Infection par trojan agent_r.xJ Résolu/Fermé

Question

Bonsoir,

Je me permets de vous écrire car il semble que le cheval de troie agent rxJ ait infecté le PC (sous windows Xp). C'est soit venu avec le téléchargement d'un fichier, soit en cliquant par erreur sur de fausses alertes de sécurité dans internet explorer (c'est mon compagnon qui naviguait, donc je ne sais pas dire exactement.) AVG détecte le trojan, mais ne sait pas le supprimer ou le mettre en quarantaine. Je n'ai plus accès à aucun de mes documents ou de mes photos (ils ont disparu!); le gestionnaire de tâches ainsi que le mode administrateur ont été désactivé par cette menace. Je n'ai plus de bureau, juste un écran bleu avec corbeille et internet explorer. Il y a tout le temps des fenêtres avec de faux messages de sécurité qui s'ouvrent (d'autres menaces?): "windows fixdisk", "antimalware doctor" et "windows security alert".  Plus d'autres alertes du type "hard drive failure". Aucune source de données externes n'était connectée au PC lors de l'infection, c'est déjà ça. Je ne sais pas quoi faire... J'espère ne pas avoir perdu mes documents. J'ai entendu parler d'OTL mais je sais que cela nécessite des connaissances avancées pour supprimer les fichiers infectés, connaissances que je n'ai pas! C'est pourquoi, au lieu de suivre la procédure donnée à d'autres internautes sur les forums, je préfère me tourner vers vous personnellement. D'avance, merci! Bien cordialement, Sophie

Sophie · Answer

Up, quelqu'un pour me venir en aide??? Merci beaucoup!

juju666 · Answer

hello

t as bien fait de relancer.
coupe AVG, il va gêner

&#9654 Télécharge sur le bureau RogueKiller  (par tigzy)   

&#9654 &#9654 Sous Windows XP, double clic gauche   

&#9654 &#9654  Sous Vista/Seven, clique droit, lancer en tant qu'administrateur   

&#9654 Quitte tous tes programmes en cours   
&#9654 Lance RogueKiller.exe.   
&#9654 Un scan se lance, puis tu verra d'indiqué dans la fenêtre  
&#9654 &#9654 1. Scan (écrit en vert) 
&#9654 &#9654 2. Delete (écrit en rouge)  
&#9654 &#9654 3. Hosts RAZ (écrit en rouge)  
&#9654 &#9654 4. Proxy RAZ (écrit en rouge) 
&#9654 &#9654 5. DNS RAZ (écrit en rouge) 
&#9654 &#9654 6. Raccourcis RAZ (écrit en rouge) 
&#9654  A ce moment tape 2 et valide   
Note: s'il te demande de supprimer le proxy, tape 4   
&#9654 Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
&#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

Sophie · Answer

Bonjour, merci pour vos conseils! J'ai mis en oeuvre la procédure recommandée et redémarré le pc. On dirait que les fausses alertes ont cessé de s'afficher. Mon image de bureau est revenue, mais par contre, toujours AUCUNE trace de mes documents et nouveauté, de mes programmes (traitements de texte compris). Est-ce tout a été formaté par l'infection??? Enfin, j'évite de paniquer et en attendant, voici toujours le rapport généré par roguekiller: RogueKiller V4.3.9 [16/04/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: james [Droits d'admin] Mode: Suppression -- Date : 17/04/2011 14:32:45 Processus malicieux: 3 [APPDT/TMP/DESKTOP] k70ccreloc.exe -- c:\documents and settings\james\application data\a5b6a4121e0eea68352cde1918f888d3\k70ccreloc.exe -> KILLED [APPDT/TMP/DESKTOP] tAExRDJWhvf.exe -- c:\documents and settings\all users\application data\taexrdjwhvf.exe -> KILLED [ROGUE ST] 18538292.exe -- c:\documents and settings\all users\application data\18538292.exe -> KILLED Entrees de registre: 20 [APPDT/TMP/DESKTOP] HKCU\[...]\Run : TBXQRHV4KR (C:\DOCUME~1\james\LOCALS~1\Temp\Jz6.exe) -> DELETED [APPDT/TMP/DESKTOP] HKCU\[...]\Run : 0ESKOMO9JO (C:\DOCUME~1\james\LOCALS~1\Temp\Jz5.exe) -> DELETED [APPDT/TMP/DESKTOP] HKCU\[...]\Run : k70ccreloc.exe (C:\Documents and Settings\james\Application Data\A5B6A4121E0EEA68352CDE1918F888D3\k70ccreloc.exe) -> DELETED [APPDT/TMP/DESKTOP] HKCU\[...]\Run : tAExRDJWhvf (C:\Documents and Settings\All Users\Application Data\tAExRDJWhvf.exe) -> DELETED [APPDT/TMP/DESKTOP] HKUS\.DEFAULT[...]\Run : AMService (C:\WINDOWS\TEMP\ukgm\setup.exe) -> DELETED [APPDT/TMP/DESKTOP] HKUS\S-1-5-19[...]\Run : upd_debug.exe ("C:\Documents and Settings\james\Application Data\A5B6A4121E0EEA68352CDE1918F888D3\upd_debug.exe") -> DELETED [APPDT/TMP/DESKTOP] HKUS\S-1-5-20[...]\Run : upd_debug.exe ("C:\Documents and Settings\james\Application Data\A5B6A4121E0EEA68352CDE1918F888D3\upd_debug.exe") -> DELETED [APPDT/TMP/DESKTOP] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Documents and Settings\james\Application Data\Microsoft\Windows\shell.exe) -> DELETED [APPDT/TMP/DESKTOP] HKCU\[...]\Windows : load (C:\DOCUME~1\james\LOCALS~1\Temp\dwm.exe) -> DELETED [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> DELETED [BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> DELETED [APPDT/TMP/DESKTOP] {22116563-108C-42c0-A7CE-60161B75E508}.job : jz5.exe -> DELETED [APPDT/TMP/DESKTOP] Antimalware Doctor.lnk : C:\Documents and Settings\james\Application Data\A5B6A4121E0EEA68352CDE1918F888D3\k70ccreloc.exe -> DELETED [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:50370) -> NOT REMOVED, USE PROXYFIX [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0) [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0) [HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0) [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\james\Local Settings\Application Data\Microsoft\Wallpaper1.bmp) Fichier HOSTS: Termine : << RKreport[1].txt >> RKreport[1].txt Qu'en pensez-vous? Merci encore, Sophie

