Rapport Hijackthis après nettoyageRésolu/Fermé

Question

Bonsoir, 

Suite à une infection, je sollicite votre aide pour régler un souci sur mon Pc :

Problème du PC :
Il s'agissait d'une infection qui occasionnait ceci :
au départ, le pc lançait une page bleue bourrée de 0 et de 1 avec un message bizarre.
Le pc avait la protection de l'antivirus  AVast 
Après le passage de Spy boot, Antispyware, malwareBytes, il semble ne plus y avoir de problèmes mais je n'en suis pas sûr.

Pouvez-vous, svp, "jeter un oeil" d'expert sur ce rapport ,
merci d'avance.

PS: je suis novice en la matière ...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:11:48, on 23/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17095)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Launch Manager\Wbutton.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Launch Manager\OSDCtrl.exe
C:\Launch Manager\LaunchAp.exe
C:\Launch Manager\HotkeyApp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alwil Software\Avast5\avastUI.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
F:\hbcd\wintools\autorun.exe
C:\Program Files\Trend Micro\hjthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CtrlVol] C:\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2454048 14
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: GamesBar - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

Excessimo · Answer

Il y a encore des restes, enlève spybot et antispyware car inutile, garde malwarebytes' :

=============USBFix==================

Note : Ton PC est victime d'une infection par médias amovibles. Tu trouveras plus d'informations sur cette infection ici.

[x] Télécharge USBfix ( d'El desaparecido et C_XX ) sur ton bureau.

[x] Si ton anvirus affiche une alerte, ignore le et désactive le momentanément.

[x] Branche TOUT tes médias amovibles à ton PC ( Clé USB, disque dur externe, carte SD etc.. ) sans les ouvrir.

[x] Double clic sur le raccourci UsbFix présent sur le bureau .

[x] Choisir l'option suppression

[x] USBFix va rechercher les infections possibles, ne t'inquiète pas si le menu démarrer et les incônes de ton bureau disparaissent, c'est normal

[x] Il est possible que USBFix te demande de redémarrer ton PC, fais le.

[x] Au redémarrage, USBFix va se lancer pour appliquer les fix, laisse le faire

[x] Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse, pour info : le rapport UsbFix.txt est sauvegardé a la racine du disque ( C:\UsbFix.txt ).

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )



===============ZHPDIAG====================

On va faire un diagnostic du PC :

[*]Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

[*]Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

[*]Clique sur l'icône représentant une loupe en haut à gauche (« Lancer le diagnostic »)
[*]Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
[*]Héberge le rapport ZHPDiag.txt (qui se trouve sur ton bureau) sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Dannlethellier · Answer

Re-bonsoir,
Je suis surpris par la rapidité de la réponse, Bravo !

voici les rapports demandés.



############################## | UsbFix 7.040 | [Suppression]

Utilisateur: RHPL (Administrateur) # NOM-9C38B6165A7 [ ]
Mis à jour le 18/02/2011 par El Desaparecido / C_XX
Lancé à 22:12:34 | 23/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: AMD Turion(tm) 64 Mobile Technology ML-32
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.11

Pare-feu Windows: Activé
Antivirus: Norton Internet Security 2006 2006 [(!) Disabled | (!) Outdated]
Antivirus: avast! Antivirus 5.0.83952505 [(!) Disabled | Updated]
Firewall: Norton Internet Worm Protection 2006 [(!) Disabled]
Firewall: Norton Internet Security 2006 2006 [(!) Disabled]
RAM -> 894 Mo 
C:\ (%systemdrive%) -> Disque fixe # 54 Go (33 Go libre(s) - 61%) [Disque C] # NTFS
D:\ -> Disque fixe # 20 Go (19 Go libre(s) - 98%) [TRAVAUX D] # NTFS
E:\ -> Disque fixe # 20 Go (15 Go libre(s) - 78%) [DOSSIER FAB] # NTFS
F:\ -> CD-ROM
G:\ -> Disque amovible # 2 Go (2 Go libre(s) - 97%) [] # FAT

