3539845386567075060.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole3719250873825932475.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole3867378425978297011.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole4290185691441510959.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole434839612975997069.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole4561759027372179764.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole4978337251782350075.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole5020168809249436381.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole5106007409170763432.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole5145596238602503523.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole5302650379829413371.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole5765181948177482091.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole5868529099436529084.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole6400994990022929531.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole6769954813936739376.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole6799778301423733042.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole6837608922814967976.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole6938365939362737561.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole6986517718183212432.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole6991429695924696804.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole7107082208254797318.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole7477824908790696426.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole7601888084208898724.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole7901026038481813370.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole8000150475350079093.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole8252358578676305885.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole8298658883305447934.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole8552807548606488058.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole8691706458385362559.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole8770182766542063066.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole8983889240161130204.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Local\Temp\proxy_vole9185547124460288485.dll [43520] => Supprimé et mis en quarantaine
    C:\Users\Yahya\AppData\Roaming\QNVW601P.dll [16] => Supprimé et mis en quarantaine

    ========== Clé(s) du Registre ==========
    [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}] => Clé supprimée avec succès
    [HKCR\CLSID\{f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5}] => Clé supprimée avec succès
    O2 - BHO: setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Setuprog\tbSetu.dll => Clé supprimée avec succès
    HKCU\Software\AppDataLow\Software\Conduit => Clé supprimée avec succès
    HKCU\Software\AppDataLow\Software\Setuprog => Clé supprimée avec succès
    HKLM\Software\Conduit => Clé supprimée avec succès
    HKLM\Software\Setuprog => Clé supprimée avec succès
    O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} [DefaultScope] - (Setuprog Customized Web Search) - http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2552113 => Clé absente

    ========== Valeur(s) du Registre ==========
    R3 - URLSearchHook: setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Setuprog\tbSetu.dll => Valeur supprimée avec succès
    O3 - Toolbar: setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Setuprog\tbSetu.dll => Valeur supprimée avec succès

    ========== Dossier(s) ==========
    C:\Program Files\Conduit => Supprimé et mis en quarantaine
    C:\Program Files\Setuprog => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\program files\setuprog\tbsetu.dll => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    49 : Module(s) mémoire
    8 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    2 : Dossier(s)
    1 : Fichier(s)

    End of the scan
    0
  13. ouha Messages postés 169 Statut Membre
     
    Ici tu me demande sa :Clique sur parcourir et cherche ce fichier :C:\Windows\System32\SYSTEM , c'est ou que je clique sur parcourir.
    0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    juste question. Deux ligne a sauté dans la recopie.

    ->Affiche tous les fichiers et dossiers :
    clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

    [Coche] « afficher les dossiers et fichiers cachés »

    [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

    [Décoche] « masquer les extensions dont le type est connu »

    Puis fais [appliquer] pour valider les changements.

    Et [Ok]

    Rends toi sur ce site :

    https://www.virustotal.com/gui/


    Clique sur parcourir et cherche ce fichier :C:\Windows\System32\SYSTEM

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

    Fais de même avec

    C:\Windows\System32\bscs.ini

    C:\Windows\System32\LOCALSERVICE.INI
    0
  15. ouha Messages postés 169 Statut Membre
     