Sophie · Answer

Rectification: il semble que mes fichiers et programmes soient toujours présents mais qu'ils aient tous été transformés en fichiers "cachés". Une idée pour rendre le tout normal?

juju666 · Answer

oui :)

relance roguekiller option 6 et poste le rapport :)

Sophie · Answer

Bonjour et merci! J'ai lancé le mode 6 en mode sans échec car plus rien sur le bureau et après plus de 30 minutes où j'ai laissé l'outil travailler, cela a fonctionné. Voici le rapport: RogueKiller V4.3.9 [16/04/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec Utilisateur: james [Droits d'admin] Mode: Raccourcis RAZ -- Date : 18/04/2011 11:31:42 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 10019 / Fail 19 Lancement rapide: Success 11 / Fail 0 Programmes: Success 310 / Fail 0 Menu demarrer: Success 100 / Fail 0 Dossier utilisateur: Success 264 / Fail 0 Mes documents: Success 9986 / Fail 4 Mes favoris: Success 305 / Fail 2 Mes images: Success 17 / Fail 0 Ma musique: Success 0 / Fail 1 Mes videos: Success 8 / Fail 0 Disques locaux: Success 79001 / Fail 4 Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt Par contre, Rogue Killer et AVG ont toujours une quarantaine et AVG détecte toujours le cheval de troie agent rxj sans savoir le réparer. Voici déjà le rapport de la quarantaine roguekiller: Time : 17/04/2011 14:32:44 -------------------------- [k70ccreloc.exe.vir] -> c:\documents and settings\james\application data\a5b6a4121e0eea68352cde1918f888d3\k70ccreloc.exe [tAExRDJWhvf.exe.vir] -> c:\documents and settings\all users\application data aexrdjwhvf.exe [18538292.exe.vir] -> c:\documents and settings\all users\application data\18538292.exe ERROR [jz6.exe.vir] -> c:\docume~1\james\locals~1 emp\jz6.exe ERROR [jz5.exe.vir] -> c:\docume~1\james\locals~1 emp\jz5.exe [k70ccreloc.exe.vir] -> c:\documents and settings\james\application data\a5b6a4121e0eea68352cde1918f888d3\k70ccreloc.exe [taexrdjwhvf.exe.vir] -> c:\documents and settings\all users\application data aexrdjwhvf.exe ERROR [setup.exe.vir] -> c:\windows emp\ukgm\setup.exe [upd_debug.exe.vir] -> c:\documents and settings\james\application data\a5b6a4121e0eea68352cde1918f888d3\upd_debug.exe [upd_debug.exe.vir] -> c:\documents and settings\james\application data\a5b6a4121e0eea68352cde1918f888d3\upd_debug.exe ERROR [explorer.exe.vir] -> explorer.exe ERROR [shell.exe.vir] -> c:\documents and settings\james\application data\microsoft\windows\shell.exe ERROR [dwm.exe.vir] -> c:\docume~1\james\locals~1 emp\dwm.exe ERROR [jz5.exe.vir] -> c:\docume~1\james\locals~1 emp\jz5.exe [k70ccreloc.exe.vir] -> c:\documents and settings\james\application data\a5b6a4121e0eea68352cde1918f888d3\k70ccreloc.exe J'apprécie énormément votre aide et quand ce sera terminé, je souhaiterais faire un geste envers le forum. Il y a t-il moyen de faire un don? Bien à vous, Sophie

juju666 · Answer

Salut Sophie :)

Oui RogueKiller rend le rogue inactif mais physiquement il est toujours là.
Concernant les dons; tu peux faire un don pour les outils, moi je ne fais que donner la procédure ^^'

Donc la suite :

Désactive ton antivirus qui risque de gêner MBAM

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n'arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

Sophie · Answer

Bonsoir. La première fois, le mode scan complet a planté, donc j'ai fait un scan rapide, me disant que c'était peut-être du à l'action d'une des menaces. En voilà le rapport: 

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6388

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18/04/2011 13:22:15
mbam-log-2011-04-18 (13-22-02).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 177225
Temps écoulé: 13 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1602F07D-8BF3-4C08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\0ESKOMO9JO (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TBXQRHV4KR (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Spyware.Passwords.XGen) -> Bad: (muywlxvc.dll) Good: () -> No action taken.

Dossier(s) infecté(s):
c:\documents and settings\james\menu démarrer\programmes\antimalware doctor (Rogue.AntiMalwareDoctor) -> No action taken.

Fichier(s) infecté(s):
c:\WINDOWS\system32\muywlxvc.dll (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\all users\application data\18538292.exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\all users\application data	aexrdjwhvf.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.
c:\WINDOWS	emp	mp.exe (Trojan.Wigon) -> No action taken.
c:\documents and settings\james\application data\Adobe\plugs\kb44452968.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\james\application data\Adobe\plugs\kb44457406.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\james\application data\microsoft\stor.cfg (Malware.Trace) -> No action taken.
c:\documents and settings\james\Bureau\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
c:\documents and settings\james\application data\microsoft\internet explorer\quick launch\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
c:\documents and settings\james\menu démarrer\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> No action taken.
c:\documents and settings\james\menu démarrer\programmes\antimalware doctor\antimalware doctor.lnk (Rogue.AntiMalwareDoctor) -> No action taken.
c:\documents and settings\james\menu démarrer\programmes\antimalware doctor\sommaire de onenote.onetoc2 (Rogue.AntiMalwareDoctor) -> No action taken.
c:\documents and settings\james\menu démarrer\programmes\antimalware doctor\uninstall.lnk (Rogue.AntiMalwareDoctor) -> No action taken.

