Facebook bug chat virus ?

Question

Bonjour, 

Depuis quelques temps j'ai un problème de discussion instantanée sur facebook. En effet mes amis me voient hors ligne alors que je suis pourtant bien connecté et en ligne. Ils ne peuvent donc jamais venir me parler d'eux même. Par contre si c'est moi qui ouvre une conversation avec un contact, il me voit alors en ligne et peut m'écrire normalement. J'ai tenté de chercher la solution sur le net et rien... Pourrait-il s'agir d'un virus ? Merci d'avance pour votre aide.


Configuration: Windows XP / Firefox 3.6.15

burton · Answer

Oui oui je suis en ligne, l'onglet de mes groupes est bien mis sur le vert.

burton · Answer

oui et ça ne marche pas

burton · Answer

j'ai regardé les paramètres je ne vois rien qui aurait pu faire ça...

M@thew · Answer

Bonjour, merci de patienter un contributeur sécurité
va prendre le relais, i9com, n'est pas compétant en
matière de sécurité.

M@thew Modérateur CCM.

juju666 · Answer

Salut ! :)
[ canard wc à la rescousse :o))) ]

On va vérifier si c'est infectieux... Mais à mon avis, ça vient de flash player ;)

&#9654 Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

&#9654 Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

&#9654 Lance OTL
&#9654 Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 
&#9654 Clique sur le bouton Analyse.
&#9654 Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés. 

@+ :)

burton · Answer

Salut !

voici le lien :

https://pjjoint.malekal.com/files.php?id=86e5de3ef6613

burton · Answer

je le trouve pas

juju666 · Answer

Ok on va faire sans. La suite:

DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Exécuter List_Kill'em

une fois terminée , clic sur "terminer" 

lance-le via le raccourci apparu sur ton bureau comme précité au début 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

@+

burton · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cijGI3styu.txt

http://www.cijoint.fr/cjlink.php?file=cj201103/cijvoMfVkb.txt

juju666 · Answer

Vu


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta réponse

burton · Answer

je ne sais pas si c'est normal mais internet semble plus lent d'un coup

juju666 · Answer

T'inquiète pas on verra ça en temps et heure :)

burton · Answer

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.1.9 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Anthony (Administrateurs) 
Update on 19/07/2010 by g3n-h@ckm@n ::::: 02.45
Start at: 23:46:45 | 08/03/2011

Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 80,68 Go (660,53 Mo free) [Divers] | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 48,83 Go (20,07 Go free) [Windows] | NTFS
F:\ -> Disque fixe local | 19,53 Go (6,16 Go free) [Données] | NTFS
G:\ -> Disque fixe local | 465,76 Go (63,94 Go free) [FreeAgent Drive] | NTFS
I:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

E:\WINDOWS\System32\smss.exe ----400 Ko
E:\WINDOWS\system32\csrss.exe ----3600 Ko
E:\WINDOWS\system32\winlogon.exe ----4472 Ko
E:\WINDOWS\system32\services.exe ----3720 Ko
E:\WINDOWS\system32\lsass.exe ----6268 Ko
E:\WINDOWS\system32\svchost.exe ----4952 Ko
E:\WINDOWS\system32\logonui.exe ----4388 Ko
E:\WINDOWS\system32\svchost.exe ----4424 Ko
E:\WINDOWS\System32\svchost.exe ----21104 Ko
E:\WINDOWS\system32\svchost.exe ----3016 Ko
E:\WINDOWS\system32\svchost.exe ----3196 Ko
E:\WINDOWS\system32\spoolsv.exe ----6740 Ko
E:\Program Files\Avira\AntiVir Desktop\sched.exe ----6956 Ko
E:\Program Files\Avira\AntiVir Desktop\avguard.exe ----23440 Ko
E:\WINDOWS\system32\svchost.exe ----3384 Ko
E:\WINDOWS\Explorer.EXE ----16108 Ko
E:\WINDOWS\system32\cmd.exe ----2012 Ko
E:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe ----7068 Ko
E:\Program Files\Java\jre6\bin\jqs.exe ----13612 Ko
E:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe ----5684 Ko
E:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe ----2500 Ko
E:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe ----7540 Ko
E:\WINDOWS\system32
vsvc32.exe ----4372 Ko
E:\WINDOWS\system32\svchost.exe ----5340 Ko
E:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe ----936 Ko
E:\WINDOWS\system32\wdfmgr.exe ----1904 Ko
E:\WINDOWS\System32\alg.exe ----3624 Ko
E:\WINDOWS\system32\wbem\wmiprvse.exe ----7880 Ko
E:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe ----5252 Ko
E:\WINDOWS\system32\wbem\wmiapsrv.exe ----4692 Ko
E:\WINDOWS\system32\wbem\wmiprvse.exe ----6068 Ko
E:\Program Files\List_Kill'em\ERUNT.EXE ----4412 Ko
E:\Program Files\List_Kill'em\pv.exe ----2992 Ko
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
 
=======
Hosts :
=======

127.0.0.1       localhost   

========
Registry
========

=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
 
========
Services
=========


============
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
================ 

 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

c est bizarre ça ...

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : E:\Documents and Settings\Anthony\Local Settings\Temp\5.tmp  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

Present !! : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF  
Present !! : HKLM\SYSTEM\CurrentControlSet\Services\NPF

ça aurait du etre supprimé par kill'em ...

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.  