    Re, Voila le premier:C:\Windows\System32\SYSTEM
    [i]Antivirus results[/i]
    AhnLab-V3 - 2010.12.23.01 - 2010.12.22 - -
    AntiVir - 7.11.0.144 - 2010.12.22 - -
    Antiy-AVL - 2.0.3.7 - 2010.12.22 - -
    Avast - 4.8.1351.0 - 2010.12.22 - -
    Avast5 - 5.0.677.0 - 2010.12.22 - -
    AVG - 9.0.0.851 - 2010.12.22 - -
    BitDefender - 7.2 - 2010.12.22 - -
    CAT-QuickHeal - 11.00 - 2010.12.22 - -
    ClamAV - 0.96.4.0 - 2010.12.22 - -
    Command - 5.2.11.5 - 2010.12.22 - -
    Comodo - 7152 - 2010.12.22 - -
    DrWeb - 5.0.2.03300 - 2010.12.22 - -
    eSafe - 7.0.17.0 - 2010.12.22 - -
    eTrust-Vet - 36.1.8055 - 2010.12.22 - -
    F-Prot - 4.6.2.117 - 2010.12.22 - -
    F-Secure - 9.0.16160.0 - 2010.12.22 - -
    Fortinet - 4.2.254.0 - 2010.12.21 - -
    GData - 21 - 2010.12.22 - -
    Ikarus - T3.1.1.90.0 - 2010.12.22 - -
    Jiangmin - 13.0.900 - 2010.12.22 - -
    K7AntiVirus - 9.74.3319 - 2010.12.22 - -
    Kaspersky - 7.0.0.125 - 2010.12.22 - -
    McAfee - 5.400.0.1158 - 2010.12.22 - -
    McAfee-GW-Edition - 2010.1C - 2010.12.22 - -
    Microsoft - 1.6402 - 2010.12.22 - -
    NOD32 - 5726 - 2010.12.22 - -
    Norman - 6.06.12 - 2010.12.22 - -
    nProtect - 2010-12-22.01 - 2010.12.22 - -
    Panda - 10.0.2.7 - 2010.12.22 - -
    PCTools - 7.0.3.5 - 2010.12.22 - -
    Prevx - 3.0 - 2010.12.22 - -
    Rising - 22.79.01.04 - 2010.12.22 - -
    Sophos - 4.60.0 - 2010.12.22 - -
    SUPERAntiSpyware - 4.40.0.1006 - 2010.12.22 - [color=red]Trojan.Agent/Gen--o[Micro] [/color]
    Symantec - 20101.3.0.103 - 2010.12.22 - -
    TheHacker - 6.7.0.1.104 - 2010.12.21 - -
    TrendMicro - 9.120.0.1004 - 2010.12.22 - -
    TrendMicro-HouseCall - 9.120.0.1004 - 2010.12.22 - -
    VBA32 - 3.12.14.2 - 2010.12.21 - -
    VIPRE - 7763 - 2010.12.22 - -
    ViRobot - 2010.12.22.4214 - 2010.12.22 - -
    VirusBuster - 13.6.108.0 - 2010.12.22 - -
    [i]File info:[/i]
    MD5: 5c213961842b4fe51b4f5915e6fb0082
    SHA1: 6c036efbeb8216d85fbc252ebb95013500bc0103
    SHA256: 25da098c7af900c50840e64452a61b460cb72842b577919425bee95708fbc685
    File size: 20 bytes
    Scan date: 2010-12-22 21:41:24 (UTC)
    0
  16. ouha Messages postés 169 Statut Membre
     
    le deuxième:C:\Windows\System32\bscs.ini

    [i]Antivirus results/i
    AhnLab-V3 - 2010.12.23.01 - 2010.12.22 - -
    AntiVir - 7.11.0.144 - 2010.12.22 - -
    Antiy-AVL - 2.0.3.7 - 2010.12.22 - -
    Avast - 4.8.1351.0 - 2010.12.22 - -
    Avast5 - 5.0.677.0 - 2010.12.22 - -
    AVG - 9.0.0.851 - 2010.12.22 - -
    BitDefender - 7.2 - 2010.12.22 - -
    CAT-QuickHeal - 11.00 - 2010.12.22 - -
    ClamAV - 0.96.4.0 - 2010.12.22 - -
    Command - 5.2.11.5 - 2010.12.22 - -
    Comodo - 7152 - 2010.12.22 - -
    DrWeb - 5.0.2.03300 - 2010.12.22 - -
    Emsisoft - 5.1.0.1 - 2010.12.22 - -
    eSafe - 7.0.17.0 - 2010.12.22 - -
    eTrust-Vet - 36.1.8055 - 2010.12.22 - -
    F-Prot - 4.6.2.117 - 2010.12.22 - -
    F-Secure - 9.0.16160.0 - 2010.12.22 - -
    Fortinet - 4.2.254.0 - 2010.12.21 - -
    GData - 21 - 2010.12.22 - -
    Ikarus - T3.1.1.90.0 - 2010.12.22 - -
    Jiangmin - 13.0.900 - 2010.12.22 - -
    K7AntiVirus - 9.74.3319 - 2010.12.22 - -
    Kaspersky - 7.0.0.125 - 2010.12.22 - -
    McAfee - 5.400.0.1158 - 2010.12.22 - -
    McAfee-GW-Edition - 2010.1C - 2010.12.22 - -
    Microsoft - 1.6402 - 2010.12.22 - -
    NOD32 - 5726 - 2010.12.22 - -
    Norman - 6.06.12 - 2010.12.22 - -
    nProtect - 2010-12-22.01 - 2010.12.22 - -
    Panda - 10.0.2.7 - 2010.12.22 - -
    PCTools - 7.0.3.5 - 2010.12.22 - -
    Prevx - 3.0 - 2010.12.22 - -
    Rising - 22.79.01.04 - 2010.12.22 - -
    Sophos - 4.60.0 - 2010.12.22 - -
    SUPERAntiSpyware - 4.40.0.1006 - 2010.12.22 - -
    Symantec - 20101.3.0.103 - 2010.12.22 - -
    TheHacker - 6.7.0.1.104 - 2010.12.21 - -
    TrendMicro - 9.120.0.1004 - 2010.12.22 - -
    TrendMicro-HouseCall - 9.120.0.1004 - 2010.12.22 - -
    VBA32 - 3.12.14.2 - 2010.12.21 - -
    VIPRE - 7763 - 2010.12.22 - -
    ViRobot - 2010.12.22.4214 - 2010.12.22 - -
    VirusBuster - 13.6.108.0 - 2010.12.22 - -
    [i]File info:/i
    MD5: a4747fbeb0a42d99d9b54c995e8fcd61
    SHA1: 5ed0d7d02654575d21981f139b658c9286c89878
    SHA256: 2186d81d8cd794df7d858ac4c47d33c93922b3233a175b9329c91a9019134503
    File size: 1010 bytes
    Scan date: 2010-12-22 21:53:22 (UTC)
    0
  17. ouha Messages postés 169 Statut Membre
     
