Sujet Précédent Sujet Suivant

Attaque Trojan !besoin d'aide

Résolu/Fermé
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012 - 26 déc. 2010 à 18:12
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 - 9 janv. 2011 à 23:06
Bonsoir,

J'ai un virus (trojan détecté par malwareb en mode sans échec mais toujour là !) ! J'ai maladroitement cliqué sur ce que je croyais être une alerte de mise à jour windows (signe sensiblement identique)
Un scan s'est lancé et en voulant suspendre, plein de mess sont apparus sur mon bureau puis un écran tout noir. Après un passage en mode sans échec, j'ai fait une restoration ce qui me permet d'avoir de nouveau accès à mon bureau mais les problèmes persistent (messages sur des soit disant provenance de windows, erreur DD)
Je me suis alors rendu compte que mon anti virus (mac afee) n'était pas à jour !
J'ai vraiment besoin d'un bon coup de main.
Merci pour celui qui pourra se rendre dispo


A voir également:

51 réponses

Réponse 1 / 51
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
26 déc. 2010 à 19:07
Bonjour

Commençons par faire un diagnostic de ton système pour voir ce qu'il se passe

=> Télécharge ce logiciel: ZHPDiag de Nicolas Coolman
=> clique sur ZHPDiag.exe pour l'installer ! sous vista/win7 => clic droit et "exécuter en tant qu'administrateur !
=> Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
=> Clique ensuite sur l'icône représentant une loupe (« Lancer le diagnostic »)
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
=> Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

note: si le fichier est trop" lourd" tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr

1
Réponse 2 / 51
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
26 déc. 2010 à 23:41
il y a encore des traces du trojan vundo , d'un Adware et d'une toolbar sur cet ordinateur
tu vas faire un scan avec MBAM à jour et me montrer le rapport

mets à jour ton malwarebytes en cliquant sur l'onglet mise à jour et rechercher des mises à jour et ensuite fais ceci en mode normal:

=> Lance une analyse complète en cliquant sur "Exécuter un examen complet"
=> Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
=> L'analyse peut durer un bon moment....~2 heures
=> ne touche à rien pendant le scan
=> Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
=>Vérifie que tout ce qui est en rouge est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
=> Un rapport va s'ouvrir dans le bloc note... héberge le sur http://www.cijoint.fr/ avant de me poster le lien
=> Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
1
Réponse 3 / 51
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
29 déc. 2010 à 22:26
Ton ami a raison tous les outils que nous utilisons en désinfection sont "risqués"
plus ou moins suivant les outils et surtout suivant l'emploi qui en est fait.
Voilà pourquoi nous sommes spécialement formés à leur utilisation et que sur les forums sérieux où il en est question il est toujours recommandé de se faire aider par un intervenant qui les connait.

Quand aux conséquences d'une mauvaise utilisation cela peut aller à l'extrême
jusqu'à rendre le PC inutilisable et donc formatage et réinstallation
Certains de ces outils ont aussi des quarantaines et des possibilités de retour en arrière,c'est le cas de ZHPFix

Lorsqu'on supprime des lignes avec ces outils on supprime des clés de registre des fichiers, des drivers...qui ont été soit ajoutés par les infections soit parcequ'ils sont inutiles ou obsolètes
l'outil automatise la procédure et ainsi nous n'avons pas besoin de faire intervenir les personnes aidées directement dans le registre ou les répertoires de windows

Par exemple lorsque tu installes un nouveau logiciel celui-ci crée souvent une clé pour lui permettre d'être lancé au démarrage de windows
supprimer cette clé permettra d'éviter cela si tu n'en a pas besoin à chaque fois que tu lances windows et donc d'économiser ainsi de la ressource

Par exemple messenger , on a pas forcément besoin (sauf si on est jeune ;-) ) de le lancer automatiquement à chaque démarrage de l'ordi

à l'époque où les PC n'étaient pas des monstres de mémoire il n'était pas rare de voir les gens acheter des barrettes de Ram alors qu'il suffisait de désactiver tout ce qui était inutile

Si tu veux utiliser usbFix pour voir si il n'y a pas d'infection de et par supports amovibles, j'attends le rapport
1
Réponse 4 / 51
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
2 janv. 2011 à 11:41
Bonjour et Bonne Année!