################## | Éléments infectieux |


Supprimé! D:\Raccourci vers POWERPNT.EXE.lnk
Supprimé! G:\HJTInstall.exe
Supprimé! C:\Documents and Settings\RHPL\autorun.inf
Supprimé! C:\Recycler\S-1-5-21-1030685238-4261652051-125068089-1003
Supprimé! C:\Recycler\S-1-5-21-2211835066-2811541225-2865745876-1007
Supprimé! C:\Recycler\S-1-5-21-2211835066-2811541225-2865745876-1008(2)
Supprimé! C:\Recycler\S-1-5-21-2211835066-2811541225-2865745876-500
Supprimé! D:\Recycler\S-1-5-21-2211835066-2811541225-2865745876-1007
Supprimé! E:\Recycler\S-1-5-21-2211835066-2811541225-2865745876-1007

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\F
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{00597a36-103b-11e0-86b6-00c0a8abf1d6}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2734e2a0-0124-11dc-bcaa-00c0a8abf1d6}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{cdf3d4be-e661-11de-84cb-00c0a8abf1d6}

################## | Listing |

[01/04/2007 - 18:03:07 | D ] 	C:\57a8e178b7743021e7360ee1cb549d2d
[07/04/2007 - 21:25:17 | D ] 	C:\7bef15a692c0fdb837398db6
[17/10/2008 - 15:42:07 | D ] 	C:\893b7cdf713ee93fd986
[20/04/2010 - 19:19:04 | D ] 	C:\Addon
[30/01/2006 - 10:07:13 | N | 185] 	C:\ati.log
[30/01/2006 - 09:16:43 | N | 0] 	C:\AUTOEXEC.BAT
[10/08/2009 - 17:05:29 | D ] 	C:\b5b62162ef59610b59c392b50f18
[16/01/2008 - 18:23:56 | N | 216] 	C:\boot.ini
[05/08/2004 - 13:00:00 | N | 4952] 	C:\Bootfont.bin
[23/02/2011 - 15:42:46 | D ] 	C:\Config.Msi
[30/01/2006 - 09:16:43 | N | 0] 	C:\CONFIG.SYS
[01/02/2011 - 08:04:22 | D ] 	C:\Documents and Settings
[30/01/2006 - 10:17:40 | D ] 	C:\drivers
[18/10/2007 - 15:08:20 | N | 11254] 	C:\drwtsn32.log
[08/11/2006 - 11:38:22 | N | 27] 	C:\expand.txt
[30/01/2006 - 10:55:12 | N | 1116] 	C:\FSP811n01113.dat
[30/01/2006 - 09:16:43 | N | 0] 	C:\IO.SYS
[30/01/2006 - 10:51:53 | D ] 	C:\ISP
[11/10/2004 - 06:18:29 | N | 19] 	C:\LANG.TXT
[09/04/2003 - 09:44:27 | N | 10] 	C:\Language.txt
[28/04/2010 - 08:30:42 | D ] 	C:\Launch Manager
[07/08/2008 - 11:34:51 | N | 174121] 	C:\logfile
[23/02/2011 - 15:50:40 | N | 127] 	C:\mbam-error.txt
[21/11/2008 - 17:50:45 | N | 6781852] 	C:\motards_italiens.wmv
[30/01/2006 - 09:16:43 | N | 0] 	C:\MSDOS.SYS
[30/01/2006 - 10:14:04 | RHD ] 	C:\MSOCache
[30/01/2006 - 10:52:21 | D ] 	C:\MSWorks
[05/08/2004 - 13:00:00 | N | 47564] 	C:\NTDETECT.COM
[25/10/2008 - 16:20:13 | N | 252240] 	C:
tldr
[04/08/2004 - 13:00:00 | N | 2] 	C:\oem.tag
[30/01/2006 - 10:17:14 | D ] 	C:\Office11
[23/02/2011 - 20:47:56 | ASH | 1409286144] 	C:\pagefile.sys
[30/01/2006 - 10:55:12 | N | 1681] 	C:\Prodlog.txt
