Virus webcam? [Fermé]

Signaler
-
 cs-bilou -
Bonjour,





Voila j'ai un souci depuis 2-3 semaines ma webcam s'allume toute seule, mon msn change de statut tout seul, ma boite mail ne s'ouvre qu'une fois sur deux, j'ai des pages de sites "chaud" qui s'ouvre aussi...
Mon antivirus est avast et il ne trouve rien, on m'a conseillé d'utiliser un spybot mais pareil ça ne donne rien.

Que puis je faire pour m'en débarasser??

72 réponses

Non rien d'autre c'est une longue liste avec toute les dates et heures depuis la fabrication du pc (je suppose) jusqu'a aujourd'hui et a la date du 31 je n'ai que ces 6 résultats qui correspondent...
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 522
Re,

étonnant :

O44 - LFC:[MD5.C395E7C6A15B52D37920D48E2DB6F154] - 31/01/2011 - 13:06:12 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\test.xml [187164]

(c'est dans ton rapport ZHPDiag page 1)
A 13h06 c'est report de VAIO Sony c'est le seul a cette heure la... Je le supprime, je l ouvre??
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 522
Re,

tu ouvres et tu dis ce qu'il y a dedans.
Il y a 5 documents XML dedans mais seulement 2 correspondent a la date et l heure