tu n'as pas cliquer sur "supprimer la sélection" à la fin du scan par MBAM de manière à ce qu'il supprime la clé infectée
1
paulmonta
2 janv. 2011 à 21:51
bsr ou faut il supprimer la selection
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 51
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012
26 déc. 2010 à 23:28
Bsr et merci de ton aide

Désolée pr ma réponse tardive

Suite à mon message, j'ai effectué en mode sans échec, un nettoyage avec CCcleaner et il semble tout au moins en apparence que mon PC "aille mieux"

J'ai depuis plusieurs mois quelques problèmes et je n'ai pas osé la réinstallation. J'ai entre autre, des arrrêts intempestifs un peu inquiétants et les pdf impossibles à créer

Ce diagnostic est donc bienvenu
Voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201012/cij7XNFbkt.txt
0
Réponse 6 / 51
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012
27 déc. 2010 à 22:51
Bsr,

Voici le rapport mbam mais rien n'a été détecté avec cependant un problème en cour d'analyse et ce n'est pas la 1ere fois :
Lors du scan du DD ext, l'analyse a été interrompu, le DD s'étant arrété. Je relance donc une analyse sur ce disque seulement.
J'attend la suite de tes instructions
Merci


www.malwarebytes.org

Version de la base de données: 5404

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

27/12/2010 22:35:10
mbam-log-2010-12-27 (22-35-10).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 302628
Temps écoulé: 2 heure(s), 10 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 7 / 51
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012
28 déc. 2010 à 00:36
suite ...

analyse du DD, 2 arrêts avec
-au premier, le mess suivant :
L'opération E/S spécifiée sur \device\harddisk5\DR13 n'a pu se terminer avant la fin de la temporisation
arrêt sur "K:\system volume information \_restore{5a24............BC5A}RP124\a0029142.exe"

-au second pas de mess
arrët sur K : \recycled\de 229\....

Voici le rapport

www.malwarebytes.org

Version de la base de données: 5404

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28/12/2010 00:26:29
mbam-log-2010-12-28 (00-26-29).txt

Type d'examen: Examen complet (K:\|)
Elément(s) analysé(s): 219340
Temps écoulé: 1 heure(s), 34 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Attend donc la suite et merci d'avance
0
Réponse 8 / 51
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
28 déc. 2010 à 01:00
ok ,visiblement pas d'infection reconnues par MBAM sur ces disques
voici ce que tu vas faire maintenant:

si l'outil te demande de redémarrer refuse et laisse seterminer l'opération

=> Lance ZHPFix (via le raccourci seringue sur ton Bureau)
=> Copie les lignes suivantes :

O20 - Winlogon Notify: WgaLogon . (.Microsoft Corporation - Notifications Windows Genuine Advantage.) -- C:\WINDOWXP\System32\WgaLogon.dll
O42 - Logiciel: Search Settings 1.2 - (.Microsoft Corporation.) [HKLM] -- {D0C73318-7B4A-4D16-A0C4-3B83F075EA88}


=> Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
=>les lignes copiées et seulement celles-là doivent se placer dans la fenêtre
=> valide par "OK"
=> Clique sur « Tous », puis sur « Nettoyer »
=> Copie/colle la totalité du rapport dans ta prochaine réponse ou héberge le sur cijoint.fr

Redémarre ensuite ton ordinateur et poste moi le lien (cijoint.fr) vers un nouveau ZHPDiag
0
Réponse 9 / 51
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012
28 déc. 2010 à 16:09
Voici le rapport mais je ne suis pas sure d'avoir bien compris la procédure finale.
Je n'ai pas redémarer. Est-ce que je devais le faire avant de communiquer ce rapport ou y a t il un autre rapport à te transmettre ensuite ?


Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-28-12-2010-16-05-32.txt
Run by MYRIAM at 28/12/2010 16:05:32
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O20 - Winlogon Notify: WgaLogon . (.Microsoft Corporation - Notifications Windows Genuine Advantage.) -- C:\WINDOWXP\System32\WgaLogon.dll => Clé supprimée avec succès

========== Fichier(s) ==========
c:\windowxp\system32\wgalogon.dll => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Search Settings 1.2 - (.Microsoft Corporation.) [HKLM] -- {D0C73318-7B4A-4D16-A0C4-3B83F075EA88} => Logiciel supprimé avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Fichier(s)
1 : Logiciel(s)


End of the scan
0
Réponse 10 / 51
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
28 déc. 2010 à 16:33
Bonjour

refais maintenant un nouveau rapport ZHPDiag et poste moi le lien
0
Réponse 11 / 51
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012
28 déc. 2010 à 18:49
Voici le lien. Je n'avais cependant pas branché toutes les disques et clés externes. Est-ce que je dois recommencer ?

http://www.cijoint.fr/cjlink.php?file=cj201012/cijeBlNcTm.txt

Merci encore pour ton aide
0
Réponse 12 / 51
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
29 déc. 2010 à 10:35
Bonjour

Non ,ce n'est pas la peine de connecter tes supports amovibles

tu vas encore exécuter un script de suppression de certains éléments avec ZHPFix,de la même manière

=> Lance ZHPFix (via le raccourci seringue sur ton Bureau)
=> Copie les lignes suivantes :

[HKCU\Software\Conduit]
OPT:O4 - HKLM\..\Run: [CTRegRun] . (.Creative Technology Ltd - Registration Scheduler Program.) -- C:\WINDOWXP\CTRegRun.exe
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} () - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094896439208
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15111/CTPID.cab
OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O53 - SMSR:HKLM\...\startupreg\CTRegRun [Key] . (.Creative Technology Ltd - Registration Scheduler Program.) -- C:\WINDOWXP\CTRegRun.exe
OPT:O53 - SMSR:HKLM\...\startupreg\swg [Key] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O53 - SMSR:HKLM\...\startupreg\LDM [Key] . (.Logitech - Logitech Desktop Messenger.) -- H:\Program Files\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O69 - SBI: SearchScopes [HKCU] {2F9ED86D-A210-45BC-99E0-1B823FA7D651} - (Dealio) - http://www.dealio.com/{searchTerms}



=> Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
=>les lignes copiées et seulement celles-là doivent se placer dans la fenêtre
=> valide par "OK"
=> Clique sur « Tous », puis sur « Nettoyer »
=> Copie/colle la totalité du rapport dans ta prochaine réponse ou héberge le sur cijoint.fr

Si tu veux contrôler tes disques externes et clés usb fais ceci:

/!\ ferme toutes tes applications et enregistre le travail en cours en cours/!\

=> Télécharge UsbFix: (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
sur la même page tu auras un tutoriel vidéo "recherche" pour t'aider si besoin
=> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectées sans les ouvrir
=> Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
=> Choisi: (recherche)
=> vérifie que tous tes supports amovibles sont connectés et clique sur OK
=> Laisse travailler l'outil
=> Ensuite post le rapport UsbFix.txt qui apparaîtra ou mieux héberge le sur http://www.cijoint.fr avant de me poster le lien fourni

=> le rapport UsbFix.txt est sauvegardé a la racine du disque

Note: une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)

0
Réponse 13 / 51
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012
29 déc. 2010 à 22:02
Bonsoir,

Voici le rapport :


Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-29-12-2010-21-53-27.txt
Run by MYRIAM at 29/12/2010 21:53:27
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\Conduit => Clé supprimée avec succès
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} () - http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab => Clé supprimée avec succès
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{17492023-C23A-453E-A040-C7C580BBF700}] => Clé supprimée avec succès
[HKCR\CLSID\{17492023-C23A-453E-A040-C7C580BBF700}] => Clé supprimée avec succès
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{3E68E405-C6DE-49FF-83AE-41EE9F4C36CE}] => Clé supprimée avec succès
[HKCR\CLSID\{3E68E405-C6DE-49FF-83AE-41EE9F4C36CE}] => Clé supprimée avec succès
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{4F1E5B1A-2A80-42CA-8532-2D05CB959537}] => Clé supprimée avec succès
[HKCR\CLSID\{4F1E5B1A-2A80-42CA-8532-2D05CB959537}] => Clé supprimée avec succès
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{5ED80217-570B-4DA9-BF44-BE107C0EC166}] => Clé supprimée avec succès
[HKCR\CLSID\{5ED80217-570B-4DA9-BF44-BE107C0EC166}] => Clé supprimée avec succès
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/windowsupdate/v6/default.aspx => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{6414512B-B978-451D-A0D8-FCFDF33E833C}] => Clé supprimée avec succès
[HKCR\CLSID\{6414512B-B978-451D-A0D8-FCFDF33E833C}] => Clé supprimée avec succès
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab => Clé supprimée avec succès
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15111/CTPID.cab => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{F6ACF75C-C32C-447B-9BEF-46B766368D29}] => Clé supprimée avec succès
[HKCR\CLSID\{F6ACF75C-C32C-447B-9BEF-46B766368D29}] => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\CTRegRun [Key] . (.Creative Technology Ltd - Registration Scheduler Program.) -- C:\WINDOWXP\CTRegRun.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\swg [Key] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\LDM [Key] . (.Logitech - Logitech Desktop Messenger.) -- H:\Program Files\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [CTRegRun] . (.Creative Technology Ltd - Registration Scheduler Program.) -- C:\WINDOWXP\CTRegRun.exe => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
O69 - SBI: SearchScopes [HKCU] {2F9ED86D-A210-45BC-99E0-1B823FA7D651} - (Dealio) - http://www.dealio.com/{searchTerms} => Donnée remplacée avec succès


========== Récapitulatif ==========
25 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre


End of the scan


J'ai un ami qui m'a fait "stresser" en me disant que l'outil était "risqué", je pense qu'il voulait dire, à ne pas mettre entre toutes les mains !

Du coup il a éguisé ma curiosité : Que fait t-on exactement lorsque l'on supprime ces lignes et quels sont les risques si on supprime une ligne utile ?

Merci de ton aide et de tes réponses
0
Réponse 14 / 51
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012
29 déc. 2010 à 23:18
suite....

J'ai aussi sur mon bureau un dossier que j'ai créé dans lequel j'ai rangé des outils de désinfection que l'on m'a fait installer lors de demandes antérieures et qui sont resté sur mon pc.
En regardant un peu sur le forum, j'ai l'impression que les helpeurs font désinstaller les outils ... Si c'est le cas, puis-je avoir ton aide pour faire disparaitre ce dossier dans lequel j'ai retrouvé d'ailleurs ZHPfix & diag, ainsi que hostxpert, zeb restore, ad-R, findyKill, OTL et divers rapports
0
Réponse 15 / 51
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
29 déc. 2010 à 23:38
pas de problème je te dirais comment les supprimer en plus de ceux que nous avons utilisé
c'est tout simplement que les malwares évoluent et que pour suivre leur évolution les outils sont mis à jour régulièrement
garder les vieilles versions peut s'avérer contre productif ou risqué.

la désinstallation est prévue en fin de procédure

veux tu utiliser usbFix ou pas?
0
Réponse 16 / 51
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012
30 déc. 2010 à 16:34
Bonjour et merci pour ces explications

Voici le rapport usbfix :

############################## | UsbFix 7.036 | [Recherche]

Utilisateur: MYRIAM (Administrateur) # MYRIAM [ ]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 15:46:13 | 30/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Celeron(R) CPU 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Activé
Antivirus: McAfee VirusScan Enterprise 8.7.0.570 [(!) Disabled | Updated]
RAM -> 1023 Mo
C:\ (%systemdrive%) -> Disque fixe # 32 Go (11 Go libre(s) - 35%) [] # FAT32
D:\ -> CD-ROM
E:\ -> Disque amovible # 8 Go (7 Go libre(s) - 92%) [] # FAT32
G:\ -> CD-ROM
H:\ -> Disque fixe # 117 Go (83 Go libre(s) - 71%) [DATA] # NTFS
I:\ -> Disque amovible # 4 Go (4 Go libre(s) - 96%) [UDISK] # FAT32
K:\ -> Disque fixe # 335 Go (237 Go libre(s) - 71%) [IOMEGA_HDD] # FAT32
L:\ -> Disque fixe # 19 Go (664 Mo libre(s) - 3%) [] # NTFS