à+

burton · Answer

https://pjjoint.malekal.com/files.php?id=682163f573125

juju666 · Answer

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


 M3 - MFPP: Plugins - [Anthony] -- E:\Documents and Settings\Anthony\Application Data\Mozilla\Firefox\Profiles\br3nyrju.default\searchplugins\daemon-search.xml
M2 - MFEP: prefs.js [Anthony - br3nyrju.default\{1280606b-2510-4fe0-97ef-9b5a22eafe30}] [] ç??èSoeé ?çµ?ç®¡ç??å?¡ v0.6.9 (.Morac.)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Clé orpheline
O64 - Services: CurCS - (.not file.) - awpyrfog (awpyrfog)  .(...) - LEGACY_AWPYRFOG



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   


Ensuite met à jour java: https://www.java.com/fr/download/uninstalltool.jsp

tu clique sur vérifier la version de java, il va te proposer la nouvelle.

Retente de chatter sur facebook et donne moi des nouvelles ?

burton · Answer

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre : E:\ZHPExportRegistry-09-03-2011-02-10-45.txt
Run by Anthony at 09/03/2011 02:07:41
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Clé orpheline  => Clé absente
O64 - Services: CurCS - (.not file.) - awpyrfog (awpyrfog)  .(...) - LEGACY_AWPYRFOG  => Clé supprimée avec succès

========== Dossier(s) ==========
E:\Documents and Settings\Anthony\Application Data\Mozilla\Firefox\Profiles\br3nyrju.default\extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}  => Fichier supprimé au reboot

========== Fichier(s) ==========
e:\documents and settings\anthony\application data\mozilla\firefox\profiles\br3nyrju.default\searchplugins\daemon-search.xml  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan

burton · Answer

apparemment ça ne change rien pour le chat...

juju666 · Answer

T'as mis Java à jour ?

burton · Answer

oui...

juju666 · Answer

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau. 

&#9654 &#9654 Miroir 1 si inaccessible  
&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

@+

burton · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5995

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/03/2011 11:22:06
mbam-log-2011-03-09 (11-22-06).txt

Type d'examen: Examen complet (C:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 427465
Temps écoulé: 5 heure(s), 45 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
e:\program files\list_kill'em\See_Proc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
e:\program files\list_kill'em\Tdss.exe (Trojan.Agent) -> Quarantined and deleted successfully.
e:\program files\list_kill'em\xwkkpyx.pif (Trojan.Agent) -> Quarantined and deleted successfully.

juju666 · Answer

Salut

Maintenant : met à jour flash : https://get.adobe.com/flashplayer/?loc=fr

Tu clique sur Télécharger dès maintenant et tu l exécute.

Retente facebook stp

@+

burton · Answer

toujours pas...

juju666 · Answer

Tu utilise quel navigateur? Internet Explorer? Firefox ?

burton · Answer

Firefox mis à jour

juju666 · Answer

Ok,

Démarrer>Tous les programmes>Mozilla Firefox>Mizolla Firefox (mode sans échec)

Cela va désactiver tous tes modules. Dis moi si tu vois du changement ?

Teste aussi sous IE : ça permettra de savoir si ça vient de FF ou non ;)

burton · Answer

j'ai fais sans échec mais ça désactive aussi le module java console, et enlève la mise à jour de flash player et de toute façon ça marche pas

internet explorer ça marche pas

juju666 · Answer

Arf

Démarre en mode sans échec avec prise en charge réseau : F8 après le chargement du bios

Dis moi si ça change quelque chose ?

burton · Answer

ça ne change rien 

comment je fais pour revenir à la normal, et pour réactiver mes modules ?

juju666 · Answer

Tu redémarre ton pc ^^

Tu parle de firefox ?

burton · Answer

oui

juju666 · Answer

Outils>modules complémentaires>extensions
tu les réactives

par la même occasion refais un zhpdiag pour voir si j'ai pas loupé un truc ;)

burton · Answer

tous les java console ou juste le dernier (vu les chiffres) ?

juju666 · Answer

Juste le dernier, on va faire le ménage des Java plus tard ;)

Je te remet la procédure ZHPDiag au cas ou:

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

burton · Answer

https://pjjoint.malekal.com/files.php?id=24be0263fb912

juju666 · Answer

Y'a plus rien sur ce zhpdiag ...

On va essayer un truc cool ^^

Attention, avant de commencer, lit attentivement la procédure, et imprime la  

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  
tutoriel combofix  

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

&#9654 Mets-le en langue française F  

&#9654 Tape sur la touche 1 (Yes) pour démarrer le scan.  
  

&#9654 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

&#9654 Note : Le rapport se trouve également là : C:\ComboFix.txt   

@+

burton · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cijxD4t5FU.txt

burton · Answer

ça marche toujours pas

juju666 · Answer

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE 

&#9654 Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

File::
e:\windows\system32\REN15.tmp
e:\windows\system32\REN16.tmp
e:\windows\system32\REN17.tmp
e:\windows\system32\RENC4.tmp
e:\windows\system32\RENC3.tmp
e:\windows\system32\RENC2.tmp




&#9654 Enregistre ce fichier sous le nom CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt  

Ensuite:

&#9654 Rentre dans ton panneau de configuration....      
&#9654 Apparence et personnalisation...      
&#9654 Option des dossiers...(double cliquer dessus)      
&#9654 Dans l'onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option   
&#9654 Encore plus bas : Masquer les fichiers protégés du système d'exploitation (recommandé) : à décocher.   

&#9654 &#9654 ensuite rends toi sur ce lien:   
https://www.virustotal.com/gui/   

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr  


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"   
recherche les entrées suivante dans ton disque :   


 e:\windows\system32\drivers\usbaapl.sys


&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant   

&#9654 Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée    

@+

burton · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cijwObqe9P.txt

juju666 · Answer

Voilà qui est mieux :)

Ouvre ZHPFix sur ton bureau
Clique sur Emptytemp

Poste le rapport

burton · Answer

http://www.virustotal.com/file-scan/report.html?id=dc7d6fd3be2f4d8832bb62ab76e5332bb65255ab45f6e28e6b1991a976c1a058-1299681130

burton · Answer

toujours aucun changement

juju666 · Answer

Arrf mais c est pas d'origine virale, on a fait le grand ménage là :|

Je commence à sécher :|

Essaye avec Chrome : https://www.google.com/chrome/?hl=fr

Dis moi si ça marche ?

burton · Answer

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre : 
Run by Anthony at 09/03/2011 15:41:33
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 68

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 8


========== Récapitulatif ==========
1 : Dossier(s)
1 : Fichier(s)


End of the scan

burton · Answer

marche pas avec chrome et ce qui est bizarre c'est qu'avant ça marchait bien et d'un coup PAF

juju666 · Answer

ouais c'est vraiment étrange ça.

T'as essayé de chatter avec un autre compte facebook ?

burton · Answer

j'ai voulu lancer une vidéo posté en lien sur facebook, et ça me met qu'il faut que je télécharge le dernier flash player, alors que pourtant j'ai téléchargé et installé le dernier...

burton · Answer

et avec un autre compte ça marche pas

burton · Answer

je l'ai réinstallé, toujours pareil...

juju666 · Answer

Comme quoi il te trouve pas flash player ? rhaaaaa

burton · Answer

oui

juju666 · Answer

je sais pas, refait un zhpdiag pour voir

burton · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cijALaWmgy.txt

juju666 · Answer

des bricoles ...

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


 M2 - MFEP: prefs.js [Anthony - br3nyrju.default\{1280606b-2510-4fe0-97ef-9b5a22eafe30}] [] ç€ è¦½é  çµ"ç®¡ç +å"¡ v0.7.4 (.Morac.)
O42 - Logiciel: Java 6 Update 14 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216014F0}    
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Clé orpheline
P2 - FPN: [HKCU] [@facebook.com/FBPlugin,version=1.0.3] - (.Pas de propriétaire - Provides additional functionality on Facebook. See <a href="http://www.) -- E:\Documents and Settings\Anthony\Application Data\Facebook
pfbplugin_1_0_3.dll 
G1 - GCS: Preference [User Data\Default] None     
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} () - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab     
O39 - APT:Automatic Planified Task  - E:\WINDOWS\Tasks\AppleSoftwareUpdate.job     
O39 - APT:Automatic Planified Task  - E:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1491950412-2009852829-4049741679-1003Core.job 
O39 - APT:Automatic Planified Task  - E:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1491950412-2009852829-4049741679-1003UA.job


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

puis réessaye flash : https://get.adobe.com/flashplayer/?loc=fr

burton · Answer

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre : E:\ZHPExportRegistry-09-03-2011-18-49-54.txt
Run by Anthony at 09/03/2011 18:49:54
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Java 6 Update 14 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216014F0}  => Clé supprimée avec succès
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Clé orpheline  => Clé absente
P2 - FPN: [HKCU] [@facebook.com/FBPlugin,version=1.0.3] - (.Pas de propriétaire - Provides additional functionality on Facebook. See <a href="http://www.) -- E:\Documents and Settings\Anthony\Application Data\Facebook
pfbplugin_1_0_3.dll  => Clé supprimée avec succès
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} () - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab  => Clé supprimée avec succès

========== Dossier(s) ==========
E:\Documents and Settings\Anthony\Application Data\Mozilla\Firefox\Profiles\br3nyrju.default\extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
e:\documents and settings\anthony\application data\facebook
pfbplugin_1_0_3.dll  => Supprimé et mis en quarantaine
e:\windows	asks\applesoftwareupdate.job  => Supprimé et mis en quarantaine
e:\windows	asks\googleupdatetaskusers-1-5-21-1491950412-2009852829-4049741679-1003core.job  => Supprimé et mis en quarantaine
e:\windows	asks\googleupdatetaskusers-1-5-21-1491950412-2009852829-4049741679-1003ua.job  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Dossier(s)
4 : Fichier(s)


End of the scan

burton · Answer

toujours pas...

juju666 · Answer

rhaaaa purée c'est pas possible

Essaye celui-là : http://fpdownload.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_10_active_x.exe

burton · Answer

non plus...

burton · Answer

et si je les désinstalle les 2 et que je les réinstalle ?

juju666 · Answer

non plus quoi? l'instal' ou facebook ?

burton · Answer

ben pour flash player, ni sur youtube ou deezer d'ailleurs

juju666 · Answer

mmmh doit y'avoir un autre soucis que j'ai pas compris.

utilise ça : http://download.macromedia.com/pub/flashplayer/current/uninstall_flash_player.exe

pour désinstaller toute traces de flash

puis retente l'instal depuis: https://get.adobe.com/flashplayer/?loc=fr

burton · Answer

Super ! ça remarche ! merci

bon maintenant rester à trouver la solution pour fb...

juju666 · Answer

de rien ;)

Tjs pas pour facebook? \o/

burton · Answer

nan, retour à zéro (avec un bon nettoyage tout de même)

juju666 · Answer

Désolé, ce problème sort de mes compétences...

Y'a peut être moyen de contacter facebook ??

burton · Answer

tu parles... :s

tu ne connais personne sur le site qui pourrait savoir ?

juju666 · Answer

Mouarf, je pense pas

burton · Answer

bon ba merci pour tout en tout cas

burton · Answer

j'ai fais une analyse antivirus avec avira, voilà le rapport : Avira AntiVir Personal Date de création du fichier de rapport : jeudi 10 mars 2011 11:38 La recherche porte sur 2476774 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : PC-F3FF51C121F9 Informations de version : BUILD.DAT : 9.0.0.81 21698 Bytes 22/10/2010 12:02:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 19:47:40 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 11:54:02 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 12:32:50 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 12:50:21 VBASE003.VDF : 7.11.3.1 2048 Bytes 09/02/2011 12:50:21 VBASE004.VDF : 7.11.3.2 2048 Bytes 09/02/2011 12:50:21 VBASE005.VDF : 7.11.3.3 2048 Bytes 09/02/2011 12:50:21 VBASE006.VDF : 7.11.3.4 2048 Bytes 09/02/2011 12:50:21 VBASE007.VDF : 7.11.3.5 2048 Bytes 09/02/2011 12:50:22 VBASE008.VDF : 7.11.3.6 2048 Bytes 09/02/2011 12:50:22 VBASE009.VDF : 7.11.3.7 2048 Bytes 09/02/2011 12:50:22 VBASE010.VDF : 7.11.3.8 2048 Bytes 09/02/2011 12:50:22 VBASE011.VDF : 7.11.3.9 2048 Bytes 09/02/2011 12:50:22 VBASE012.VDF : 7.11.3.10 2048 Bytes 09/02/2011 12:50:23 VBASE013.VDF : 7.11.3.59 157184 Bytes 14/02/2011 18:42:32 VBASE014.VDF : 7.11.3.97 120320 Bytes 16/02/2011 21:38:49 VBASE015.VDF : 7.11.3.148 128000 Bytes 19/02/2011 01:06:09 VBASE016.VDF : 7.11.3.183 140288 Bytes 22/02/2011 12:49:09 VBASE017.VDF : 7.11.3.216 124416 Bytes 24/02/2011 12:49:18 VBASE018.VDF : 7.11.3.251 159232 Bytes 28/02/2011 12:49:44 VBASE019.VDF : 7.11.4.33 148992 Bytes 02/03/2011 12:49:52 VBASE020.VDF : 7.11.4.73 150016 Bytes 06/03/2011 12:50:10 VBASE021.VDF : 7.11.4.108 122880 Bytes 08/03/2011 12:50:13 VBASE022.VDF : 7.11.4.109 2048 Bytes 08/03/2011 12:50:13 VBASE023.VDF : 7.11.4.110 2048 Bytes 08/03/2011 12:50:14 VBASE024.VDF : 7.11.4.111 2048 Bytes 08/03/2011 12:50:14 VBASE025.VDF : 7.11.4.112 2048 Bytes 08/03/2011 12:50:14 VBASE026.VDF : 7.11.4.113 2048 Bytes 08/03/2011 12:50:14 VBASE027.VDF : 7.11.4.114 2048 Bytes 08/03/2011 12:50:14 VBASE028.VDF : 7.11.4.115 2048 Bytes 08/03/2011 12:50:14 VBASE029.VDF : 7.11.4.116 2048 Bytes 08/03/2011 12:50:14 VBASE030.VDF : 7.11.4.117 2048 Bytes 08/03/2011 12:50:14 VBASE031.VDF : 7.11.4.136 72704 Bytes 09/03/2011 12:50:30 Version du moteur : 8.2.4.180 AEVDF.DLL : 8.1.2.1 106868 Bytes 31/07/2010 20:10:07 AESCRIPT.DLL : 8.1.3.56 1261945 Bytes 08/03/2011 12:50:27 AESCN.DLL : 8.1.7.2 127349 Bytes 22/11/2010 19:51:22 AESBX.DLL : 8.1.3.2 254324 Bytes 22/11/2010 19:51:39 AERDL.DLL : 8.1.9.2 635252 Bytes 22/09/2010 10:45:00 AEPACK.DLL : 8.2.4.11 520566 Bytes 03/03/2011 12:49:55 AEOFFICE.DLL : 8.1.1.17 205177 Bytes 08/03/2011 12:50:24 AEHEUR.DLL : 8.1.2.83 3338613 Bytes 08/03/2011 12:50:24 AEHELP.DLL : 8.1.16.1 246134 Bytes 04/02/2011 11:18:05 AEGEN.DLL : 8.1.5.2 397683 Bytes 21/01/2011 14:37:03 AEEMU.DLL : 8.1.3.0 393589 Bytes 22/11/2010 19:50:28 AECORE.DLL : 8.1.19.2 196983 Bytes 21/01/2011 14:37:01 AEBB.DLL : 8.1.1.0 53618 Bytes 20/07/2010 11:54:00 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 20/10/2009 19:26:34 AVREP.DLL : 10.0.0.9 174120 Bytes 05/03/2011 12:50:03 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 20/10/2009 19:26:33 RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 19:47:33 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: e:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: réparer Action secondaire.............................: renommer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, E:, F:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Recherche optimisée...........................: marche Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Début de la recherche : jeudi 10 mars 2011 11:38 La recherche d'objets cachés commence. '50690' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés Processus de recherche 'LFService.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '41' processus ont été contrôlés avec '41' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'F:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '49' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\Divers\Divers\fran-ang.exe.VIR [0] Type d'archive: ZIP SFX (self extracting) [REMARQUE] Une copie de sécurité a été créée sous le nom 4dd9abc4.qua ( QUARANTAINE ) --> DESINST2.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.dnnn C:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP29\A0003783.exe.VIR [0] Type d'archive: ZIP SFX (self extracting) [REMARQUE] Une copie de sécurité a été créée sous le nom 4da8ae35.qua ( QUARANTAINE ) --> DESINST2.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.dnnn Recherche débutant dans 'E:\' E:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP82\A0015813.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 4da8bcb8.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0015813.exe.VIR' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP82\A0015814.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 4b10d6d1.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0015814.exe.VIR' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP82\A0015815.pif [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 499530f1.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0015815.pif.VIR' ! E:\WINDOWS\system32\drivers\sptd.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Recherche débutant dans 'F:\' Fin de la recherche : jeudi 10 mars 2011 13:30 Temps nécessaire: 1:51:56 Heure(s) La recherche a été effectuée intégralement 15910 Les répertoires ont été contrôlés 653948 Des fichiers ont été contrôlés 5 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 5 Les fichiers ont été déplacés dans la quarantaine 3 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 653941 Fichiers non infectés 6766 Les archives ont été contrôlées 2 Avertissements 6 Consignes 50690 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

juju666 · Answer

Salut

C:\Divers\Divers\fran-ang.exe

C'était un truc perso à toi ça ? J'le croyais pas néfaste. De toute façon je parie que ça a rien changé à ton soucis.


&#9654 télécharge www.commentcamarche.net/telecharger/telecharger-168-ccleaner Ccleaner] et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
&#9654 &#9654 cliques sur nettoyeur 
&#9654cliques sur windows et dans la colonne avancé 
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs 
&#9654 laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
&#9654 il te demande de sauvegarder OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs 
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
&#9654 tu peux fermer Ccleaner 

------ 

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge //www.teamxscript.org/too/Xplode/DelFix.exe Delfix] sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : www.forum-fec.net/t97-purger-la-restauration-du-systeme]
Seven: www..forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm]

------ 

Tu peux lire ce sujet sur www.sur-la-toile.com/discussion-185959-1-Logiciels-de-securite-recommandes.html les logiciels recommandés], et les attitudes responsables sur le web 
Et celui ci, sur www.sur-la-toile.com/discussion-168782-1-%5Btuto%5DNe-plus-se-faire-infecter-avec-des-logiciels-gratuits.html les logiciels gratuits à éviter] 

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

&#9654 &#9654 //www.commentcamarche.net/faq/sujet-11365-marquer-un-fil-de-discussion-comme-etant-resolu Pense à marquer le fil comme résolu]  

------ 

Je me renseigne pour le chat facebook, patience :)
@+

juju666 · Answer

Je viens de tomber sur ça:

    * Créer une nouvelle liste d'amis
    * Cliquer sur 0 amis en ligne
    * Cliquer ensuite sur le petit onglet "liste d'amis"
    * Vous allez voir apparaitre vos listes d'amis il vous suffit juste de les décocher puis les re-cocher et normalement vos amis en ligne apparaissent de nouveau
    * Supprimer la liste d'amis de test et vous pouvez désormais re parler avec vos contacts !

burton · Answer

déjà testé...

juju666 · Answer

mouarf :|

J'sais pas ... Si tu ouvres le chat, Options>Ouvrir sur une nouvelle fenêtre
ça marche pas ?

burton · Answer

# DelFix v7.5 - Rapport créé le 10/03/2011 à 14:47
# Mis à jour le 02/03/11 à 20h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Anthony - PC-F3FF51C121F9 (Administrateur)
# Exécuté depuis : E:\Documents and Settings\Anthony\Mes documents\Téléchargements\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> E:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : E:\Qoobox
Supprimé : E:\FyK
Supprimé : E:\_OTL
Supprimé : E:\RSIT
Supprimé : E:\Kill'em
Supprimé : E:\Combofix
Supprimé : E:\Program Files\List_Kill'em
Supprimé : E:\Program Files\ZHPDiag
Supprimé : E:\Documents and Settings\Anthony\DoctorWeb
Supprimé : E:\Documents and Settings\All Users\Menu Démarrer\Programmes\List_Kill'em
Supprimé : E:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : E:\Documents and Settings\Anthony\Bureau\antho.exe <-- Combofix
Supprimé : E:\ComboFix.txt
Supprimé : E:\List'em.txt
Supprimé : E:\FyK.txt
Supprimé : E:\TCleaner.txt
Supprimé : E:\SAFEBOOT_REPAIR.TXT
Supprimé : E:\ZHPExportRegistry-09-03-2011-02-10-45.txt
Supprimé : E:\ZHPExportRegistry-09-03-2011-18-49-54.txt
Supprimé : E:\ZHPExportRegistry-18-07-2010-13-23-26.txt
Supprimé : E:\JavaRa.log
Supprimé : E:\WINDOWS\grep.exe
Supprimé : E:\WINDOWS\PEV.exe
Supprimé : E:\WINDOWS\NIRCMD.exe
Supprimé : E:\WINDOWS\MBR.exe
Supprimé : E:\WINDOWS\sed.exe
Supprimé : E:\WINDOWS\SWREG.exe
Supprimé : E:\WINDOWS\SWSC.exe
Supprimé : E:\WINDOWS\SWXCACLS.exe
Supprimé : E:\WINDOWS\zip.exe
Supprimé : E:\Documents and Settings\Anthony\Bureau\ZHPDiag.txt
Supprimé : E:\Documents and Settings\Anthony\Bureau\ZHPFixReport.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\IDAVLab
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\List_Kill'em
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "E:\DelFixSuppr.txt" - [2617 octets] ##########

burton · Answer

nan une nouvelle fenêtre ne marche pas...

burton · Answer

oui j'ai déjà signalé aussi =/

burton · Answer

pas de news ?

juju666 · Answer

Non désolé, je vois vraiment pas...

Vas voir dans le forum "Internet" et pose la question, qui sait...

burton · Answer

Bonjour !

Le chat facebook remarche d'un coup. Mais sinon je pense avoir choppé un virus, car j'ai eu une attaque à plusieurs reprises d'un cheval de troie qu'avira m'a signalé. Peux-tu m'aider stp ?

juju666 · Answer

Yo :]

Nickel pour le chat ;)

Poste le rapport avira et :

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

@+

burton · Answer

Rapport ZHPdiag : http://pjjoint.malekal.com/files.php?id=d2417c14a8599

burton · Answer

Avira : Avira AntiVir Personal Date de création du fichier de rapport : lundi 21 mars 2011 13:04 La recherche porte sur 2502953 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : PC-F3FF51C121F9 Informations de version : BUILD.DAT : 9.0.0.81 21698 Bytes 22/10/2010 12:02:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 19:47:40 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 11:54:02 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 12:32:50 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 12:50:21 VBASE003.VDF : 7.11.3.1 2048 Bytes 09/02/2011 12:50:21 VBASE004.VDF : 7.11.3.2 2048 Bytes 09/02/2011 12:50:21 VBASE005.VDF : 7.11.3.3 2048 Bytes 09/02/2011 12:50:21 VBASE006.VDF : 7.11.3.4 2048 Bytes 09/02/2011 12:50:21 VBASE007.VDF : 7.11.3.5 2048 Bytes 09/02/2011 12:50:22 VBASE008.VDF : 7.11.3.6 2048 Bytes 09/02/2011 12:50:22 VBASE009.VDF : 7.11.3.7 2048 Bytes 09/02/2011 12:50:22 VBASE010.VDF : 7.11.3.8 2048 Bytes 09/02/2011 12:50:22 VBASE011.VDF : 7.11.3.9 2048 Bytes 09/02/2011 12:50:22 VBASE012.VDF : 7.11.3.10 2048 Bytes 09/02/2011 12:50:23 VBASE013.VDF : 7.11.3.59 157184 Bytes 14/02/2011 18:42:32 VBASE014.VDF : 7.11.3.97 120320 Bytes 16/02/2011 21:38:49 VBASE015.VDF : 7.11.3.148 128000 Bytes 19/02/2011 01:06:09 VBASE016.VDF : 7.11.3.183 140288 Bytes 22/02/2011 12:49:09 VBASE017.VDF : 7.11.3.216 124416 Bytes 24/02/2011 12:49:18 VBASE018.VDF : 7.11.3.251 159232 Bytes 28/02/2011 12:49:44 VBASE019.VDF : 7.11.4.33 148992 Bytes 02/03/2011 12:49:52 VBASE020.VDF : 7.11.4.73 150016 Bytes 06/03/2011 12:50:10 VBASE021.VDF : 7.11.4.108 122880 Bytes 08/03/2011 12:50:13 VBASE022.VDF : 7.11.4.150 133120 Bytes 10/03/2011 12:50:24 VBASE023.VDF : 7.11.4.183 122368 Bytes 14/03/2011 12:50:48 VBASE024.VDF : 7.11.4.228 123392 Bytes 16/03/2011 12:50:58 VBASE025.VDF : 7.11.4.229 2048 Bytes 16/03/2011 12:50:58 VBASE026.VDF : 7.11.4.230 2048 Bytes 16/03/2011 12:50:58 VBASE027.VDF : 7.11.4.231 2048 Bytes 16/03/2011 12:50:59 VBASE028.VDF : 7.11.4.232 2048 Bytes 16/03/2011 12:50:59 VBASE029.VDF : 7.11.4.233 2048 Bytes 16/03/2011 12:50:59 VBASE030.VDF : 7.11.4.234 2048 Bytes 16/03/2011 12:50:59 VBASE031.VDF : 7.11.5.1 87040 Bytes 18/03/2011 17:25:27 Version du moteur : 8.2.4.188 AEVDF.DLL : 8.1.2.1 106868 Bytes 31/07/2010 20:10:07 AESCRIPT.DLL : 8.1.3.57 1261947 Bytes 17/03/2011 12:52:03 AESCN.DLL : 8.1.7.2 127349 Bytes 22/11/2010 19:51:22 AESBX.DLL : 8.1.3.2 254324 Bytes 22/11/2010 19:51:39 AERDL.DLL : 8.1.9.8 639346 Bytes 14/03/2011 12:52:11 AEPACK.DLL : 8.2.4.12 520567 Bytes 14/03/2011 12:51:56 AEOFFICE.DLL : 8.1.1.17 205177 Bytes 08/03/2011 12:50:24 AEHEUR.DLL : 8.1.2.87 3371383 Bytes 17/03/2011 12:51:55 AEHELP.DLL : 8.1.16.1 246134 Bytes 04/02/2011 11:18:05 AEGEN.DLL : 8.1.5.3 397684 Bytes 17/03/2011 12:51:07 AEEMU.DLL : 8.1.3.0 393589 Bytes 22/11/2010 19:50:28 AECORE.DLL : 8.1.19.2 196983 Bytes 21/01/2011 14:37:01 AEBB.DLL : 8.1.1.0 53618 Bytes 20/07/2010 11:54:00 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 20/10/2009 19:26:34 AVREP.DLL : 10.0.0.9 174120 Bytes 05/03/2011 12:50:03 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 20/10/2009 19:26:33 RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 19:47:33 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: e:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: réparer Action secondaire.............................: renommer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, E:, F:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Recherche optimisée...........................: marche Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Début de la recherche : lundi 21 mars 2011 13:04 La recherche d'objets cachés commence. '54055' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés Processus de recherche 'DTLite.exe' - '1' module(s) sont contrôlés Processus de recherche 'UpdateChecker.exe' - '1' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés Processus de recherche 'LFService.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '39' processus ont été contrôlés avec '39' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'F:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '49' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\Divers\Divers\fran-ang.exe.VIR [0] Type d'archive: ZIP SFX (self extracting) [REMARQUE] Une copie de sécurité a été créée sous le nom 4de84094.qua ( QUARANTAINE ) --> DESINST2.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.dnnn Recherche débutant dans 'E:\' E:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018384.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 490bfdc1.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018384.exe.VIR00' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018391.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 4db753b1.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018391.exe.VIR' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018392.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 491223ba.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018392.exe.VIR' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018395.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 4974b54a.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018395.exe.VIR' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018398.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 4db753b0.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018384.exe.VIR00' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018399.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 497b1daa.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018399.exe.VIR' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018414.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 4db753b2.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018414.exe.VIR' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018418.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 492154c3.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018418.exe.VIR' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018420.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 497d6d3b.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018420.exe.VIR' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018421.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 497c15e3.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018421.exe.VIR' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018423.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 49790e1b.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018423.exe.VIR' ! E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP84\A0018430.exe [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen [REMARQUE] Une copie de sécurité a été créée sous le nom 4db753b5.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'A0018430.exe.VIR' ! E:\WINDOWS\system32\drivers\sptd.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Recherche débutant dans 'F:\' Fin de la recherche : lundi 21 mars 2011 15:13 Temps nécessaire: 2:08:27 Heure(s) La recherche a été effectuée intégralement 16335 Les répertoires ont été contrôlés 663248 Des fichiers ont été contrôlés 13 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 13 Les fichiers ont été déplacés dans la quarantaine 12 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 663233 Fichiers non infectés 7248 Les archives ont été contrôlées 2 Avertissements 14 Consignes 54055 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