    le troisième:C:\Windows\System32\LOCALSERVICE.INI
    [i]Antivirus results/i
    AhnLab-V3 - 2010.12.23.01 - 2010.12.22 - -
    AntiVir - 7.11.0.144 - 2010.12.22 - -
    Antiy-AVL - 2.0.3.7 - 2010.12.22 - -
    Avast - 4.8.1351.0 - 2010.12.22 - -
    Avast5 - 5.0.677.0 - 2010.12.22 - -
    AVG - 9.0.0.851 - 2010.12.22 - -
    BitDefender - 7.2 - 2010.12.22 - -
    CAT-QuickHeal - 11.00 - 2010.12.22 - -
    ClamAV - 0.96.4.0 - 2010.12.22 - -
    Command - 5.2.11.5 - 2010.12.22 - -
    Comodo - 7152 - 2010.12.22 - -
    DrWeb - 5.0.2.03300 - 2010.12.22 - -
    Emsisoft - 5.1.0.1 - 2010.12.22 - -
    eSafe - 7.0.17.0 - 2010.12.22 - -
    eTrust-Vet - 36.1.8055 - 2010.12.22 - -
    F-Prot - 4.6.2.117 - 2010.12.22 - -
    F-Secure - 9.0.16160.0 - 2010.12.22 - -
    Fortinet - 4.2.254.0 - 2010.12.21 - -
    GData - 21 - 2010.12.22 - -
    Ikarus - T3.1.1.90.0 - 2010.12.22 - -
    Jiangmin - 13.0.900 - 2010.12.22 - -
    K7AntiVirus - 9.74.3319 - 2010.12.22 - -
    Kaspersky - 7.0.0.125 - 2010.12.22 - -
    McAfee - 5.400.0.1158 - 2010.12.22 - -
    McAfee-GW-Edition - 2010.1C - 2010.12.22 - -
    Microsoft - 1.6402 - 2010.12.22 - -
    NOD32 - 5726 - 2010.12.22 - -
    Norman - 6.06.12 - 2010.12.22 - -
    nProtect - 2010-12-22.01 - 2010.12.22 - -
    Panda - 10.0.2.7 - 2010.12.22 - -
    PCTools - 7.0.3.5 - 2010.12.22 - -
    Prevx - 3.0 - 2010.12.22 - -
    Rising - 22.79.01.04 - 2010.12.22 - -
    Sophos - 4.60.0 - 2010.12.22 - -
    SUPERAntiSpyware - 4.40.0.1006 - 2010.12.22 - -
    Symantec - 20101.3.0.103 - 2010.12.22 - -
    TheHacker - 6.7.0.1.104 - 2010.12.21 - -
    TrendMicro - 9.120.0.1004 - 2010.12.22 - -
    TrendMicro-HouseCall - 9.120.0.1004 - 2010.12.22 - -
    VBA32 - 3.12.14.2 - 2010.12.21 - -
    VIPRE - 7763 - 2010.12.22 - -
    ViRobot - 2010.12.22.4214 - 2010.12.22 - -
    VirusBuster - 13.6.108.0 - 2010.12.22 - -
    [i]File info:/i
    MD5: 9b6e043234b94461f171f42a5b4a052b
    SHA1: d32ea942e376a6026752d9b2705afcf61673ccee
    SHA256: 2da6048f5607ad98f0a88294e27dabaff15c916d2a87e761c400f3554e76d47f
    File size: 6512 bytes
    Scan date: 2010-12-22 21:58:34 (UTC)
    0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Ci-joint.

    Rien dans les fichiers analysés.
    0
  19. ouha Messages postés 169 Statut Membre
     
    Re, voila le lien:
    http://www.cijoint.fr/cjlink.php?file=cj201012/cijPp3K3Z3.txt
    0
  • 1
  • 2