################## | Éléments infectieux |


Présent! C:\WINDOWXP\fonts\RandFont.dll

################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
0
Réponse 17 / 51
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
30 déc. 2010 à 19:04
Bonsoir

Tu peux passer l'option suppression de usbFix

/!\ ferme toutes tes applications et enregistre le travail en cours en cours/!\

=> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectées sans les ouvrir

=> Double clic sur le raccourci UsbFix présent sur ton bureau
=> choisi: ( Suppression )
=> vérifie que tous tes supports amovibles sont connectés et clique sur OK
=> Ton bureau disparaîtra momentanément
=> UsbFix scannera ton pc , laisse travailler l'outil.
=> Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
=> Note: Le rapport UsbFix.txt est sauvegardé à la racine du disque.(C:\UsbFix.txt )

=> ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
Réponse 18 / 51
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012
1 janv. 2011 à 02:03
Bonjour et bonne année

....2011 sera une année sans soucis informatique ...lol

J'ai eu qq frayeurs lors de ces manips. J'ai du réinstaller activesync (hasard ?), je n'y arrivait pas bref j'ai qd même fini par y arriver après qq bouffée de chaleur !

Après la suppression, je n'arrivait plus à remettre en actif mon antivirus, j'ai mis un certain temps, ouf !

Il y a un mess à la fin de la suppression demandant d'envoyer C:\UsbFix_Upload_Me_MYRIAM.zip , qu'est-ce que c'est, pourquoi cette demande et qui s'en charge ?

Dans le rapport, il y a toute une liste de doc personnel et à dire vrai cela m'ennuyait de les voir listé comme cela, du coup j'ai remplacé les titres par des ".....", j'espère que ça ne posera pas de problème pour la lecture

Merci encore pour le temps que tu me consacres
J'attend la suite


############################## | UsbFix 7.036 | [Suppression]

Utilisateur: MYRIAM (Administrateur) # MYRIAM [ ]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 00:48:15 | 01/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Celeron(R) CPU 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Activé
Antivirus: McAfee VirusScan Enterprise 8.7.0.570 [(!) Disabled | Updated]
RAM -> 1023 Mo
C:\ (%systemdrive%) -> Disque fixe # 32 Go (11 Go libre(s) - 33%) [] # FAT32
D:\ -> CD-ROM
E:\ -> Disque amovible # 8 Go (7 Go libre(s) - 92%) [] # FAT32
G:\ -> CD-ROM
H:\ -> Disque fixe # 117 Go (83 Go libre(s) - 71%) [DATA] # NTFS
I:\ -> Disque amovible # 4 Go (4 Go libre(s) - 96%) [UDISK] # FAT32
K:\ -> Disque fixe # 335 Go (237 Go libre(s) - 71%) [IOMEGA_HDD] # FAT32
L:\ -> Disque fixe # 19 Go (664 Mo libre(s) - 3%) [] # NTFS

################## | Éléments infectieux |


Supprimé! C:\WINDOWXP\fonts\RandFont.dll
Supprimé! H:\Recycler\S-1-5-21-1123561945-2025429265-682003330-1004