[23/02/2011 - 22:10:03 | D ] 	C:\Program Files
[30/01/2006 - 19:09:55 | D ] 	C:ecover
[23/02/2011 - 22:15:21 | SHD ] 	C:\RECYCLER
[23/05/2007 - 13:55:27 | N | 268] 	C:\sqmdata00.sqm
[23/05/2007 - 17:31:54 | N | 268] 	C:\sqmdata01.sqm
[24/05/2007 - 05:37:49 | N | 268] 	C:\sqmdata02.sqm
[19/09/2008 - 18:49:37 | N | 268] 	C:\sqmdata03.sqm
[19/09/2008 - 18:49:37 | N | 148] 	C:\sqmdata04.sqm
[05/04/2009 - 14:26:50 | N | 268] 	C:\sqmdata05.sqm
[05/04/2009 - 14:29:48 | N | 268] 	C:\sqmdata06.sqm
[05/04/2009 - 15:17:57 | N | 268] 	C:\sqmdata07.sqm
[05/04/2009 - 16:36:18 | N | 232] 	C:\sqmdata08.sqm
[05/04/2009 - 18:10:11 | N | 220] 	C:\sqmdata09.sqm
[06/04/2009 - 09:19:51 | N | 268] 	C:\sqmdata10.sqm
[06/04/2009 - 11:45:16 | N | 172] 	C:\sqmdata11.sqm
[23/05/2007 - 13:55:27 | N | 244] 	C:\sqmnoopt00.sqm
[23/05/2007 - 17:31:54 | N | 244] 	C:\sqmnoopt01.sqm
[24/05/2007 - 05:37:49 | N | 244] 	C:\sqmnoopt02.sqm
[19/09/2008 - 18:49:37 | N | 244] 	C:\sqmnoopt03.sqm
[19/09/2008 - 18:49:37 | N | 136] 	C:\sqmnoopt04.sqm
[05/04/2009 - 14:26:50 | N | 244] 	C:\sqmnoopt05.sqm
[05/04/2009 - 14:29:48 | N | 244] 	C:\sqmnoopt06.sqm
[05/04/2009 - 15:17:57 | N | 244] 	C:\sqmnoopt07.sqm
[05/04/2009 - 16:36:18 | N | 244] 	C:\sqmnoopt08.sqm
[05/04/2009 - 18:10:11 | N | 172] 	C:\sqmnoopt09.sqm
[06/04/2009 - 09:19:51 | N | 244] 	C:\sqmnoopt10.sqm
[06/04/2009 - 11:45:16 | N | 172] 	C:\sqmnoopt11.sqm
[22/02/2011 - 21:56:37 | N | 20945] 	C:\Startup Programs (NOM-9C38B6165A7) 2011-02-22 21.53.58.txt
[23/02/2011 - 16:29:14 | SHD ] 	C:\System Volume Information
[23/02/2011 - 22:15:21 | D ] 	C:\UsbFix
[23/02/2011 - 22:15:28 | A | 1773] 	C:\UsbFix.txt
[23/02/2011 - 20:49:32 | D ] 	C:\WINDOWS
[23/02/2011 - 12:16:43 | D ] 	D:\baseRegistre
[14/02/2009 - 13:48:56 | D ] 	D:\logiciels en cours de telechargement
[07/07/2008 - 15:57:10 | D ] 	D:\logiciels telechargés
[23/02/2011 - 22:15:21 | SHD ] 	D:\RECYCLER
[23/02/2011 - 16:29:14 | SHD ] 	D:\System Volume Information
[01/01/2008 - 15:13:53 | N | 637952] 	D:\TARIF RIVARD .xls
[01/01/2008 - 17:54:59 | N | 37812224] 	D:\TARIF RIVARD 2.xls
[01/01/2008 - 17:59:40 | N | 1534464] 	D:\TARIF RIVARD 22.xls
[02/06/2010 - 09:55:00 | D ] 	D:	ORRENT
[03/07/2010 - 20:52:12 | D ] 	D:	orrent telechargés
[27/04/2010 - 11:05:08 | D ] 	E:\A D F environnement
[11/06/2010 - 08:29:11 | D ] 	E:\AMIEMS
[17/09/2010 - 07:32:32 | D ] 	E:\AQUATEST
[26/05/2010 - 07:20:49 | D ] 	E:\ARETEGY
[04/11/2009 - 18:57:50 | D ] 	E:\ASTRADEC
[11/03/2010 - 15:06:17 | D ] 	E:\BALAYEUSE
[09/08/2010 - 08:38:57 | D ] 	E:\BEAUVAIS
[04/10/2010 - 10:09:12 | D ] 	E:\BERCK
[21/09/2010 - 14:20:54 | D ] 	E:\CALAIS