Le rapport après suppression indiquait pour tous qu'il avait avec succès mis en quarantaine et supprimé. 


Puis plus tard j'ai relancé un mode complet, et il a encore trouvé plusieurs choses: 

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6388

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18/04/2011 18:34:50
mbam-log-2011-04-18 (18-34-43).txt

Type d'examen: Examen complet (C:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Elément(s) analysé(s): 275002
Temps écoulé: 1 heure(s), 28 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\james\application data\a5b6a4121e0eea68352cde1918f888d3\k70ccreloc.exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\james\application data\a5b6a4121e0eea68352cde1918f888d3\upd_debug.exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\james\Bureauk_quarantine\18538292.exe.vir (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\james\Bureauk_quarantine\k70ccreloc.exe.vir (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\james\Bureauk_quarantine	aexrdjwhvf.exe.vir (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\james\Bureauk_quarantine\upd_debug.exe.vir (Trojan.FakeAlert) -> No action taken.
c:\system volume information\_restore{54887473-e0e8-4e40-8cb4-34743021c726}\RP1275\A0131531.exe (Trojan.FakeAlert) -> No action taken.
c:\system volume information\_restore{54887473-e0e8-4e40-8cb4-34743021c726}\RP1275\A0131582.exe (Trojan.FakeAlert) -> No action taken.
c:\system volume information\_restore{54887473-e0e8-4e40-8cb4-34743021c726}\RP1275\A0131614.exe (Trojan.FakeAlert) -> No action taken.
c:\system volume information\_restore{54887473-e0e8-4e40-8cb4-34743021c726}\RP1275\A0131660.exe (Trojan.FakeAlert) -> No action taken.
c:\system volume information\_restore{54887473-e0e8-4e40-8cb4-34743021c726}\RP1275\A0131696.exe (Trojan.FakeAlert) -> No action taken.

Rapport de suppression, idem que le 1er pour tous : "quarantined and deleted successfully". 

AVG et malwarebytes ne trouvent pour l'instant plus rien et tout a l'air normal. Peut-être que tout est rentré dans l'ordre? 

Merci de votre patience en tout cas! 

Entendu pour les dons aux outils...

Sophie

juju666 · Answer

Très très bien :)

Maintenant voyons si tu n'as pas d'autres infections :

&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

Sophie · Answer

Oui, j'avais vu cela aussi! (Maintenant savoir ce que cela voulait dire c'était autre chose...) Par contre pas moyen d'uploader le rapport Zhpdiag, sur aucun des sites renseignés. Je vais encore essayer.

juju666 · Answer

Salut Sophie :

1/

Relance RogueKiller, option 4 et poste le rapport

2/

&#9654 Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau  
&#9654 Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit  
dessus, et sur exécuter en tant qu'administrateur)  
&#9654 Clique sur Start Scan
  
&#9654 &#9654 Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
&#9654 &#9654 Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
&#9654 &#9654 Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
&#9654 &#9654 Si Suspicious file est indiqué, laisse l'option cochée sur Skip 

&#9654 A la fin clique sur Reboot Now  
&#9654 Le PC va redémarrer, et un rapport va s'ouvrir  
&#9654 Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer  
N° de version_Date_Heure_log.txt)

Sophie · Answer

Bonjour, Ce message répond à trois choses: 1)rapport Roguekiller mode 4 proxy 2)rapport TDSS 3)lien pour le rapport Zhpdiag 1) J'avais fait le mode 4 il y a 2 jours, suite à ce qui a été discuté plus haut. Le rapport donnait ceci (je l'ai refait aujourd'hui par acquit de conscience et plus rien n'est détecté): ------------------ Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec Utilisateur: james [Droits d'admin] Mode: Proxy RAZ -- Date : 18/04/2011 11:41:23 Processus malicieux: 0 Entrees de registre: 1 [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:50370) -> DELETED Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt -------------------- 2) Quant à TDSS voilà le rapport: --------------------- 2011/04/20 14:54:30.0484 3812 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28 2011/04/20 14:54:30.0750 3812 ================================================================================ 2011/04/20 14:54:30.0750 3812 SystemInfo: 2011/04/20 14:54:30.0750 3812 2011/04/20 14:54:30.0750 3812 OS Version: 5.1.2600 ServicePack: 3.0 2011/04/20 14:54:30.0750 3812 Product type: Workstation 2011/04/20 14:54:30.0750 3812 ComputerName: ORDITOUT 2011/04/20 14:54:30.0750 3812 UserName: james 2011/04/20 14:54:30.0750 3812 Windows directory: C:\WINDOWS 2011/04/20 14:54:30.0750 3812 System windows directory: C:\WINDOWS 2011/04/20 14:54:30.0750 3812 Processor architecture: Intel x86 2011/04/20 14:54:30.0750 3812 Number of processors: 2 2011/04/20 14:54:30.0750 3812 Page size: 0x1000 2011/04/20 14:54:30.0750 3812 Boot type: Normal boot 2011/04/20 14:54:30.0750 3812 ================================================================================ 2011/04/20 14:54:31.0125 3812 Initialize success 2011/04/20 14:54:38.0812 5004 ================================================================================ 2011/04/20 14:54:38.0812 5004 Scan started 2011/04/20 14:54:38.0812 5004 Mode: Manual; 2011/04/20 14:54:38.0812 5004 ================================================================================ 2011/04/20 14:54:39.0312 5004 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys 2011/04/20 14:54:39.0375 5004 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys 2011/04/20 14:54:39.0437 5004 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys 2011/04/20 14:54:39.0593 5004 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys 2011/04/20 14:54:39.0968 5004 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys 2011/04/20 14:54:40.0218 5004 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys 2011/04/20 14:54:40.0296 5004 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys 2011/04/20 14:54:40.0437 5004 ati2mtag (669a8717dbe1a6b03898a190e4708b2f) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys 2011/04/20 14:54:40.0593 5004 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys 2011/04/20 14:54:40.0671 5004 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys 2011/04/20 14:54:40.0781 5004 AvgLdx86 (b8c187439d27aba430dd69fdcf1fa657) C:\WINDOWS\system32\Drivers\avgldx86.sys 2011/04/20 14:54:40.0875 5004 AvgMfx86 (53b3f979930a786a614d29cafe99f645) C:\WINDOWS\system32\Drivers\avgmfx86.sys 2011/04/20 14:54:40.0937 5004 AvgTdiX (22e3b793c3e61720f03d3a22351af410) C:\WINDOWS\system32\Drivers\avgtdix.sys 2011/04/20 14:54:41.0000 5004 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys 2011/04/20 14:54:41.0093 5004 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys 2011/04/20 14:54:41.0234 5004 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys 2011/04/20 14:54:41.0343 5004 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys 2011/04/20 14:54:41.0484 5004 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys 2011/04/20 14:54:41.0531 5004 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys 2011/04/20 14:54:41.0796 5004 cxbu0wdm (58831e55969c28f3377157300b7c4000) C:\WINDOWS\system32\DRIVERS\cxbu0wdm.sys 2011/04/20 14:54:41.0937 5004 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys 2011/04/20 14:54:42.0046 5004 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys 2011/04/20 14:54:42.0187 5004 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys 2011/04/20 14:54:42.0234 5004 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys 2011/04/20 14:54:42.0328 5004 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys 2011/04/20 14:54:42.0500 5004 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys 2011/04/20 14:54:42.0656 5004 eeCtrl (70aeac5d481b2904b40f2173e280b1b5) C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys 2011/04/20 14:54:42.0921 5004 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys 2011/04/20 14:54:42.0984 5004 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys 2011/04/20 14:54:43.0015 5004 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys 2011/04/20 14:54:43.0140 5004 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys 2011/04/20 14:54:43.0218 5004 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys 2011/04/20 14:54:43.0281 5004 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys 2011/04/20 14:54:43.0359 5004 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys 2011/04/20 14:54:43.0453 5004 giveio (77ebf3e9386daa51551af429052d88d0) C:\WINDOWS\system32\giveio.sys 2011/04/20 14:54:43.0609 5004 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys 2011/04/20 14:54:43.0703 5004 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys 2011/04/20 14:54:43.0781 5004 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys 2011/04/20 14:54:43.0984 5004 HPZid412 (d03d10f7ded688fecf50f8fbf1ea9b8a) C:\WINDOWS\system32\DRIVERS\HPZid412.sys 2011/04/20 14:54:44.0078 5004 HPZipr12 (89f41658929393487b6b7d13c8528ce3) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys 2011/04/20 14:54:44.0203 5004 HPZius12 (abcb05ccdbf03000354b9553820e39f8) C:\WINDOWS\system32\DRIVERS\HPZius12.sys 2011/04/20 14:54:44.0281 5004 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys 2011/04/20 14:54:44.0437 5004 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys 2011/04/20 14:54:44.0578 5004 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys 2011/04/20 14:54:44.0750 5004 int15.sys (4d8d5b1c895ea0f2a721b98a7ce198f1) C:\Acer\Empowering Technology\eRecovery\int15.sys 2011/04/20 14:54:44.0937 5004 IntcAzAudAddService (3000e98f519cf6fda669bae8e47f7b4f) C:\WINDOWS\system32\drivers\RtkHDAud.sys 2011/04/20 14:54:45.0125 5004 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys 2011/04/20 14:54:45.0171 5004 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys 2011/04/20 14:54:45.0234 5004 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys 2011/04/20 14:54:45.0375 5004 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys 2011/04/20 14:54:45.0421 5004 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys 2011/04/20 14:54:45.0453 5004 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys 2011/04/20 14:54:45.0515 5004 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys 2011/04/20 14:54:45.0593 5004 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys 2011/04/20 14:54:45.0734 5004 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys 2011/04/20 14:54:45.0781 5004 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys 2011/04/20 14:54:45.0828 5004 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys 2011/04/20 14:54:46.0265 5004 MHNDRV (7f2f1d2815a6449d346fcccbc569fbd6) C:\WINDOWS\system32\DRIVERS\mhndrv.sys 2011/04/20 14:54:46.0437 5004 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys 2011/04/20 14:54:46.0750 5004 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys 2011/04/20 14:54:46.0906 5004 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys 2011/04/20 14:54:47.0171 5004 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys 2011/04/20 14:54:47.0546 5004 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys 2011/04/20 14:54:47.0906 5004 MRVW245 (dab46e8fc4f07e850a2b12189a2ec3bc) C:\WINDOWS\system32\DRIVERS\MRVW245.sys 2011/04/20 14:54:47.0984 5004 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys 2011/04/20 14:54:48.0046 5004 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys 2011/04/20 14:54:48.0156 5004 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys 2011/04/20 14:54:48.0234 5004 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys 2011/04/20 14:54:48.0328 5004 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys 2011/04/20 14:54:48.0406 5004 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys 2011/04/20 14:54:48.0468 5004 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys 2011/04/20 14:54:48.0578 5004 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys 2011/04/20 14:54:48.0671 5004 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys 2011/04/20 14:54:48.0718 5004 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys 2011/04/20 14:54:48.0843 5004 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys 2011/04/20 14:54:48.0953 5004 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys 2011/04/20 14:54:49.0015 5004 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys 2011/04/20 14:54:49.0078 5004 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys 2011/04/20 14:54:49.0140 5004 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys 2011/04/20 14:54:49.0187 5004 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys 2011/04/20 14:54:49.0265 5004 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys 2011/04/20 14:54:49.0343 5004 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys 2011/04/20 14:54:49.0500 5004 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys 2011/04/20 14:54:49.0609 5004 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys 2011/04/20 14:54:49.0656 5004 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys 2011/04/20 14:54:49.0765 5004 NTIDrvr (7f1c1f78d709c4a54cbb46ede7e0b48d) C:\WINDOWS\system32\DRIVERS\NTIDrvr.sys 2011/04/20 14:54:49.0890 5004 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys 2011/04/20 14:54:49.0953 5004 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys 2011/04/20 14:54:50.0031 5004 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys 2011/04/20 14:54:50.0109 5004 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys 2011/04/20 14:54:50.0234 5004 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys 2011/04/20 14:54:50.0343 5004 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys 2011/04/20 14:54:50.0437 5004 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys 2011/04/20 14:54:50.0500 5004 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys 2011/04/20 14:54:50.0593 5004 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys 2011/04/20 14:54:50.0718 5004 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys 2011/04/20 14:54:51.0140 5004 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys 2011/04/20 14:54:51.0312 5004 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys 2011/04/20 14:54:51.0984 5004 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys 2011/04/20 14:54:52.0125 5004 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys 2011/04/20 14:54:53.0031 5004 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys 2011/04/20 14:54:53.0343 5004 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys 2011/04/20 14:54:53.0437 5004 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys 2011/04/20 14:54:53.0484 5004 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys 2011/04/20 14:54:53.0656 5004 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys 2011/04/20 14:54:53.0781 5004 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys 2011/04/20 14:54:53.0953 5004 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys 2011/04/20 14:54:54.0078 5004 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys 2011/04/20 14:54:54.0125 5004 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys 2011/04/20 14:54:54.0343 5004 rt2500usb (4d075a4ecf49376042dbbfd8572d1bf5) C:\WINDOWS\system32\DRIVERS\rt2500usb.sys 2011/04/20 14:54:54.0656 5004 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys 2011/04/20 14:54:54.0781 5004 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys 2011/04/20 14:54:55.0109 5004 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys 2011/04/20 14:54:55.0343 5004 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys 2011/04/20 14:54:55.0781 5004 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys 2011/04/20 14:54:56.0203 5004 SONYPVU1 (a1eceeaa5c5e74b2499eb51d38185b84) C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS 2011/04/20 14:54:56.0593 5004 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys 2011/04/20 14:54:56.0906 5004 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys 2011/04/20 14:54:57.0218 5004 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys 2011/04/20 14:54:57.0359 5004 StillCam (3f669c9fc6411bdbc0155544aa876e46) C:\WINDOWS\system32\DRIVERS\serscan.sys 2011/04/20 14:54:57.0484 5004 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys 2011/04/20 14:54:57.0609 5004 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys 2011/04/20 14:54:57.0906 5004 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys 2011/04/20 14:54:58.0734 5004 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys 2011/04/20 14:54:58.0937 5004 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys 2011/04/20 14:54:59.0234 5004 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys 2011/04/20 14:54:59.0750 5004 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys 2011/04/20 14:54:59.0968 5004 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys 2011/04/20 14:55:00.0640 5004 UBHelper (e0c67be430c6de490d6ccaecfa071f9e) C:\WINDOWS\system32\drivers\UBHelper.sys 2011/04/20 14:55:01.0062 5004 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys 2011/04/20 14:55:01.0562 5004 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys 2011/04/20 14:55:01.0906 5004 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys 2011/04/20 14:55:02.0093 5004 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys 2011/04/20 14:55:02.0453 5004 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys 2011/04/20 14:55:02.0953 5004 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys 2011/04/20 14:55:03.0296 5004 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys 2011/04/20 14:55:03.0656 5004 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys 2011/04/20 14:55:04.0031 5004 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys 2011/04/20 14:55:04.0390 5004 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS 2011/04/20 14:55:04.0609 5004 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys 2011/04/20 14:55:05.0265 5004 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys 2011/04/20 14:55:05.0843 5004 VX3000 (45798ec03c6aeb45aa2f2084f7842f6c) C:\WINDOWS\system32\DRIVERS\VX3000.sys 2011/04/20 14:55:06.0500 5004 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys 2011/04/20 14:55:06.0968 5004 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys 2011/04/20 14:55:07.0453 5004 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS 2011/04/20 14:55:07.0671 5004 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys 2011/04/20 14:55:07.0968 5004 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys 2011/04/20 14:55:08.0421 5004 yukonwxp (518c4d4dcb93c88316303694163bbd63) C:\WINDOWS\system32\DRIVERS\yk51x86.sys 2011/04/20 14:55:08.0781 5004 ZD1211BU(ZyDAS) (478b4415dfb3a45b6fe61ec781e07d7b) C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys 2011/04/20 14:55:09.0328 5004 ZD1211U(ZyDAS) (3c185892dd5c13975966e8d1c2a65290) C:\WINDOWS\system32\DRIVERS\zd1211u.sys 2011/04/20 14:55:09.0687 5004 ZDPSp50 (00ae175b903d45ed4a62384d3315dc2a) C:\WINDOWS\system32\Drivers\ZDPSp50.sys 2011/04/20 14:55:09.0812 5004 \HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0) 2011/04/20 14:55:09.0812 5004 ================================================================================ 2011/04/20 14:55:09.0812 5004 Scan finished 2011/04/20 14:55:09.0812 5004 ================================================================================ 2011/04/20 14:55:09.0843 1616 Detected object count: 1 2011/04/20 14:55:38.0609 1616 \HardDisk0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot 2011/04/20 14:55:38.0609 1616 \HardDisk0 - ok 2011/04/20 14:55:38.0609 1616 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure 2011/04/20 14:55:45.0031 3148 Deinitialize success ---------------------------- 3) Voici aussi l'adresse pour le rapport Zph diag, cela vient enfin de réussir: http://pjjoint.malekal.com/files.php?id=adbf4bfe3691112 --------------------------- J'ai toujours quelques soucis: des problèmes pour lancer mozilla et quitter iexplorer (je vais retester maintenant que les nouvelles procédures ont été réalisées); et ce matin, j'ai du refaire le mode 6 de roguekiller car de nouveau plus rien sur le bureau. ---------------------------- A bientôt, et merci beaucoup pour votre temps! Sophie

juju666 · Answer

Salut Sophie, tu es infectée du worm Koobface.

mets à jour malwarebytes et refais un examen complet


==========================================

&#9654  Télécharge de AD-Remover sur ton Bureau. (TeamXScript) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Scanner » 
&#9654 Confirme lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Sophie0965 · Answer

Bonjour, Malwarebytes (effectivement mis à jour et en scan complet) ne détecte rien. En ce qui concerne AD-remover, le rapport suit... Je n'aurai pas accès au PC d'aujourd'hui 15h30-16h à samedi soir inclus, juste pour prévenir au cas où vous me répondez mais pas moi. Cordialement, Sophie ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 ======= Mis à jour par TeamXscript le 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com Site web: http://www.teamxscript.org C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 08:40:12 le 21/04/2011, Mode normal Microsoft Windows XP Professionnel Service Pack 3 (X86) james@ORDITOUT ( ) ============== RECHERCHE ============== Clé trouvée: HKLM\Software\Classes\Interface\{144940B1-F191-11D0-A8E2-00A0C90F29FC} Clé trouvée: HKLM\Software\Dealio Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1E6E5207-3B66-40BF-84DA-0E60E16303F7} Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} ============== SCAN ADDITIONNEL ============== **** Mozilla Firefox Version [3.5.18 (fr)] **** Plugins pqtplugin.dll (Apple Computer, Inc.) Plugins pqtplugin2.dll (Apple Computer, Inc.) Plugins pqtplugin3.dll (Apple Computer, Inc.) Plugins pqtplugin4.dll (Apple Computer, Inc.) Plugins pqtplugin5.dll (Apple Computer, Inc.) Plugins pqtplugin6.dll (Apple Computer, Inc.) Searchplugins\avg_igeared.xml (" (C:\Program Files\DivX\DivX Plus Web Player pdivx32.dll) BHO\{593DDEC6-7468-4cdd-90E1-42DADAA222E9} - "DivX HiQ" (C:\Program Files\DivX\DivX Plus Web Player pdivx32.dll) BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?) ======================================== C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s) C:\Program Files\Ad-Remover\Backup: 1 Fichier(s) C:\Ad-Report-SCAN[1].txt - 21/04/2011 08:40:18 (6453 Octet(s)) Fin à: 08:41:09, 21/04/2011 ============== E.O.F ==============

juju666 · Answer

salut sophie,

faudra qu'on stoppe koobface autrement...

tu peux lancer le nettoyage avec ad-remover 
laisse le pc redémarrer et poste le nouveau rapport

Sophie0965 · Answer

Ok! AVG remis a jour et en mode complet a encore détecté et supprimé des chevaux de troie "generic 22" ce matin... C'est un nid cette machine! C'est le dernier message que je peux poster avant dimanche matin, désolée. Mais voilà le rapport demandé. A bientôt! ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 ======= Mis à jour par TeamXscript le 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com Site web: http://www.teamxscript.org C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:47:24 le 21/04/2011, Mode normal Microsoft Windows XP Professionnel Service Pack 3 (X86) james@ORDITOUT ( ) ============== ACTION(S) ============== (!) -- Fichiers temporaires supprimés. Clé supprimée: HKLM\Software\Classes\Interface\{144940B1-F191-11D0-A8E2-00A0C90F29FC} Clé supprimée: HKLM\Software\Dealio Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1E6E5207-3B66-40BF-84DA-0E60E16303F7} Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} ============== SCAN ADDITIONNEL ============== **** Mozilla Firefox Version [3.5.18 (fr)] **** Plugins pqtplugin.dll (Apple Computer, Inc.) Plugins pqtplugin2.dll (Apple Computer, Inc.) Plugins pqtplugin3.dll (Apple Computer, Inc.) Plugins pqtplugin4.dll (Apple Computer, Inc.) Plugins pqtplugin5.dll (Apple Computer, Inc.) Plugins pqtplugin6.dll (Apple Computer, Inc.) Searchplugins\avg_igeared.xml (" (C:\Program Files\DivX\DivX Plus Web Player pdivx32.dll) BHO\{593DDEC6-7468-4cdd-90E1-42DADAA222E9} - "DivX HiQ" (C:\Program Files\DivX\DivX Plus Web Player pdivx32.dll) BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?) ======================================== C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s) C:\Program Files\Ad-Remover\Backup: 14 Fichier(s) C:\Ad-Report-CLEAN[1].txt - 21/04/2011 14:47:30 (6747 Octet(s)) C:\Ad-Report-SCAN[1].txt - 21/04/2011 08:40:18 (7634 Octet(s)) Fin à: 14:48:34, 21/04/2011 ============== E.O.F ==============

juju666 · Answer

c est très bien refais un zhpdiag [rapport a héberger] que je vois ce qu'il reste à nettoyer

Sophie0965 · Answer

Bonjour, 

Voilà le lien pour le nouveau rapport ZHPdiag (copier-coller): 

https://pjjoint.malekal.com/files.php?id=33d031826c121115 

Merci (et joyeuses pâques!)

Sophie

juju666 · Answer

merci sophie et à toi aussi

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


O43 - CFD: 14/04/2011 - 12:59:10 - [56609] --H-D- C:\Documents and Settings\james\Application Data\A5B6A4121E0EEA68352CDE1918F888D3
O64 - Services: CurCS - C:\WINDOWS\TEMP\ukgm\setup.exe (.not file.) - AMService (AMService)  .(...) - LEGACY_AMSERVICE   
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
C:\Documents and Settings\james\Application Data\A5B6A4121E0EEA68352CDE1918F888D3
[HKCR
ctaudiofile2.audiofile2]
[HKCR
ctaudiofile2.audiofile2.2]
[HKCR
ctaudiofile2.audiofile2lameenc]
[HKCR
ctaudiofile2.audiofile2lameenc.1]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6A87B991-A31F-4130-AE72-6D0C294BF082}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{e908b145-c847-4e85-b315-07e2e70decf8}]   
SS - | Auto  0 |  (AMService) . (...) - C:\WINDOWS\TEMP\ukgm\setup.exe  
emptytemp
firewallraz



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

Sophie0965 · Answer

1) ZHP FIX:

=====================================================
======================================================

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : 
Run by james at 24/04/2011 17:58:36
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\WINDOWS\TEMP\ukgm\setup.exe (.not file.) - AMService (AMService)  .(...) - LEGACY_AMSERVICE  => Clé supprimée avec succès
HKCR
ctaudiofile2.audiofile2  => Clé supprimée avec succès
HKCR
ctaudiofile2.audiofile2.2  => Clé supprimée avec succès
HKCR
ctaudiofile2.audiofile2lameenc  => Clé supprimée avec succès
HKCR
ctaudiofile2.audiofile2lameenc.1  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6A87B991-A31F-4130-AE72-6D0C294BF082}  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{e908b145-c847-4e85-b315-07e2e70decf8}  => Clé supprimée avec succès
SS - | Auto  0 |  (AMService) . (...) - C:\WINDOWS\TEMP\ukgm\setup.exe  => Clé non supprimée

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur absente
FirewallRaz (SP) : C:\Documents and Settings\james\Bureau\LimeWire\LimeWire.exe  => Valeur supprimée avec succès
FirewallRaz (SP) : E:\D-Link.exe  => Valeur supprimée avec succès
FirewallRaz (SP) : C:\Program Files\ING\Off-line\Security\hb32.exe  => Valeur supprimée avec succès
FirewallRaz (SP) : E:\setup\hpznui01.exe  => Valeur supprimée avec succès
FirewallRaz (SP) : C:\Program Files\GigaTribe\gigatribe.exe  => Valeur supprimée avec succès
FirewallRaz (SP) : C:\Documents and Settings\james\Local Settings\Temporary Internet Files\Content.IE5\M4CYCNTC\MusicConverterSetup[1].exe  => Valeur supprimée avec succès
FirewallRaz (DP) : E:\setup\hpznui01.exe  => Valeur supprimée avec succès
FirewallRaz : Aucune valeur présente dans la clé d'exception du registre

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 16

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 29


========== Récapitulatif ==========
9 : Clé(s) du Registre
10 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan

=====================================================
=====================================================

2) ZHPdiag

https://pjjoint.malekal.com/files.php?id=60240fb47e5510

juju666 · Answer

&#9654 Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

&#9654 Double-clique sur OTM.exe pour le lancer.

&#9654 Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
   
 
:Processes
setup.exe
:Services
AMService
:File
C:\WINDOWS\TEMP\ukgm\setup.exe    
:Commands
[emptytemp]


&#9654 Clique sur MoveIt! puis ferme OTM.

&#9654 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

&#9654 Accepte en cliquant sur YES.

&#9654 Poste le rapport situé dans C:\_OTM\MovedFiles.

&#9654 Le nom du rapport correspond au moment de sa création : date_heure.log

Sophie0965 · Answer

Et voilà le rapport OTM! Il y avait de la résistance avec les commandes collées dans ZHPdiag? All processes killed ========== PROCESSES ========== No active process named setup.exe was found! ========== SERVICES/DRIVERS ========== Service AMService stopped successfully! Service AMService deleted successfully! Error: Unable to interpret <:File> in the current context! Error: Unable to interpret in the current context! ========== COMMANDS ========== [EMPTYTEMP] User: Administrateur ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 77687 bytes ->FireFox cache emptied: 2191373 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: james ->Temp folder emptied: 554641 bytes ->Temporary Internet Files folder emptied: 64643212 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 103234516 bytes ->Flash cache emptied: 2578 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 36351 bytes User: NetworkService ->Temp folder emptied: 98304 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Sphinx2000 %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1796374 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 12914394 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 177,00 mb OTM by OldTimer - Version 3.1.17.2 log created on 04242011_182345 Files moved on Reboot... File C:\Documents and Settings\NetworkService\Local Settings\Temp\Perflib_Perfdata_938.dat not found! Registry entries deleted on Reboot...

juju666 · Answer

oui ^^

d ailleurs me suis trompé, refais otm avec ça :

:Files
C:\WINDOWS\TEMP\ukgm\setup.exe

Sophie0965 · Answer

Il ne trouve tjs pas le setup.exe! J'espère ne rien avoir supprimé par erreur? 



========== FILES ==========
File/Folder C:\WINDOWS\TEMP\ukgm\setup.exe not found.
 
OTM by OldTimer - Version 3.1.17.2 log created on 04242011_193935

juju666 · Answer

non donc c est bon :P

refais un zhpdiag pour vérifier quand même ?!

Sophie0965 · Answer

Oui... ^^ Mon commentaire montre l'étendue de mes connaissances dans le domaine

https://pjjoint.malekal.com/files.php?id=363856695a91211 pour le dernier rapport demandé

juju666 · Answer

nickel :)

fais une analyse complète avec avg et tiens moi au jus :o)

Sophie0965 · Answer

Alors, AVG a encore trouvé 2 chevaux de troie:

"C:\System Volume Information\_restore{54887473-E0E8-4E40-8CB4-34743021C726}\RP1275\A0136844.exe";"Cheval de Troie : Generic22.FVB";"Placé en quarantaine"

"C:\System Volume Information\_restore{54887473-E0E8-4E40-8CB4-34743021C726}\RP1275\A0136843.exe";"Cheval de Troie : Generic22.FVB";"Placé en quarantaine"

Dans le détail, ça dit: type d'objet: fichier et type de SDK: Core 

Dans la quarantaine, il y a aussi le même cheval de troie (en double aussi) qu'il avait trouvé il y a 3 jours, mais bizarrement, pas au même endroit (donc si en quarantaine, comment ça se fait qu'il se ballade toujours ailleurs?) :

"C:\WINDOWS\Jcumab.exe";"Cheval de Troie : Generic22.FVB";"Placé en quarantaine"

"C:\WINDOWS\Jcumaa.exe";"Cheval de Troie : Generic22.FVB";"Placé en quarantaine"

Qu'en penses-tu?

juju666 · Answer

il est dans la restauration système que tu va purger en suivant ces consignes [les dernières promis :P]

&#9654 Télécharge ici : PureRa (par l'editeur de JavaRa)

&#9654 Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7)

=> Configuration en vidéo ( merci gen-hackman )

&#9654 clique sur "Clean"

&#9654 L'outil va faire son scan puis son nettoyage

&#9654 à la fin du rapport tu auras une ligne comme ca :

Total space cleaned: 8140878 bytes

&#9654 transmets juste cette ligne , le reste importe peu 

------

&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que "mettre un raccourci sur le bureau" et puis "contrôler automatiquement les mises à jour de Ccleaner "
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
&#9654 &#9654 cliques sur nettoyeur 
&#9654 cliques sur windows et dans la colonne avancé 
&#9654 coches la première case "vieilles données du perfetch" 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs "
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées" 
&#9654 il te demande de sauvegarder ==> OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK 
&#9654 Vérifie qu'il ne reste plus rien en relançant "rechercher les erreurs" 
&#9654 tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur  windows, sous avancé, tu décoches la première case "vieilles données du perfetch" 
&#9654 tu peux fermer Ccleaner 

------ 

Fais une recherche des erreurs de disque :
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d'avertissement et redémarrez votre système.

------

Défragmente tes disque dur :
Télécharge Deffragler, et défragmente tes 2 disques. 

------

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir :)

@+

Sophie0965 · Answer

Bonjour, 

Je ne suis pas encore au bout de la liste mais deux choses déjà:

- pour purera: Total space cleaned: 407916957 bytes
- pour la désactivation de la restauration système: il me dit erreur, pas moyen de le faire même en redémarrant l'ordinateur et même en le cochant bien pour les deux disques en même temps. 

Besoin du rapport ccleaner (que j'avais déjà d'ailleurs!)? 

Sinon, j'en suis à update windows... 

Merci

Sophie0965 · Answer

Pour Java Ra: L'outil a d'abord planté (à cause d'un fichier temp si j'ai bien vu), puis deuxième fois, ça donne ça:

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Mon Apr 25 11:59:04 2011

Found and removed: C:\Program Files\Java\jre1.5.0_06

Found and removed: C:\Program Files\Java\jre1.5.0_10

Found and removed: C:\Program Files\Java\jre1.6.0_01

Found and removed: C:\Program Files\Java\jre1.6.0_03

Found and removed: C:\Documents and Settings\james\Application Data\Sun\Java\jre1.6.0_11

Found and removed: C:\Documents and Settings\james\Application Data\Sun\Java\jre1.6.0_15

Found and removed: C:\Documents and Settings\james\Application Data\Sun\Java\jre1.6.0_17

Found and removed: C:\Documents and Settings\james\Application Data\Sun\Java\jre1.6.0_19

Found and removed: C:\Documents and Settings\james\Application Data\Sun\Java\jre1.6.0_20

Found and removed: C:\Documents and Settings\james\Application Data\Sun\Java\jre1.6.0_21

Found and removed: C:\Documents and Settings\james\Application Data\Sun\Java\jre1.6.0_22

Found and removed: C:\Documents and Settings\james\Application Data\Sun\Java\jre1.6.0_23

Found and removed: Software\JavaSoft\Java2D\1.5.0_06

Found and removed: Software\JavaSoft\Java2D\1.5.0_10

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D511000

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D511000

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D511000

Found and removed: SOFTWARE\Classes\JavaPlugin.150_06

Found and removed: SOFTWARE\Classes\JavaPlugin.150_10

Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_06

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_10

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_06

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_10

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D511000

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D511000

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150060}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150100}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610001

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610001

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610001

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\JavaPlugin.160_01

Found and removed: SOFTWARE\Classes\JavaPlugin.160_03

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_01

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_03

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_01

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_03

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610001

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610001

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610001

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160010}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160030}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_06

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_10

Found and removed: Software\Classes\JavaPlugin.160_01

Found and removed: Software\Classes\JavaPlugin.160_03

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_03

Found and removed: Software\JavaSoft\Java2D\1.6.0_01

Found and removed: Software\JavaSoft\Java2D\1.6.0_03

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_01

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_03

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.5.0_06\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.5.0_10\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_01\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_03\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_01\bin\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_03\bin\

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Mon Apr 25 12:00:17 2011

------------------------------------

Finished reporting.

juju666 · Answer

Hello,

As tu réussi a purger la restauration système ?

Sophie0965 · Answer

Non, il ne veut pas, il me dit: "La restauration du système a rencontré une erreur en tentant d'activer/de désactiver un ou plusieurs lecteurs. Veuillez redémarrer votre ordinateur et essayer à nouveau". Mais rien n'y fait, il n'en veut pas. Sur un autre fil comment ça marche, j'avais vu de faire la manip suivante: 

"Essaie ceci:
- Afficher les fichiers et dossiers cachés
- Chercher le dossier C:\WINDOWS\inf
- Dans ce dossier chercher sr.inf
- Clic droit sur sr.inf et choisir Installer
- Redémarrer l'ordi "

J'essaie ça?

juju666 · Answer

fais ça plutôt :

Télécharge ça : http://batchclipboard.olympe-network.com/index.php?download&file=cHVibGljL2ZpY2hpZXJzL09uZUNsaWNrMlJQLmV4ZSpmNmY3MGE

Purger les points de restauration système:

    Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)

    Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir

    Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...

    Rends toi dans l'onglet "Autres options"

    Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.

    Les points de restauration système seront purgés sauf le dernier créé.

Sophie0965 · Answer

Et bien voilà c'est fait... Ma machine est rutilante de l'intérieur! Mille mercis pour ta patience, tes conseils judicieux et ton aide! Merci aussi à tous ces développeurs de petits outils bien utiles et à leurs tutos. 

Je vais donc marquer le fil comme résolu! 

Au revoir!

Sophie

Infection par trojan agent_r.xJ

35 réponses

Discussions similaires