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |


################## | Listing |

[10/08/2000 - 11:35:12 | N | 67583] C:\BOOTLOG.TXT
[05/05/1999 - 22:22:00 | N | 95874] C:\COMMAND.COM
[07/11/2009 - 11:02:14 | N | 4] C:\AUTOEXEC.BAT
[11/08/2004 - 14:49:20 | N | 1017] C:\FRUNLOG.TXT
[11/08/2004 - 14:31:20 | N | 22] C:\MSDOS.---
[09/08/2000 - 15:13:14 | N | 114359] C:\SETUPLOG.TXT
[15/06/2010 - 01:38:26 | D ] C:\FOUND.000
[10/08/2000 - 11:29:10 | N | 22637] C:\NETLOG.TXT
[10/08/2000 - 13:15:34 | N | 100] C:\CONFIG.SYS
[10/08/2000 - 11:13:58 | N | 2968] C:\SCANDISK.LOG
[11/08/2004 - 14:44:36 | N | 5166] C:\SUHDLOG.DAT
[10/08/2000 - 13:10:58 | N | 1687] C:\MSDOS.SYS
[11/08/2004 - 14:51:04 | N | 72845] C:\DETLOG.TXT
[10/08/2000 - 11:29:18 | N | 68731] C:\BOOTLOG.PRV
[11/08/2004 - 14:44:36 | N | 561184] C:\SYSTEM.1ST
[05/05/1999 - 22:22:00 | N | 222390] C:\IO.SYS
[09/08/2000 - 15:16:42 | D ] C:\Mes documents
[10/08/2000 - 14:02:16 | D ] C:\Program Files
[09/08/2000 - 16:44:12 | SHD ] C:\RECYCLED
[29/01/2010 - 22:27:26 | D ] C:\UsbFix
[31/12/2010 - 22:48:58 | ASH | 1609801728] C:\pagefile.sys
[17/06/2010 - 13:15:58 | D ] C:\FOUND.001
[10/08/2000 - 11:16:20 | N | 667] C:\SETUPXLG.TXT
[29/01/2010 - 23:44:36 | RASHD ] C:\autorun.inf
[28/06/2010 - 23:58:18 | D ] C:\FOUND.002
[01/01/2011 - 00:47:50 | N | 1262] C:\UsbFix.txt
[16/09/2010 - 17:11:24 | D ] C:\FOUND.003
[31/12/2010 - 02:14:54 | N | 34692] C:\ASLog.txt
[29/09/2010 - 22:41:46 | D ] C:\FOUND.004
[20/10/2010 - 22:55:58 | D ] C:\FOUND.005
[08/06/2007 - 12:49:50 | N | 1950] C:\INSTALL.LOG
[01/05/2010 - 18:40:38 | N | 127] C:\mbam-error.txt
[16/10/2006 - 01:43:44 | D ] C:\Config.Msi
[23/10/2010 - 01:40:34 | D ] C:\FOUND.006
[09/12/2010 - 22:57:10 | D ] C:\FOUND.007
[10/08/2000 - 13:38:56 | N | 512] C:\BOOTSECT.DOS
[20/12/2010 - 22:44:16 | D ] C:\FOUND.008
[10/08/2000 - 13:45:38 | D ] C:\WINDOWXP
[29/12/2010 - 00:09:54 | D ] C:\FOUND.009
[24/04/2003 - 12:00:00 | N | 4952] C:\Bootfont.bin
[19/02/2009 - 03:08:44 | N | 252240] C:\ntldr
[10/04/2009 - 15:47:18 | N | 2860] C:\rapport.txt
[03/01/2008 - 16:16:58 | N | 47564] C:\ntdetect.com
[27/12/2010 - 15:51:24 | N | 288] C:\boot.ini
[10/08/2000 - 13:48:12 | D ] C:\Documents and Settings
[10/08/2000 - 14:07:08 | SHD ] C:\System Volume Information
[27/09/2010 - 15:28:50 | N | 4625848] C:\BullzipPDFPrinter_7_1_0_1218.exe
[10/08/2000 - 16:04:12 | N | 803] C:\ipcfg_myr.txt
[28/12/2010 - 16:05:34 | N | 5506] C:\ZHPExportRegistry-28-12-2010-16-05-32.txt
[08/05/2008 - 20:34:04 | D ] C:\My Video
[29/12/2010 - 21:53:28 | N | 56034] C:\ZHPExportRegistry-29-12-2010-21-53-27.txt
[01/09/2009 - 10:47:00 | N | 838] C:\updatedatfix.log
[06/11/2009 - 19:17:50 | D ] C:\NVIDIA
[08/05/2009 - 20:43:46 | N | 2725] C:\TCleaner.txt
[07/11/2009 - 11:01:44 | N | 4642] C:\Kill'em.txt
[24/05/2001 - 12:59:30 | N | 162304] C:\UNWISE.MSNFix
[08/11/2009 - 18:31:58 | N | 7618] C:\FindyKill.txt
[09/11/2009 - 19:57:02 | D ] C:\cmdcons
[03/08/2004 - 23:00:08 | N | 263488] C:\cmldr