[04/11/2009 - 18:58:09 | D ] 	E:\CASTELIN
[04/11/2009 - 18:58:13 | D ] 	E:\CEPI
[04/10/2010 - 10:17:35 | D ] 	E:\CHARIO DE VALVE
[04/11/2009 - 18:58:19 | D ] 	E:\CLAISSE
[04/11/2009 - 18:58:22 | D ] 	E:\CREPEL
[04/11/2009 - 18:58:40 | D ] 	E:\CUD
[06/11/2009 - 15:07:22 | D ] 	E:\D M A
[04/11/2009 - 18:58:48 | D ] 	E:\DEVROUETTE
[04/11/2009 - 18:58:51 | D ] 	E:\DIBO
[04/11/2009 - 18:58:51 | D ] 	E:\DIEVAL
[04/11/2009 - 18:59:00 | D ] 	E:\EAU DE DOUAI
[04/11/2009 - 18:59:01 | D ] 	E:\EAU DU NORD
[29/03/2010 - 13:50:44 | D ] 	E:\ENVINORD
[26/11/2010 - 13:17:54 | D ] 	E:\ESTERRA
[01/02/2011 - 14:37:05 | D ] 	E:\EURO TUNEL
[04/11/2009 - 19:00:10 | D ] 	E:\FLAMME
[04/11/2009 - 19:00:12 | D ] 	E:\FTCS FORAGE
[30/09/2010 - 07:23:21 | D ] 	E:\GUENEAU
[26/11/2010 - 12:18:52 | D ] 	E:\I S S
[04/11/2009 - 19:00:25 | D ] 	E:\JANNORAY
[04/11/2009 - 19:02:00 | D ] 	E:\L  D  A
[26/03/2010 - 10:55:07 | D ] 	E:\LIGNE ARBRE
[04/11/2009 - 19:02:03 | D ] 	E:\LMA
[04/11/2009 - 19:02:16 | D ] 	E:\M 3 D
[22/12/2009 - 16:12:27 | D ] 	E:\ORTEC
[28/04/2010 - 08:35:38 | D ] 	E:\PIERMANT
[23/02/2011 - 22:15:21 | SHD ] 	E:\RECYCLER
[01/07/2010 - 11:08:33 | D ] 	E:\REIMS
[18/08/2010 - 16:50:21 | D ] 	E:\RENAULT DOUAI
[30/11/2010 - 14:40:15 | D ] 	E:\SANEST
[06/01/2011 - 13:45:45 | D ] 	E:\SANINORD
[04/11/2009 - 19:09:45 | D ] 	E:\SANITRA
[26/11/2010 - 13:21:46 | D ] 	E:\SARP NORD
[30/11/2010 - 09:08:06 | D ] 	E:\SATER
[12/02/2010 - 11:07:51 | D ] 	E:\SCHIMIDT
[04/11/2009 - 19:11:13 | D ] 	E:\SEVP DECHET
[02/02/2011 - 17:24:42 | D ] 	E:\SITA
[04/11/2009 - 19:11:24 | D ] 	E:\SNAVEB
[21/05/2010 - 09:16:46 | D ] 	E:\SNSI
[11/05/2010 - 09:55:20 | D ] 	E:\SODI
[04/10/2010 - 09:18:59 | D ] 	E:\SOGESSAE
[22/12/2010 - 10:04:19 | D ] 	E:\SOISSONS
[30/09/2010 - 07:22:20 | D ] 	E:\SRA SAVAC
[23/02/2011 - 16:29:14 | SHD ] 	E:\System Volume Information
[16/02/2011 - 08:46:37 | D ] 	E:\THEYS
[24/03/2010 - 09:20:09 | D ] 	E:\VALENTIN
[04/11/2009 - 19:11:32 | D ] 	E:\VALLET
[18/12/2009 - 09:01:16 | D ] 	E:\VEOLIA CHAUNI
[22/06/2010 - 12:56:50 | D ] 	E:\VETA
[20/01/2010 - 13:22:21 | D ] 	E:\VIA PONTIS
[09/02/2011 - 12:20:45 | D ] 	E:\VIAM
[04/11/2009 - 19:11:33 | D ] 	E:\VILLE DE BEAUVAIS
[04/11/2009 - 19:11:42 | D ] 	E:\VOSSLOH
[16/11/2010 - 09:52:13 | D ] 	E:\WILLAUME
[14/07/2005 - 17:22:34 | D ] 	G:\SecurDataStor
[14/07/2005 - 17:22:34 | D ] 	G:\SecurDataStorRM
[03/01/2011 - 19:36:14 | D ] 	G:\Black Eyed Peas
[27/01/2011 - 13:15:34 | D ] 	G:\allemagne
[31/01/2011 - 15:51:00 | N | 19312] 	G:\expo.odt
[18/11/2010 - 21:33:22 | N | 95] 	G:\ClésDiverses.txt
[23/02/2011 - 21:13:20 | N | 6427] 	G:\hijackthis.log

