Bonjour, Alors voici mon problème , quand je suis sur google ,après avoir fait une recherche, je suis dirigé automatiquement vers des sites de pub. Je suis alors obligé de refaire la recherche pour pouvoir allez sur le site demandé . J'ai vue qu'il fallait faire un diagnostic donc j'en ai fait un: http://www.cijoint.fr/cjlink.php?file=cj201105/cijQfQZQHx.txt Merci d'avance.

Redirection google [Résolu]

Réponse 1 / 12

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
7 mai 2011 à 22:32

Re,

Le lien est illisible.
j'ai eu ce problème il y a quelques jours.
Il me semble que c'est parce que tu n'es pas inscrit sur le forum.
Pas d'obligation de le faire.

Envoie moi le lien à l'adresse suivant :
vi29XnTa@hotmail.fr

A+

Psycohid
7 mai 2011 à 22:54

Alors j'ai ça pour la seconde analyse mais je n'est reçue aucun message , donc je n'est pas fait l'analyse complète :

GMER 1.0.15.15627 - http://www.gmer.net
Rootkit quick scan 2011-05-07 22:52:46
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 Maxtor_6Y160P0 rev.YAR41BW0
Running: xmgcyeuz.exe; Driver: C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp\pxtdapob.sys

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 320143323
Disk \Device\Harddisk0\DR0 PE file @ sector 320143345

---- EOF - GMER 1.0.15 ----

Réponse 2 / 12

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
7 mai 2011 à 21:57

Bonsoir,

Télécharge TDSSKiller sur ton Bureau.

# Décompresse le (clic droit sur le fichier et extraire) sur le bureau.
# dans le dossier crée, déplacer le fichier TDSSKiller.exe pour le mettre sur le Bureau
# Faire un double clic sur TDSSKiller.exe pour le lancer.
# Cliquer sur Start scan pour lancer l'analyse,

# Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée,
# Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, laisser l'option sur Skip.
# Puis cliquer sur le bouton Continue.
# Attendre l'affichage du fichier rapport.
# Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Reboot computer.

Envoyer en réponse le rapport de TDSSKiller

Note : Il se trouve aussi en C:\TDSSKiller.Version_Date_Heure_log.txt

A+

Psycohid
7 mai 2011 à 22:10

Merci ,

Le logiciel ne trouve aucune infection .