[28/03/2009 - 22:51:00 | N | 218] C:\Boot.bak
[09/11/2009 - 19:55:00 | D ] C:\Qoobox
[09/11/2009 - 20:45:20 | N | 76328] C:\ComboFix.txt
[19/11/2009 - 01:46:10 | D ] E:\ph
[19/11/2009 - 01:47:48 | D ] E:\bo
[19/11/2009 - 01:49:00 | D ] E:\m
[19/11/2009 - 01:49:12 | D ] E:\T
[19/11/2009 - 01:49:22 | D ] E:\tr
[19/11/2009 - 01:49:08 | D ] E:\ve
[14/11/2009 - 23:06:30 | N | 2066513] E:\...........JPG
[14/11/2009 - 23:07:40 | N | 2030549] E:\c............JPG
[14/11/2009 - 23:10:58 | N | 1951270] E:\.............JPG
[14/11/2009 - 23:06:54 | N | 1973441] E:\c..........s.JPG
[14/11/2009 - 23:06:04 | N | 1896637] E:\a.....;.JPG
[15/11/2009 - 21:32:32 | N | 1271282] E:\DSC01167.JPG
[15/11/2009 - 21:29:54 | N | 1341594] E:\DSC01165.JPG
[15/11/2009 - 21:30:56 | N | 1298167] E:\DSC01166.JPG
[15/11/2009 - 21:59:48 | N | 1343437] E:\DSC01187.JPG
[14/11/2009 - 22:48:16 | N | 2066928] E:\.........; .JPG
[14/11/2009 - 22:49:28 | N | 1892306] E:\.............JPG
[29/01/2010 - 23:44:36 | RASHD ] E:\autorun.inf
[23/04/2009 - 16:09:55 | D ] H:\72029d705c6279d58cb71f
[15/04/2010 - 15:34:06 | N | 164681] H:\A............mht
[29/01/2010 - 23:44:34 | RASHD ] H:\autorun.inf
[14/06/2010 - 14:49:02 | D ] H:\bin
[07/10/2010 - 14:52:34 | N | 78336] H:\Fiche de présence.xls
[18/05/2010 - 21:56:05 | D ] H:\MA MUSIQUE
[21/12/2010 - 01:26:07 | D ] H:\mes docs
[13/06/2010 - 22:47:28 | D ] H:\Program Files
[03/07/2010 - 15:02:17 | N | 383] H:\Raccourci vers MA MUSIQUE.lnk
[01/01/2011 - 00:50:47 | SHD ] H:\RECYCLER
[14/05/2009 - 00:37:28 | SHD ] H:\System Volume Information
[27/05/2010 - 07:36:18 | N | 1958912] I:\......ppt
[27/05/2010 - 07:37:10 | N | 24972288] I:\......avi
[27/05/2010 - 07:38:02 | N | 44419072] I:\......avi
[28/06/2010 - 23:55:26 | N | 47644672] I:\Numériser0074.tif
[29/06/2010 - 00:26:26 | N | 203715] I:\...........10.pdf
[01/07/2010 - 13:55:44 | N | 32630688] I:\Numériser0075.tif
[01/07/2010 - 20:15:30 | N | 978520] I:\.......pdf
[07/07/2010 - 13:47:42 | N | 123904] I:\...................doc
[07/07/2010 - 13:46:42 | N | 88124] I:\.......pdf
[12/10/2010 - 17:05:36 | N | 27136] I:\............doc
[12/10/2010 - 17:10:30 | N | 56008] I:\.............pdf
[24/10/2010 - 17:26:22 | N | 146047] I:\ostéo 15 10.pdf
[12/10/2010 - 01:11:20 | N | 381558] I:\rbt homéo 10 10.pdf
[24/10/2010 - 18:13:12 | N | 380510] I:\homeo 10 10.pdf
[24/10/2010 - 18:14:02 | N | 185885] I:\ostéo10 10.pdf
[19/10/2010 - 22:59:36 | N | 25600] I:\..............doc
[08/11/2010 - 23:42:56 | N | 86528] I:\ATTESTATIONS ..... 2010.doc
[08/11/2010 - 23:56:02 | N | 79992] I:\attestation ....... 2010.pdf
[08/11/2010 - 23:56:58 | N | 49936] I:\............pdf
[29/11/2010 - 02:00:22 | N | 26624] I:\F............doc
[25/11/2010 - 14:26:08 | N | 69676] I:\cpt.......... p1.pdf
[25/11/2010 - 16:00:56 | N | 611540] I:\cp........... p2.pdf
[25/11/2010 - 14:20:30 | N | 38036] I:\........... sign.pdf
[29/11/2010 - 03:11:06 | N | 59780] I:\............pdf