Report00004.xml

<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rootNode>
<VC Date="lundi 31 janvier 2011 13:04:41">
<ModelName Name="VPCEA1S1E">
</ModelName>
<SerialNumber SNumber="27523768-5000510">
</SerialNumber>
<STAG Stag="C604TPT8">
</STAG>
<Network HelpTopic="NetworkInfo" IP="192.168.3.100" GW="192.168.3.1" PING="Réussite">
</Network>
<HardDisk HelpTopic="HDDUsage" ID="C:" Usage="13">
</HardDisk>
<check HelpTopic="Firewall" Task="Pare-feu" Description="Votre pare-feu est activé et à jour." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="WindowsAutomaticUpdatesettings" Task="Paramètres de mise à jour automatique Windows" Description="Vos paramètres de mise à jour automatique Windows sont activés." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="Antivirus" Task="Logiciel anti-virus" Description="Votre programme anti-virus est activé et à jour." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="Antispyware" Task="Logiciel anti-espion" Description="Votre logiciel anti-espion est activé et à jour." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="InternetSecuritySettings" Task="Paramètres de sécurité Internet" Description="Votre sécurité Internet est activée." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="UserAccountControlsettings" Task="Paramètres de Contrôle des comptes utilisateur" Description="Vos paramètres de Contrôle des comptes utilisateur sont activés." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="WindowsUpdate" Task="Windows Update" Description="Vous n'avez pas installé toutes les mises à jour Windows actuelles." Result="101" Link="C:\windows\system32\control.exe" Arg="wuaucpl.cpl" Clicked="0">
</check>
<check HelpTopic="WindowsRestorePoint" Task="Point de restauration Windows" Description="Votre Restore Point Windows est actuel." Result="0" Link="C:\windows\system32\rstrui.exe" Arg="" Clicked="0">
</check>
<check HelpTopic="WindowsBackup" Task="Fichiers de sauvegarde" Description="Vos données de sauvegarde Windows ne sont pas à jour." Result="1" Link="C:\windows\system32\control.exe" Arg="/name Microsoft.BackupandRestoreCenter" Clicked="0">
</check>
<check HelpTopic="VAIOUpdate" Task="VAIO Update" Description="De nouvelles mises à jour sont disponibles." Result="2" Link="C:\Program Files\Sony\VAIO Update 5\VAIOUpdt.exe" Arg="" Clicked="0">
</check>
<check HelpTopic="DeviceManager" Task="Gestionnaire de périphériques" Description="Il y a des erreurs au niveau du gestionnaire de périphériques Windows." Result="2" Link="mmc" Arg="devmgmt.msc" Clicked="0">
</check>
<check HelpTopic="InternetConnectivity" Task="Connectivité Internet" Description="Vous avez une connexion Internet." Result="0" Link="C:\Windows\system32\rundll32.exe" Arg="xwizards.dll,RunWizard {7071ECA0-663B-4bc1-A1FA-B97F3B917C55} /z -ShowFinishPage" Clicked="0">
</check>
<check HelpTopic="DiskDefragmenter" Task="Défragmenteur de disque" Description="Défragmenteur de disque: 1 problème(s) détecté(s) " Result="1" Link="Auslogics" Arg="1" Clicked="0">
</check>
<check HelpTopic="DiskCleaner" Task="Utilitaire de nettoyage de disque" Description="Utilitaire de nettoyage de disque: 7127 problème(s) détecté(s) " Result="1" Link="Auslogics" Arg="2" Clicked="0">
</check>
<check HelpTopic="RegistryDefragmenter" Task="Défragmenteur du registre" Description="Défragmenteur du registre: 1 problème(s) détecté(s) " Result="1" Link="Auslogics" Arg="4" Clicked="0">
</check>
<check HelpTopic="RegistryCleaner" Task="Utilitaire de nettoyage du registre" Description="Utilitaire de nettoyage du registre: 904 problème(s) détecté(s) " Result="1" Link="Auslogics" Arg="8" Clicked="0">
</check>
<BatteryHealth HelpTopic="BatteryHealth" Task="État de la batterie" Description="Le statut de l'état de la batterie est Excellent." BatteryLife="Bonne">
</BatteryHealth>
<BatteryBCF HelpTopic="BatteryCareFunction" Task="Fonction de maintenance de la batterie" Description="La fonction de maintenance de la batterie est désactivée." Status="Disable" Link="c:\program files (x86)\Sony\VAIO Control Center\VAIO Control Center.exe" Arg="/CLD:F6C9FEA9-EAEB-492e-B2D0-6FB840C97866">
</BatteryBCF>
</VC>
<Performance>
<check HelpTopic="NetworkBandwidth" Task="Bande passante de réseau" Result1="0 KB/sec" Result2="0 KB/sec" Result3="0">
</check>
<check HelpTopic="DiskBandwidth" Task="Bande passante de disque" Result1="0 MB/sec" Result2="0 MB/sec" Result3="0">
</check>
<check HelpTopic="CPUAvailable" Task="UC disponible" Result1="100,00%" Result2="100,00%" Result3="0">
</check>
<busyproc HelpTopic="MostCPUIntensivePrograms" Name="Non disponible(s)">
</busyproc>
<mostInv HelpTopic="MostFrequentlyUsedApplications" Name="Non disponible(s)">
</mostInv>
<mostBusyBack HelpTopic="MostIntensiveBackgroundPrograms" Name="Non disponible(s)">
</mostBusyBack>
<BootTime HelpTopic="WindowsStartupTime" time="2 minutes 4 secondes" first="2 minutes 50 secondes" result="0">
</BootTime>
<ShutdownTime HelpTopic="WindowsShutdownTime" time="0 minutes 46 secondes" first="0 minutes 9 secondes" result="0">
</ShutdownTime>
<TotalStartupApp HelpTopic="TotalStartupApplications" apps="10">
</TotalStartupApp>
<TotalCrashApp HelpTopic="ApplicationFailures" crashNow="27" crashBefore="106" crashDiff="-79">
</TotalCrashApp>
<TotalWindowCrash HelpTopic="WindowsFailures" crashNow="0">
</TotalWindowCrash>
</Performance>
</rootNode>