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_NOM-9C38B6165A7.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |



Voici le lien
https://www.cjoint.com/?0cxwFsTUGfm
Merci encore.

Dannlethellier · Answer

Voici la copie du rapport :



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5851

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.11

23/02/2011 20:03:50
mbam-log-2011-02-23 (20-03-50).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 245910
Temps écoulé: 3 heure(s), 18 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\bc.DLL (Adware.Platrium) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Excessimo · Answer

=============AD-REMOVER==================

* Télécharge AD-Remover ici
ferme toutes les applications en cours !!!

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Puis il y a ceci qui me turlupine :

F:\hbcd\wintools\autorun.exe (ligne apparaissant dans rapport HiJackThis)

or dans ton rapport USBFix ce support amovible n'apparait pas, tu l'as bien branché ? Si jamais tu retrouves la clé, n'exécute pas autorun.exe, il va falloir le supprimer tout le dossier hbcd.

Dannlethellier · Answer

Bonjour,

Excusez-moi pour ce post tardif : j'avais posté la réponse mais je m'aperçois qu'elle n'est pas passée.


<Puis il y a ceci qui me turlupine :

<F:\hbcd\wintools\autorun.exe (ligne apparaissant dans rapport HiJackThis)

Suite au rapport Hijack, j'ai enlevé le CD R Hirens et donc il n'est pas pris en compte pour la suite.

Voila le rapport Ad Remover :

======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 21/02/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:18:04 le 23/02/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
RHPL@NOM-9C38B6165A7 ( ) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Documents and Settings\All Users\Application Data\GamesBar
Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\GamesBar

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{EC1A2105-5621-440F-987D-27EF428131D9}
Clé supprimée: HKLM\Software\Classes\TypeLib\{AD76633E-E50D-4844-9E7F-4DFBC7C18467}
Clé supprimée: HKLM\Software\GamesBar
Clé supprimée: HKLM\Software\GamesBarSetup
Clé supprimée: HKCU\Software\GamesBar
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\GamesBar
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A93C934-025B-4C3A-B38E-9654A7003239}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{1a93c934-025b-4c3a-b38e-9654a7003239}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.13 (fr)] ****

Plugins
pqtplugin.dll (Apple Computer, Inc.)
Plugins
pqtplugin2.dll (Apple Computer, Inc.)
Plugins
pqtplugin3.dll (Apple Computer, Inc.)
Plugins
pqtplugin4.dll (Apple Computer, Inc.)
Plugins
pqtplugin5.dll (Apple Computer, Inc.)
Plugins
pqtplugin6.dll (Apple Computer, Inc.)
Plugins
pqtplugin7.dll (Apple Computer, Inc.)
Searchplugins\MediaDICO-fr.xml (hxxp://www.dictionnaire-mediadico.com/dictionnaires.asp)

-- C:\Documents and Settings\RHPL\Application Data\Mozilla\FireFox\Profiles\flgqgx8v.default --
Extensions\{e001c731-5e37-4538-a5cb-8168736a2360}(2) (BitDefender QuickScan)
Searchplugins\wikipdia-franais.xml (?)
User.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=
Prefs.js - browser.search.defaultenginename, Yahoo
Prefs.js - browser.search.defaulturl, hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, 
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13
Prefs.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=

========================================

**** Internet Explorer Version [7.0.5730.11] ****

Plugins
pqtplugin.dll (Apple Computer, Inc.)
Plugins
pqtplugin2.dll (Apple Computer, Inc.)
Plugins
pqtplugin3.dll (Apple Computer, Inc.)
Plugins
pqtplugin4.dll (Apple Computer, Inc.)
Plugins
pqtplugin5.dll (Apple Computer, Inc.)
Plugins
pqtplugin6.dll (Apple Computer, Inc.)
Plugins
pqtplugin7.dll (Apple Computer, Inc.)
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} (x)
HKCU_Toolbar|{1E796980-9CC5-11D1-A83F-00C04FC99D61} (x)
HKCU_Toolbar\ShellBrowser|{C4069E3A-68F1-403E-B40E-20066696354B} (x)
HKCU_Toolbar\WebBrowser|{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} (x)
HKCU_Toolbar\WebBrowser|{EF99BD32-C1FB-11D2-892F-0090271D4F88} (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files\Fichiers communs\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_ElevationPolicy\{B2321D2F-1154-4d97-AD3E-2FE0BAE2897B} - C:\Program Files\SFR\Kit\9launch.exe (SFR)
HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - "Objet d'aide à la navigation SFR" (C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 47 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 23/02/2011 23:18:20 (653 Octet(s)) 

Fin à: 23:19:02, 23/02/2011 
 
============== E.O.F ============== 

Voila 
Merci et bonne journée.

Dannlethellier · Answer

Ok je te poste l'adresse :

https://www.cjoint.com/?0czsRA8ORS6

Excessimo · Answer

===============ZHPFIX====================

* Lance ZHPFix il se trouve sur le bureau (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).

    * Copie les lignes suivantes :

    ---------------------------------------------------


EMPTYTEMP
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}
[HKCU\Software\AppDataLow\AskToolbarInfo]
[HKCU\Software\Ask.com]
[HKCU\Software\AskToolbar]
[HKLM\Software\ImInstaller]
O43 - CFD: 24/02/2011 - 00:07:58 - [1806440] ----D- C:\Program Files\Ask.com
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.cbid", "F4");
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.crumb", "2011.02.23+15.09.33-toolbar004iad-FR-TGlsbGUsRnJhbmNl");
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.default-channel-url-mask", "https://fr.ask.com/{query}&qsrc={qsrc}&o={o}&l={l}");
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.dtid", "YYYYYYYYFR");
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.fresh-install", false);
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.l", "dis");
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.last-config-req", "1298502574900");
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.locale", "fr_FR");
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.o", "101699");
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.qsrc", "2871");
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.r", "4");
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.search-suggestions-enabled", true);
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}
[HKCU\Software\Ask.com]
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.default-channel-url-mask", "https://fr.ask.com/{query}&qsrc={qsrc}&o={o}&l={l}");


    ---------------------------------------------------

    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Les lignes se collent automatiquement dans ZHPFix.
    * Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »

postes le rapport (il se trouve sur le Bureau)

Dannlethellier · Answer

Bonsoir Excessimo,

Voici le rapport :
Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : 
Run by RHPL at 26/02/2011 21:17:51
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}  => Clé supprimée avec succès
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll  => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]  => Clé supprimée avec succès
[HKCR\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]  => Clé supprimée avec succès
HKCU\Software\AppDataLow\AskToolbarInfo  => Clé supprimée avec succès
HKCU\Software\Ask.com  => Clé supprimée avec succès
HKCU\Software\AskToolbar  => Clé supprimée avec succès
HKLM\Software\ImInstaller  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O3 - Toolbar: Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll  => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified  => Donnée supprimée avec succès

========== Préférences navigateur ==========
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.cbid", "F4");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.crumb", "2011.02.23+15.09.33-toolbar004iad-FR-TGlsbGUsRnJhbmNl");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.default-channel-url-mask", "https://fr.ask.com/{query}&qsrc={qsrc}&o={o}&l={l}");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.dtid", "YYYYYYYYFR");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.fresh-install", false);  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.l", "dis");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.last-config-req", "1298502574900");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.locale", "fr_FR");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.o", "101699");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.overlay-reloaded-using-restart", true);  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.qsrc", "2871");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.r", "4");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.search-suggestions-enabled", true);  => Valeur supprimée avec succès
O69 - SBI: prefs.js [RHPL - flgqgx8v.default] user_pref("extensions.asktb.default-channel-url-mask", "https://fr.ask.com/{query}&qsrc={qsrc}&o={o}&l={l}");  => Valeur supprimée avec succès

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 91
C:\Program Files\Ask.com  => Dossier absent

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 72
c:\program files\ask.com  => Supprimé et mis en quarantaine
c:\windows	asks\scheduled update for ask toolbar.job  => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}  => Logiciel déjà supprimé


========== Récapitulatif ==========
8 : Clé(s) du Registre
1 : Valeur(s) du Registre
3 : Elément(s) de donnée du Registre
2 : Dossier(s)
3 : Fichier(s)
1 : Logiciel(s)
14 : Préférences navigateur


End of the scan


Voilà. Merci
Bonsoir.

Rapport Hijackthis après nettoyage

8 réponses

Discussions similaires

Newsletters