[29/11/2010 - 03:13:16 | N | 172543] I:\cp............ bis.pdf
[29/11/2010 - 03:14:04 | N | 793060] I:\c..............s.pdf
[29/11/2010 - 03:14:40 | N | 103858] I:\c................n.pdf
[05/12/2010 - 19:30:30 | N | 7622112] I:\malwarebytes-anti-malware_malwarebytes_anti-malware_1.50_francais_215092.exe
[28/12/2010 - 15:59:28 | N | 88576] I:\...........0.doc
[28/12/2010 - 16:21:20 | N | 81186] I:\...........0.pdf
[29/01/2010 - 23:44:36 | RASHD ] K:\autorun.inf
[03/01/2008 - 00:23:50 | SHD ] K:\System Volume Information
[03/01/2008 - 00:44:54 | D ] K:\Mes images
[02/09/2010 - 11:50:20 | D ] K:\sauf de mes docs sept 2010
[28/06/2010 - 18:39:26 | D ] K:\sauv de mes docs juin 2010
[27/12/2010 - 19:03:30 | D ] K:\sauv de mes docs déc 2010
[19/02/2009 - 02:28:02 | D ] K:\autres sauvegardes dossiers
[28/06/2010 - 19:47:52 | D ] K:\sauv de MA MUSIQUE juin 2010
[05/01/2008 - 16:36:30 | SHD ] K:\Recycled
[19/01/2008 - 18:56:04 | D ] K:\Program Files
[01/01/2011 - 00:51:34 | SHD ] L:\RECYCLER
[24/10/2010 - 21:48:15 | D ] L:\sauv de mes doc oct 2010
[30/12/2010 - 15:42:30 | SHD ] L:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
L:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MYRIAM.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |
0
Réponse 19 / 51
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012
2 janv. 2011 à 02:06
... encore qq frayeurs.... mon imprimante ne fonctionnait plus et je ne sais comment j'ai fait pour que cela remarche (j'ai essayé plein de manip)
Il y a eu aussi un pb sur un logiciel que j'utilise régulièrement ce qui m'amène à me demander si il peux y avoir d'autres pb à venir, si c'est normal et ce qu'il faut faire pour ne pas y passer le tps que j'y ai passé ne sachant pas comment procéder.
Cependant, il persiste un problème. Un de mes DDext de sauvegarde refuse l'effacement des données en parlant (je n'ai pas noté le mess exact) d'un fichier crée par usbfix. Je suis obligée compte tenu de sa capacité, de supprimer la sauv précédente pour en faire une nouvelle. Du coup je ne sais pas comment faire.
Enfin, il y a eu des bugs, et lors de l'arrêt du PC pour relancer, sont apparu des mess de programmes ne répondant pas, et que je ne connait pas : Axwinframe window(sans s) & ecbl-lbp

J'attend de tes nouvelles
Merci
0
Réponse 20 / 51
mymylagalère Messages postés 364 Date d'inscription vendredi 13 juillet 2007 Statut Membre Dernière intervention 31 janvier 2012
2 janv. 2011 à 11:02
Bonjour

Suite aux comportements bizarre de mon PC, j'ai lancé une analyse ::-(

Comment se prémunir de ces nuisibles lorsque l'on navigue régulièrement sur des sites d'achats parce que je suppose que c'est à cause de cela !

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5440

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

02/01/2011 10:55:18
mbam-log-2011-01-02 (10-55-18).txt

Type d'examen: Examen complet (C:\|H:\|)
Elément(s) analysé(s): 267448
Temps écoulé: 1 heure(s), 18 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses