Des Trojans à la pelle

Résolu

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention -
Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention - 11 mars 2011 à 09:03

Bonjour,
Depuis quelques jours, Avira me trouve des Trojans à la pelle. Ils se trouvent tous dans Windows/temp/14364. Ce sont des TR/Crypt.ULPM.Gen
Je les supprime, mais ils reviennent au bout d'un moment.
J'ai fait un rapport HijackThis et ZHPDiag que je vous soumets:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:56:57, on 08/03/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\DeviceVM\Browser Configuration Utility\BCU.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\DeviceVM\Browser Configuration Utility\BCUService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:60727
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BCU] "C:\Program Files\DeviceVM\Browser Configuration Utility\BCU.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/...
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kavwebscan_unicode.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Browser Configuration Utility Service (BCUService) - DeviceVM, Inc. - C:\Program Files\DeviceVM\Browser Configuration Utility\BCUService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Windows Internet Name Service - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe

End of file - 8013 bytes

J'ai posté le rapport ZHPDiag là:
https://pjjoint.malekal.com/files.php?read=5cbaa129f21411&html=on

J'espère que vous pourrez m'aider.
Merci d'avance.

--
le1000pat

A voir également:

Des Trojans à la pelle
3 nains vont à la mine le premier prend une pelle réponse - Forum Loisirs / Divertissements
Bonjour je cherche la réponse à la devinette svp ✓ - Forum Loisirs / Divertissements
Clip roulage de pelle ✓ - Forum Musique / Radio / Clip
Mini pelle 3000 euros - Forum Vos droits sur internet
Cherche clip avec petits bonhommes ✓ - Forum Musique / Radio / Clip

11 réponses

Réponse 1 / 11

Tigzy Messages postés 7498 Date d'inscription Statut Contributeur sécurité Dernière intervention 582

Salut

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Tu peux poster RKreport[2].txt ?

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

Voilà

RogueKiller V4.2.0 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Patrick [Droits d'admin]
Mode: Suppression -- Date : 09/03/2011 08:31:24

Processus malicieux: 1
[APPDT/TMP/DESKTOP] wins.exe -- c:\windows\system32\config\systemprofile\local settings\application data\windows internet name service\wins.exe -> KILLED

Entrees de registre: 0

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 328

@ Tigzy
MBAM n'as pas supprimé le fichier wins;exe.
Tooujours présent dans le rapport ZHPDiag ==> http://www.cijoint.fr/cjlink.php?file=cj201103/cijTEgW8W0.txt

Tu penses qu'il faut l'indiquer à MBAM ?

Tigzy Messages postés 7498 Date d'inscription Statut Contributeur sécurité Dernière intervention 582

Hello. Il faudrait en effet.
On va le récupérer

@le1000pat:
Peut tu poster le rapport QuarantineReport.txt qui se trouve dans RK_Quarantine?

Par la même occasion, peut tu faire une archive du dossier RK_Quarantine, le renommer wins-Tigzy et l'envoyer ici : http://upload.malekal.com/ ?

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

Tigzy, je ne sais pas où aller chercher ton QuarantineReport. Roquekiller ne me fait qu'un rapport que je vous post:

RogueKiller V4.2.0 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Patrick [Droits d'admin]
Mode: Recherche -- Date : 09/03/2011 15:19:55

Processus malicieux: 1
[APPDT/TMP/DESKTOP] wins.exe -- c:\windows\system32\config\systemprofile\local settings\application data\windows internet name service\wins.exe -> KILLED

Entrees de registre: 0

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Tigzy Messages postés 7498 Date d'inscription Statut Contributeur sécurité Dernière intervention 582

Le dossier RK_Quarantine se trouve à côté de RogueKiller.exe (et du rapport), du moins dans le même dossier. Si tu l'as exécuté depuis le bureau, il se trouve aussi sur le bureau.

Réponse 2 / 11

Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 328

Oui c'est oK. Est-ce que tu as fait la suite ?

Smart

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

Oui, j'ai tout fait dans l'ordre 1) 2) 3) et j'ai lu tes conseils.
Je vous remercies vivement toi et Tigzy pour m'avoir aider.
Je vais être prudent à l'avenir.
Merci 1000 fois encore.

Réponse 3 / 11

Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 328

Bonjour,

On va faire un diagnostic plus poussé de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

Salut Smart91
J'ai fait un diagnostic ZHPDiag. J'ai mis le lien en bas de ma page. Je te le redonne quand même:
https://pjjoint.malekal.com/files.php?read=5cbaa129f21411&html=on

Merci de m'aider.

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

Voila le lien:
http://www.cijoint.fr/cjlink.php?file=cj201103/cijTEgW8W0.txt

Réponse 4 / 11

Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 328

En effet tu es infecté peut être un rogue (faux antivirus) et autre trojan.

Tu vas faire ceci:

- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 1 [SCAN] et valide
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

Voilà, c'est fait:

RogueKiller V4.2.0 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Patrick [Droits d'admin]
Mode: Recherche -- Date : 08/03/2011 18:03:57

Processus malicieux: 1
[APPDT/TMP/DESKTOP] wins.exe -- c:\windows\system32\config\systemprofile\local settings\application data\windows internet name service\wins.exe -> KILLED

Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:60727) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 11

Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 328

Reance RogueKiller
Tu choisis l'option 2
Et tu le relances et tu choisis l'option 4

Et tu postes le rapport.

Ensuite tu fais ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

J'ai fait ce que tu m'as demandé:

RogueKiller V4.2.0 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Patrick [Droits d'admin]
Mode: Proxy RAZ -- Date : 09/03/2011 08:31:40

Processus malicieux: 0

Entrees de registre: 0

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5996

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/03/2011 10:03:09
mbam-log-2011-03-09 (10-03-09).txt

Type d'examen: Examen complet (C:\|D:\|K:\|)
Elément(s) analysé(s): 258331
Temps écoulé: 54 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{3151f20c-5af3-4516-b118-fac3d231961c}\RP119\A0027809.exe (Adware.Bandoo) -> Quarantined and deleted successfully.
c:\system volume information\_restore{3151f20c-5af3-4516-b118-fac3d231961c}\RP119\A0027813.exe (Adware.Bandoo) -> Quarantined and deleted successfully.
c:\system volume information\_restore{3151f20c-5af3-4516-b118-fac3d231961c}\RP119\A0027816.exe (Adware.Bandoo) -> Quarantined and deleted successfully.

Voilà, j'espère que ça va.

Réponse 6 / 11

Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 328

OK Relance MBAM et vide la quarantaine.
Refais un scan ZHPDiag et poste le rapport via cljpoint, pour vérifier tout cela

Smart

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

J'ai posté le lien comme tu me l'as demandé:
http://www.cijoint.fr/cjlink.php?file=cj201103/cijTEgW8W0.txt

Réponse 7 / 11

Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 328

OK. On continue.
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[MD5.1C2FDEE5074F0C45F0E63DC99E6BF26C] - (.Pas de propriétaire - Provides Internet Name Service.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe [4849152]
O23 - Service: (Windows Internet Name Service) . (.Pas de propriétaire - Provides Internet Name Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe
O43 - CFD: 13/12/2010 - 10:22:44 - [968] ----D- C:\Documents and Settings\Patrick\Local Settings\Application Data\CFM
O43 - CFD: 23/02/2011 - 09:09:42 - [362573] ----D- C:\Documents and Settings\Patrick\Local Settings\Application Data\freecompressor Air
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe" [Enabled] .(.Pas de propriétaire.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Win
O64 - Services: CurCS - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe - Windows Internet Name Service (Windows Internet Name Service) .(.Pas de propriétaire - Provides Internet Name Servic
SR - | Auto 27/02/2011 4849152 | (Windows Internet Name Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Ensuite tu vas faire ceci:

Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\WINDOWS\System32\queries-05.cache
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport

Et tu refais la même chose avec ce fichier:
C:\WINDOWS\System32\queries-02.cache

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

Smart, il faut que je m'en aille. Je continuerai ça ce soir si ça ne te dérange pas.
A+ et merci encore.

Réponse 8 / 11

Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 328

On fait à ton rythme :-)

Smart

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

Me revoilà

Rapport ZHPFix:

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-09-03-2011-19-29-11.txt
Run by Patrick at 09/03/2011 19:29:11
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe [4849152] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O23 - Service: (Windows Internet Name Service) . (.Pas de propriétaire - Provides Internet Name Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe => Clé absente
O64 - Services: CurCS - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe - Windows Internet Name Service (Windows Internet Name Service) .(.Pas de propriétaire - Provides Internet Name Servic => Clé absente

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe" [Enabled] .(.Pas de propriétaire.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Win => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\Patrick\Local Settings\Application Data\CFM => Supprimé et mis en quarantaine
C:\Documents and Settings\Patrick\Local Settings\Application Data\freecompressor Air => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\windows\system32\config\systemprofile\local settings\application data\win => Fichier absent

========== Récapitulatif ==========
1 : Processus mémoire
2 : Clé(s) du Registre
1 : Valeur(s) du Registre
2 : Dossier(s)
1 : Fichier(s)

End of the scan

-------------------------------------------------------------------------------------------
Les liens vers Virustotal:

http://www.virustotal.com/file-scan/report.html?id=a7aeb9c6e413d7a88f273576585d4e23954deb1f2a3cf2bb586b1dbdc8e61d4c-1299695332

http://www.virustotal.com/file-scan/report.html?id=38ef237ba7f535fc33c9eae045470d0e0539d857c8373d98f787ef4ad1fbdbb5-1299695638

Réponse 9 / 11

Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 328

Refais un dernier scan ZHPdiag et poste le rapport via cijoint pour vérifier. et normalement on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

Je me reabscente 1h et je fais ça
A+

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

Me revoilà. Je me suis absenté plus d'une heure ;), mais je suis prêt à continuer si tu veux.
Rapport ZHPDiag tout frais de ce matin:

http://www.cijoint.fr/cjlink.php?file=cj201103/cijgqCjyDP.txt

Réponse 10 / 11

Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 328

OK.

On va faire l'optimisation:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O23 - Service: (Windows Internet Name Service) - Clé orpheline
SS - | Auto 13/12/2010 0 | (Windows Internet Name Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe
CTFDisabled
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe
OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-448539723-1085031214-725345543-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
[HKLM\Software\BrowserChoice]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

- Par rapport au P2P : http://www.libellules.ch/...

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

le1000pat Messages postés 516 Date d'inscription Statut Membre Dernière intervention 182

J'ai tout fait dans l'ordre
Voici le rapport ZHPFix

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre :
Run by Patrick at 10/03/2011 13:54:01
Windows XP Home Edition Service Pack 3 (Build 2600)

========== Clé(s) du Registre ==========
O23 - Service: (Windows Internet Name Service) - Clé orpheline => Clé non supprimée
SS - | Auto 13/12/2010 0 | (Windows Internet Name Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe => Clé non supprimée
HKLM\Software\BrowserChoice => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-448539723-1085031214-725345543-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente

========== Elément(s) de donnée du Registre ==========
CTFDisabled => CTFMon désactivé par défaut

========== Fichier(s) ==========
c:\windows\system32\config\systemprofile\local settings\application data\windows internet name service\wins.exe => Fichier absent

========== Récapitulatif ==========
3 : Clé(s) du Registre
10 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Fichier(s)

End of the scan

Est-ce que ça a l'air bon ?

Réponse 11 / 11

Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention 2 328

Heureux de t'avoir aidé

Smart

Discussions similaires

Je recherche le titre d'une chanson. Année 2000/2001

le clip du baiser

Devinette - Trois nains vont à la mine

Bonjour, je cherche la réponse a une énigme

Devinette

Votre réponse

Discussions similaires