juju666 · Answer

Tu n'avais pas purgé ta restauration du système la dernière fois ??

Pas d'infections sur ton rapport ZHPDiag

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme



&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


 O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Clé orpheline
ServiceStop:Bonjour
ServiceDemand:Bonjour
FirewallRAZ
EmptyTemp
EmptyFlash


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

2//
&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n'arrive pas à le mettre à jour, télécharge ce fichier

@+

burton01 · Answer

Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre : E:\ZHPExportRegistry-21-03-2011-21-05-09.txt
Run by Anthony at 21/03/2011 21:05:09
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Clé orpheline  => Clé absente

========== Valeur(s) du Registre ==========
FirewallRaz : Aucune valeur présente dans la clé d'exception du registre .

========== Dossier(s) ==========
Dossiers Flash Cookies supprimés : 47

========== Fichier(s) ==========
Fichiers Flash Cookies supprimés : 25

========== Etat des services ==========
Bonjour  => Service arrêté avec succès
Bonjour  => Service non configuré (demand)


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
2 : Etat des services


End of the scan

burton01 · Answer

Il y avait 3 chevaux de troie en quarantaine, je les ai supprimé

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6121

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/03/2011 03:29:58
mbam-log-2011-03-22 (03-29-58).txt

Type d'examen: Examen complet (C:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 334639
Temps écoulé: 6 heure(s), 21 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

juju666 · Answer

avec cet examen ? 
il n'indique rien là.

burton01 · Answer

pourtant j'ai eu une attaque de Trojan et j'ai supprimé ceux qui étaient en quarantaine mais apparemment l'analyse n'a rien détecté oui

juju666 · Answer

c est ton antivirus qui a détecté ça ?  t'as encore le rapport?

burton · Answer

non et en plus l'ordi tout comme internet sont devenus très lents...

juju666 · Answer

je vois pas ce qu'il se passe...

&#9654 Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

&#9654 Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

&#9654 Lance OTL
&#9654 Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 
&#9654 Clique sur le bouton Analyse.
&#9654 Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

burton · Answer

http://pjjoint.malekal.com/files.php?id=f215afc7221385

http://pjjoint.malekal.com/files.php?id=e456ca9fa215613

juju666 · Answer

ton pc est sain ....

burton · Answer

hum étrange :s

juju666 · Answer

Nous allons réaliser une analyse complète de ton pc, en ligne:
Rends toi sur ce lien, avec Internet Explorer :


https://www.eset.com/

&#9654 Clique sur le carré vert "online scanner",
&#9654 Il recherchera ton navigateur pour voir s'il et compatible, une fois fait tu devras accepter les termes du contrat de licence, Accepte les   
&#9654 Une fois acceptés tu pourras alors cliquer sur start, Il risque de te demander d'installer un contrôle Active X..Accepte le   
&#9654Tu auras alors la page de paramètres d'analyse de l'ordinateur.Voici les paramètres à effectuer :   

&#9654 &#9654  Laisse cocher " Supprimer les menaces détectées "   
&#9654 &#9654 Coche la case " Analyser les archives "   

&#9654 Clique sur le lien en bleu " Paramètre Avancés",   

&#9654 Si elles ne sont pas cochées, coche ces cases :   

&#9654 &#9654    "Rechercher les applications potentiellement indésirables "   
&#9654 &#9654    "Rechercher les applications potentiellement dangereuses"   
&#9654 &#9654    "Activer la technologie Anti-Stealth (Anti-furtivité) "   

&#9654 Décoche cette cases :   

&#9654 &#9654  utilisez des paramètres proxy manuel...   