et
Report00003.xml

<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rootNode>
<VC Date="vendredi 31 décembre 2010 13:05:42">
<ModelName Name="VPCEA1S1E">
</ModelName>
<SerialNumber SNumber="27523768-5000510">
</SerialNumber>
<STAG Stag="C604TPT8">
</STAG>
<Network HelpTopic="NetworkInfo" IP="192.168.3.101" GW="192.168.3.1" PING="Réussite">
</Network>
<HardDisk HelpTopic="HDDUsage" ID="C:" Usage="13">
</HardDisk>
<check HelpTopic="Firewall" Task="Pare-feu" Description="Votre pare-feu est activé et à jour." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="WindowsAutomaticUpdatesettings" Task="Paramètres de mise à jour automatique Windows" Description="Vos paramètres de mise à jour automatique Windows sont activés." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="Antivirus" Task="Logiciel anti-virus" Description="Votre programme anti-virus est activé et à jour." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="Antispyware" Task="Logiciel anti-espion" Description="Votre logiciel anti-espion est activé et à jour." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="InternetSecuritySettings" Task="Paramètres de sécurité Internet" Description="Votre sécurité Internet est activée." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="UserAccountControlsettings" Task="Paramètres de Contrôle des comptes utilisateur" Description="Vos paramètres de Contrôle des comptes utilisateur sont activés." Result="0" Link="RunDll32.exe" Arg="shell32.dll,Control_RunDLL wscui.cpl" Clicked="0">
</check>
<check HelpTopic="WindowsUpdate" Task="Windows Update" Description="Vous n'avez pas installé toutes les mises à jour Windows actuelles." Result="101" Link="C:\windows\system32\control.exe" Arg="wuaucpl.cpl" Clicked="0">
</check>
<check HelpTopic="WindowsRestorePoint" Task="Point de restauration Windows" Description="Votre Restore Point Windows est actuel." Result="0" Link="C:\windows\system32\rstrui.exe" Arg="" Clicked="0">
</check>
<check HelpTopic="WindowsBackup" Task="Fichiers de sauvegarde" Description="Vos données de sauvegarde Windows ne sont pas à jour." Result="1" Link="C:\windows\system32\control.exe" Arg="/name Microsoft.BackupandRestoreCenter" Clicked="0">
</check>
<check HelpTopic="VAIOUpdate" Task="VAIO Update" Description="De nouvelles mises à jour sont disponibles." Result="2" Link="C:\Program Files\Sony\VAIO Update 5\VAIOUpdt.exe" Arg="" Clicked="0">
</check>
<check HelpTopic="DeviceManager" Task="Gestionnaire de périphériques" Description="Il y a des erreurs au niveau du gestionnaire de périphériques Windows." Result="2" Link="mmc" Arg="devmgmt.msc" Clicked="0">
</check>
<check HelpTopic="InternetConnectivity" Task="Connectivité Internet" Description="Vous avez une connexion Internet." Result="0" Link="C:\Windows\system32\rundll32.exe" Arg="xwizards.dll,RunWizard {7071ECA0-663B-4bc1-A1FA-B97F3B917C55} /z -ShowFinishPage" Clicked="0">
</check>
<check HelpTopic="DiskDefragmenter" Task="Défragmenteur de disque" Description="Défragmenteur de disque: 1 problème(s) détecté(s) " Result="1" Link="Auslogics" Arg="1" Clicked="0">
</check>
<check HelpTopic="DiskCleaner" Task="Utilitaire de nettoyage de disque" Description="Utilitaire de nettoyage de disque: 6358 problème(s) détecté(s) " Result="1" Link="Auslogics" Arg="2" Clicked="0">
</check>
<check HelpTopic="RegistryDefragmenter" Task="Défragmenteur du registre" Description="Défragmenteur du registre: 1 problème(s) détecté(s) " Result="1" Link="Auslogics" Arg="4" Clicked="0">
</check>
<check HelpTopic="RegistryCleaner" Task="Utilitaire de nettoyage du registre" Description="Utilitaire de nettoyage du registre: 844 problème(s) détecté(s) " Result="1" Link="Auslogics" Arg="8" Clicked="0">
</check>
<BatteryHealth HelpTopic="BatteryHealth" Task="État de la batterie" Description="Le statut de l'état de la batterie est Excellent." BatteryLife="Bonne">
</BatteryHealth>
<BatteryBCF HelpTopic="BatteryCareFunction" Task="Fonction de maintenance de la batterie" Description="La fonction de maintenance de la batterie est désactivée." Status="Disable" Link="c:\program files (x86)\Sony\VAIO Control Center\VAIO Control Center.exe" Arg="/CLD:F6C9FEA9-EAEB-492e-B2D0-6FB840C97866">
</BatteryBCF>
</VC>
<Performance>
<check HelpTopic="NetworkBandwidth" Task="Bande passante de réseau" Result1="546,99 KB/sec" Result2="0 KB/sec" Result3="0">
</check>
<check HelpTopic="DiskBandwidth" Task="Bande passante de disque" Result1="0 MB/sec" Result2="0 MB/sec" Result3="0">
</check>
<check HelpTopic="CPUAvailable" Task="UC disponible" Result1="99,20%" Result2="100,00%" Result3="1">
</check>
<busyproc HelpTopic="MostCPUIntensivePrograms" Name="Non disponible(s)">
</busyproc>
<mostInv HelpTopic="MostFrequentlyUsedApplications" Name="Non disponible(s)">
</mostInv>
<mostBusyBack HelpTopic="MostIntensiveBackgroundPrograms" Name="Non disponible(s)">
</mostBusyBack>
<BootTime HelpTopic="WindowsStartupTime" time="1 minutes 45 secondes" first="2 minutes 50 secondes" result="0">
</BootTime>
<ShutdownTime HelpTopic="WindowsShutdownTime" time="11 minutes 34 secondes" first="0 minutes 9 secondes" result="0">
</ShutdownTime>
<TotalStartupApp HelpTopic="TotalStartupApplications" apps="10">
</TotalStartupApp>
<TotalCrashApp HelpTopic="ApplicationFailures" crashNow="94" crashBefore="47" crashDiff="47">
</TotalCrashApp>
<TotalWindowCrash HelpTopic="WindowsFailures" crashNow="0">
</TotalWindowCrash>
</Performance>
</rootNode>
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 522
Re,

bon, je ne fais pas avancer là.

Refais tourner ZHPDiag et poste le rapport dans un lien Cijoint.
http://www.cijoint.fr/cjlink.php?file=cj201102/cijdvyHUtb.txt stp
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 522
Re,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

[MD5.234B6A4E44A047B2DB41D8389BFC699F] - (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe   [354365] 
[MD5.3371601ED09FFFA3A7BCE68BE57B7B26] - (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Local\Temp\svchost.EXE   [413211] 
[MD5.3371601ED09FFFA3A7BCE68BE57B7B26] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Local\Temp\847163_svchost.exe   [413211] 
O4 - HKCU\..\Run: [HKCU] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe 
O4 - HKUS\S-1-5-21-2647527995-658499839-1571004013-1001\..\Run: [HKCU] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe 
O4 - HKLM\..\Wow6432Node\RunOnce: [AvgUninstallURL] cmd.exeADMASwAtADgANwBXAFUAVQAtADIAVABWAEgAQQAtAFgANgBEAEYAOAAtAEwANgBQAEEATgA"&"inst=NwA3AC0AMwA4ADcAMwA4ADEAMwA0ADIALQBGAEwAKwA5AC0AWABPADMANgArADEA"&"prod=90"&"ver=9.0.872 
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\AutoKMS.job 
[HKCU\Software\Spointer] 
[HKCU\Software\20ta7] 
O44 - LFC:[MD5.0ED398A4D031B9CFB10E3FEDF97AD836] - 09/02/2011 - 13:12:30 ---A- . (.Pas de propriétaire - AutoKMS.) -- C:\Windows\AutoKMS.exe   [614400] 
O44 - LFC:[MD5.48A77273E8C545DCB70EEE3866CD2123] - 09/02/2011 - 13:12:30 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\AutoKMS.ini   [135] 
O23 - Service:  (SampleCollector) - Clé orpheline 
O64 - Services: CurCS - (.not file.) - AVG Free Network Redirector x64 (AvgTdiA)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGTDIA 
O64 - Services: CurCS - (.not file.) - Sftredir (Sftredir)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SFTREDIR 
O87 - FAEL: "TCP Query User{0D70672D-479A-425F-8BFB-67C696E35906}C:\windows\kmsemulator.exe" |In - Private - P6 - TRUE | .(...) -- C:\windows\kmsemulator.exe (.not file.) 
O87 - FAEL: "UDP Query User{A9BB6D46-49C8-44BC-A554-25D5EDEFE26A}C:\windows\kmsemulator.exe" |In - Private - P17 - TRUE | .(...) -- C:\windows\kmsemulator.exe (.not file.)



Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

=>Télécharge ATF-Cleaner (Attribune)
-- Met le sur ton bureau



=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected

* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Quitte ATF-Cleaner

@+
Science sans conscience n'est que ruine de l'âme. Rabelais
Voila deja le rapport de Fix

Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-17-02-2011-22-50-07.txt
Run by Nadia at 17/02/2011 22:50:07
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\Nadia\AppData\Roaming\System32\svchost.exe [354365] => Fichier supprimé au reboot
C:\Users\Nadia\AppData\Local\Temp\svchost.EXE [413211] => Supprimé et mis en quarantaine
C:\Users\Nadia\AppData\Local\Temp\847163_svchost.exe [413211] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
HKCU\Software\Spointer => Clé supprimée avec succès
HKCU\Software\20ta7 => Clé supprimée avec succès
O23 - Service: (SampleCollector) - Clé orpheline => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - AVG Free Network Redirector x64 (AvgTdiA) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGTDIA => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Sftredir (Sftredir) .(.Pas de propriétaire - Pas de description.) - LEGACY_SFTREDIR => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [HKCU] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2647527995-658499839-1571004013-1001\..\Run: [HKCU] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe => Valeur absente
O4 - HKLM\..\Wow6432Node\RunOnce: [AvgUninstallURL] cmd.exeADMASwAtADgANwBXAFUAVQAtADIAVABWAEgAQQAtAFgANgBEAEYAOAAtAEwANgBQAEEATgA"&"inst=NwA3AC0AMwA4ADcAMwA4ADEAMwA0ADIALQBGAEwAKwA5AC0AWABPADMANgArADEA"&"prod=90"&"ver=9.0.872 => Valeur supprimée avec succès
TCP Query User{0D70672D-479A-425F-8BFB-67C696E35906}C:\windows\kmsemulator.exe => Valeur supprimée avec succès
UDP Query User{A9BB6D46-49C8-44BC-A554-25D5EDEFE26A}C:\windows\kmsemulator.exe => Valeur supprimée avec succès

========== Fichier(s) ==========
cmd.exe=90"&"ver=9.0.872 => Supprimé et mis en quarantaine
c:\windows\tasks\autokms.job => Supprimé et mis en quarantaine
c:\windows\autokms.exe => Supprimé et mis en quarantaine
c:\windows\autokms.ini => Supprimé et mis en quarantaine


========== Récapitulatif ==========
3 : Processus mémoire
5 : Clé(s) du Registre
5 : Valeur(s) du Registre
4 : Fichier(s)


End of the scan
Et ATF c'est fait j'avais pas Opera c est tout
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 522
Re,

fais redémarrer l'ordi, exécute ATF-Cleaner.

Refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.
http://www.cijoint.fr/cjlink.php?file=cj201102/cijvXwTAt2.txt
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 522
Re,

toujours là.

Désinstalle l'update 16 de java (sauf si un logiciel utilise spécifiquement cette version ; si tu ne sais pas, il n'y en a pas) par le Panneau de configuration.

Relance MBAM, mets le à jour (avec l'onglet ad hoc) et fais un examen complet.

Poste le rapport.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5786

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

18/02/2011 01:01:04
mbam-log-2011-02-18 (01-01-04).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 265365
Temps écoulé: 30 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
c:\Users\Nadia\AppData\Roaming\System32\svchost.exe (Trojan.Agent) -> 1484 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Agent) -> Value: HKCU -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Nadia\AppData\Roaming\System32\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Nadia\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\Nadia\AppData\Local\Temp\teste.vbs (Trojan.VBS) -> Quarantined and deleted successfully.
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 522
Bonjour,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

[MD5.234B6A4E44A047B2DB41D8389BFC699F] - (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe   [354365] 
[MD5.3371601ED09FFFA3A7BCE68BE57B7B26] - (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Local\Temp\svchost.EXE   [413211] 
[MD5.3371601ED09FFFA3A7BCE68BE57B7B26] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Local\Temp\847163_svchost.exe   [413211] 
O4 - HKCU\..\Run: [HKCU] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe 
O4 - HKUS\S-1-5-21-2647527995-658499839-1571004013-1001\..\Run: [HKCU] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe 
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\AutoKMS.job 
[HKCU\Software\Spointer] 
[HKCU\Software\20ta7] 
O44 - LFC:[MD5.0ED398A4D031B9CFB10E3FEDF97AD836] - 09/02/2011 - 13:12:30 ---A- . (.Pas de propriétaire - AutoKMS.) -- C:\Windows\AutoKMS.exe   [614400] 
O44 - LFC:[MD5.48A77273E8C545DCB70EEE3866CD2123] - 09/02/2011 - 13:12:30 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\AutoKMS.ini   [135] 
O23 - Service:  (SampleCollector) - Clé orpheline 
O87 - FAEL: "TCP Query User{0D70672D-479A-425F-8BFB-67C696E35906}C:\windows\kmsemulator.exe" |In - Private - P6 - TRUE | .(...) -- C:\windows\kmsemulator.exe (.not file.) 
O87 - FAEL: "UDP Query User{A9BB6D46-49C8-44BC-A554-25D5EDEFE26A}C:\windows\kmsemulator.exe" |In - Private - P17 - TRUE | .(...) -- C:\windows\kmsemulator.exe (.not file.)





Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.
Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-18-02-2011-13-59-43.txt
Run by Nadia at 18/02/2011 13:59:43
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\Nadia\AppData\Roaming\System32\svchost.exe [354365] => Fichier supprimé au reboot
C:\Users\Nadia\AppData\Local\Temp\svchost.EXE [413211] => Fichier supprimé au reboot

========== Clé(s) du Registre ==========
HKCU\Software\Spointer => Clé supprimée avec succès
HKCU\Software\20ta7 => Clé supprimée avec succès
O23 - Service: (SampleCollector) - Clé orpheline => Clé absente

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [HKCU] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2647527995-658499839-1571004013-1001\..\Run: [HKCU] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe => Valeur supprimée avec succès
TCP Query User{0D70672D-479A-425F-8BFB-67C696E35906}C:\windows\kmsemulator.exe => Valeur absente
UDP Query User{A9BB6D46-49C8-44BC-A554-25D5EDEFE26A}C:\windows\kmsemulator.exe => Valeur absente

========== Fichier(s) ==========
c:\users\nadia\appdata\local\temp\847163_svchost.exe => Fichier absent
c:\windows\tasks\autokms.job => Supprimé et mis en quarantaine
c:\windows\autokms.exe => Supprimé et mis en quarantaine
c:\windows\autokms.ini => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Processus mémoire
3 : Clé(s) du Registre
4 : Valeur(s) du Registre
4 : Fichier(s)


End of the scan
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 522
Bonjour,

tu fais redémarrer l'ordin et tu relances ZHPFix avec les mêmes lignes que ci-dessus (pour voir ce qui est revenu).
Voila voila

Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-18-02-2011-14-28-29.txt
Run by Nadia at 18/02/2011 14:28:29
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\Nadia\AppData\Roaming\System32\svchost.exe [354365] => Fichier supprimé au reboot
C:\Users\Nadia\AppData\Local\Temp\svchost.EXE [413211] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
HKCU\Software\Spointer => Clé supprimée avec succès
HKCU\Software\20ta7 => Clé supprimée avec succès
O23 - Service: (SampleCollector) - Clé orpheline => Clé absente

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [HKCU] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2647527995-658499839-1571004013-1001\..\Run: [HKCU] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Nadia\AppData\Roaming\System32\svchost.exe => Valeur absente
TCP Query User{0D70672D-479A-425F-8BFB-67C696E35906}C:\windows\kmsemulator.exe => Valeur absente
UDP Query User{A9BB6D46-49C8-44BC-A554-25D5EDEFE26A}C:\windows\kmsemulator.exe => Valeur absente

========== Fichier(s) ==========
c:\users\nadia\appdata\local\temp\847163_svchost.exe => Fichier absent
c:\windows\tasks\autokms.job => Supprimé et mis en quarantaine
c:\windows\autokms.exe => Supprimé et mis en quarantaine
c:\windows\autokms.ini => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Processus mémoire
3 : Clé(s) du Registre
4 : Valeur(s) du Registre
4 : Fichier(s)


End of the scan
Avast détecte que tout revient... ils sont en quarantaine mais ils reviennent tous un par un!
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 522
Re,

oui, il y a quelque chose que je ne vois pas (Ni ZHPDiag ni MBAM).

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.