&#9654 une fois terminée, colle le rapport qui est stocké à cet emplacement :   
 C:\Program Files\EsetOnlineScanner\log.txt   
    

/!\ Il se peut que le Scan soit très long /!\

burton · Answer

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6425
# api_version=3.0.2
# EOSSerial=0bff94cb6f3cad4eb133dd43552b2ae8
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-03-25 11:31:21
# local_time=2011-03-25 12:31:21 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775125 100 100 572429 76526414 0 0
# compatibility_mode=8192 67108863 100 0 4094 4094 0 0
# scanned=233988
# found=15
# cleaned=15
# scan_time=41588
C:\Divers\Divers\fran-ang.exe.VIR	une variante probable de Win32/TrojanDropper.Agent.JCFXQGY cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
C:\Téléchargements\Nero 9 Key-Keygen-Serial-Multilinguage-Eng-Spa-Ger-Fra-Ita (Software, Application, App, 2008-2009 License, Full Edition).rar	Win32/Toolbar.AskSBar application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
E:\Documents and Settings\Anthony\Bureau\Divers\List_Killem_Install.exe	Win32/PrcView application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
E:\Documents and Settings\Anthony\Bureau\Divers\MsgPlusLive-460.exe	une variante de Win32/Adware.CiDHelp application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
E:\Documents and Settings\Anthony\Bureau\Divers\MsgPlusLive-482.exe	une variante de Win32/Adware.CiDHelp application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
E:\Documents and Settings\Anthony\Bureau\Divers\Setup_FreeVideoConverter.exe	Win32/Adware.Toolbar.Dealio application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP96\A0024324.exe	Win32/Toolbar.AskSBar application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP96\A0024335.exe	Win32/PrcView application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP96\A0024336.exe	une variante de Win32/Adware.CiDHelp application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP96\A0024337.exe	une variante de Win32/Adware.CiDHelp application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
E:\System Volume Information\_restore{1B6D7BE1-9666-4B13-9E24-6B78AB4BBCB5}\RP96\A0024338.exe	Win32/Adware.Toolbar.Dealio application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
J:\Sony Vegas Movie Studio Fr v7.0A+6.0 Keygen.zip	une variante de Win32/Keygen.AQ application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
J:\Sony.Cinescore.v1.0.Incl.Keygen-SSG.rar	une variante de Win32/Keygen.AQ application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
J:\Fichiers reçus 2\Final Draft 7 + Activation KeyGen + Crack.rar	une variante de Win32/Tool.TPE.A application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
J:\Fichiers reçus 2\Sony.Vegas.v7.0d.Incl.Keygen-SSG.rar	une variante de Win32/Keygen.AQ application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C

burton · Answer

je fais quoi ensuite ? direct terminer ? ou alors suppression des fichiers en quarantaine ?

juju666 · Answer

fais supprimer.

vu les keygens (sources d'infection) ... fais gaffe quoi !

les soucis toujours présents ?

burton · Answer

merde j'ai coupé sans supprimer ne sachant pas quoi faire

sinon mon ordi est LENT un truc de fou...

juju666 · Answer

Arf...

Je sais plus quoi faire de toi :P

&#9654 Télécharge l'image de Dr.Web LiveCD.  
ftp://ftp.drweb.com/pub/drweb/livecd/drweb-livecd-600.iso  
&#9654 Il faut graver l'image sur CD ou DVD. Par exemple, si vous utilisez Nero Burning ROM :  
          * Met le disque vide CD/DVD dans le lecteur  
          * Sélectionne "Ouvrir"  
          * Trouve et choisis une image mémorisée  
          * Clique sur le bouton "Graver" et attend la fin du processus d'enregistrement   
&#9654  Vérifie si ton PC va démarrer depuis le lecteur de CD-ROM où se trouve votre Dr.Web LiveCD, ou depuis un autre support contenant Dr.Web LiveCD. En cas de nécessité, fait entrer les paramétrages nécessaires dans le BIOS de ton  ordinateur  
&#9654 Au démarrage de Dr.Web LiveCD, une boîte de dialogue va s'afficher et là, tu peux choisir un mode de lancement : standard ou sans échec (safe mode)  
&#9654 A l'aide des touches flèches du clavier, sélectionne un élément du menu, et clique sur [Enter]:  

&#9654 Afin de lancer la version du scanner avec GUI, sélectionne le mode standard de lancement de DrWeb-LiveCD (Default)  
&#9654 Si le mode standard est sélectionné DrWeb-LiveCD (Default)), le système opérationnel trouvera automatiquement toutes les parties disponibles du disque dur et effectuera la connexion au réseau local si c'est possible  
&#9654 A la fin du chargement, sélectionne tous tes disques durs, clés usb, etc et  et cliques sur Start  
@+

burton · Answer

Je te met en lien le gestionnaire des tâches afin que tu regardes en rouge ce que c'est car je n'en ai aucune idée

http://www.cijoint.fr/cjlink.php?file=cj201103/cijDuHvLHY.jpg 

sinon avant de faire ta dernière manip, un ZHPdiag ne serait pas utile histoire de réparer ce qui aurait pu être endommagé depuis ?

burton · Answer

le plugin container atteint même 100 000ko en ce moment même

juju666 · Answer

salut rien de grave ça, désinstalle et réinstalle firefox pour voir ??

Facebook bug chat virus ?

105 réponses

Votre réponse

Discussions similaires

Newsletters