=============================
2011/05/07 22:03:04.0531 0688 SystemInfo:
2011/05/07 22:03:04.0531 0688
2011/05/07 22:03:04.0531 0688 OS Version: 5.1.2600 ServicePack: 2.0
2011/05/07 22:03:04.0531 0688 Product type: Workstation
2011/05/07 22:03:04.0531 0688 ComputerName: OEUF
2011/05/07 22:03:04.0531 0688 UserName: guillaume
2011/05/07 22:03:04.0531 0688 Windows directory: C:\WINDOWS
2011/05/07 22:03:04.0531 0688 System windows directory: C:\WINDOWS
2011/05/07 22:03:04.0531 0688 Processor architecture: Intel x86
2011/05/07 22:03:04.0531 0688 Number of processors: 2
2011/05/07 22:03:04.0531 0688 Page size: 0x1000
2011/05/07 22:03:04.0531 0688 Boot type: Normal boot
2011/05/07 22:03:04.0531 0688 ================================================================================
2011/05/07 22:03:05.0515 0688 Initialize success
2011/05/07 22:03:12.0109 0440 ================================================================================
2011/05/07 22:03:12.0109 0440 Scan started
2011/05/07 22:03:12.0109 0440 Mode: Manual;
2011/05/07 22:03:12.0109 0440 ================================================================================
2011/05/07 22:03:14.0734 0440 ACPI (0bd94fbfc14ea3606cd6ca4c0255baa3) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/05/07 22:03:14.0953 0440 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/05/07 22:03:15.0437 0440 aec (841f385c6cfaf66b58fbd898722bb4f0) C:\WINDOWS\system32\drivers\aec.sys
2011/05/07 22:03:15.0828 0440 AegisP (15e655baa989444f56787ef558823643) C:\WINDOWS\system32\DRIVERS\AegisP.sys
2011/05/07 22:03:16.0109 0440 AFD (55e6e1c51b6d30e54335750955453702) C:\WINDOWS\System32\drivers\afd.sys
2011/05/07 22:03:18.0375 0440 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/05/07 22:03:18.0812 0440 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/05/07 22:03:19.0031 0440 AtcL002 (f6475d507ab08f15121bebf84209fe72) C:\WINDOWS\system32\DRIVERS\l251x86.sys
2011/05/07 22:03:20.0250 0440 ati2mtag (221f0a33229cce7bf2f7640d3bb8845d) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/05/07 22:03:20.0500 0440 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/05/07 22:03:20.0890 0440 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/05/07 22:03:20.0953 0440 avgio (f1d43170fdd7399ee17ea32d4f868b0c) C:\Program Files\Avira\AntiVir Desktop\avgio.sys
2011/05/07 22:03:21.0187 0440 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/05/07 22:03:21.0421 0440 avipbb (ad9bd66a862116e79cb45bb6be46055f) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/05/07 22:03:21.0812 0440 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/05/07 22:03:22.0015 0440 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/05/07 22:03:22.0421 0440 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/05/07 22:03:22.0828 0440 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/05/07 22:03:23.0078 0440 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/05/07 22:03:24.0203 0440 cmuda3 (1e92724ddd532ff631ec84f7d307c648) C:\WINDOWS\system32\drivers\cmuda3.sys
2011/05/07 22:03:25.0187 0440 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/05/07 22:03:25.0890 0440 dmboot (e2d3b7620310fe56685f9b15a6b404b3) C:\WINDOWS\system32\drivers\dmboot.sys
2011/05/07 22:03:26.0390 0440 dmio (c77f5c20aa70197a69aa84baa9de43c8) C:\WINDOWS\system32\drivers\dmio.sys
2011/05/07 22:03:26.0593 0440 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/05/07 22:03:27.0000 0440 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
2011/05/07 22:03:27.0265 0440 driverhardwarev2 (a694d8db6d360a3bbb0bd1517f1c1aee) C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys
2011/05/07 22:03:27.0484 0440 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/05/07 22:03:27.0921 0440 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/05/07 22:03:28.0156 0440 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/05/07 22:03:28.0375 0440 Fips (8b121ff880683607ab2aef0340721718) C:\WINDOWS\system32\drivers\Fips.sys
2011/05/07 22:03:28.0578 0440 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/05/07 22:03:29.0015 0440 FltMgr (157754f0df355a9e0a6f54721914f9c6) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/05/07 22:03:29.0234 0440 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/05/07 22:03:29.0484 0440 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/05/07 22:03:29.0859 0440 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/05/07 22:03:30.0125 0440 HDAudBus (3fcc124b6e08ee0e9351f717dd136939) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/05/07 22:03:30.0718 0440 HTTP (9f8b0f4276f618964fd118be4289b7cd) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/05/07 22:03:31.0765 0440 i8042prt (d1efcbd693b5ba21314d06368c471070) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/05/07 22:03:32.0562 0440 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/05/07 22:03:37.0734 0440 IntcAzAudAddService (eb5608fd4f2961517ac9f5cac88b023b) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/05/07 22:03:39.0312 0440 intelppm (dd5ad1e79ac26d3f8d8828ad4627f160) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/05/07 22:03:40.0312 0440 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/05/07 22:03:41.0296 0440 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/05/07 22:03:42.0281 0440 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/05/07 22:03:43.0250 0440 IpNat (b5a8e215ac29d24d60b4d1250ef05ace) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/05/07 22:03:43.0906 0440 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/05/07 22:03:44.0328 0440 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/05/07 22:03:44.0578 0440 isapnp (54632f1a7de61dc3615d756f2a90fa72) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/05/07 22:03:45.0000 0440 Kbdclass (e798705e8dc7fab596ef6bfdf167e007) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/05/07 22:03:45.0281 0440 kmixer (d93cad07c5683db066b0b2d2d3790ead) C:\WINDOWS\system32\drivers\kmixer.sys
2011/05/07 22:03:45.0531 0440 KSecDD (674d3e5a593475915dc6643317192403) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/05/07 22:03:46.0140 0440 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/05/07 22:03:46.0375 0440 Modem (5ac7e16f5b40a6da14b5f2b3ada4693e) C:\WINDOWS\system32\drivers\Modem.sys
2011/05/07 22:03:46.0625 0440 Mouclass (7d4f19411bd941e1d432a99e24230386) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/05/07 22:03:47.0046 0440 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/05/07 22:03:47.0515 0440 MRxDAV (46edcc8f2db2f322c24f48785cb46366) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/05/07 22:03:47.0953 0440 MRxSmb (fb6c89bb3ce282b08bdb1e3c179e1c39) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/05/07 22:03:48.0375 0440 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
2011/05/07 22:03:48.0593 0440 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/05/07 22:03:48.0859 0440 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/05/07 22:03:49.0234 0440 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/05/07 22:03:49.0468 0440 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/05/07 22:03:49.0687 0440 MTsensor (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
2011/05/07 22:03:50.0140 0440 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
2011/05/07 22:03:50.0437 0440 NDIS (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
2011/05/07 22:03:50.0640 0440 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/05/07 22:03:51.0000 0440 Ndisuio (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/05/07 22:03:51.0265 0440 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/05/07 22:03:51.0500 0440 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/05/07 22:03:51.0703 0440 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/05/07 22:03:52.0156 0440 NetBT (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/05/07 22:03:52.0390 0440 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
2011/05/07 22:03:52.0828 0440 Ntfs (b78be402c3f63dd55521f73876951cdd) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/05/07 22:03:53.0218 0440 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/05/07 22:03:53.0437 0440 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/05/07 22:03:53.0671 0440 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/05/07 22:03:53.0968 0440 Parport (318696359ac7df48d1e51974ec527dd2) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/05/07 22:03:54.0171 0440 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/05/07 22:03:54.0390 0440 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/05/07 22:03:54.0625 0440 PCI (7c5da5c1ed801ad8b0309d5514f0b75e) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/05/07 22:03:55.0031 0440 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/05/07 22:03:55.0312 0440 Pcmcia (641da274e163617ea7a33506bc6da8e3) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/05/07 22:03:56.0781 0440 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/05/07 22:03:57.0015 0440 PSched (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/05/07 22:03:57.0234 0440 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/05/07 22:03:57.0484 0440 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/05/07 22:03:58.0734 0440 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/05/07 22:03:59.0015 0440 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/05/07 22:03:59.0234 0440 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/05/07 22:03:59.0453 0440 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/05/07 22:03:59.0734 0440 Rdbss (29d66245adba878fff574cd66abd2884) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/05/07 22:03:59.0968 0440 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/05/07 22:04:00.0250 0440 RDPWD (d4f5643d7714ef499ae9527fdcd50894) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/05/07 22:04:00.0484 0440 redbook (2cc30b68dd62b73d444a41322cd7fc4c) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/05/07 22:04:00.0921 0440 RT73 (5eff124bfabac3e7fc2908be28906b1b) C:\WINDOWS\system32\DRIVERS\rt73.sys
2011/05/07 22:04:01.0218 0440 Secdrv (07f7f501ad50de2ba2d5842d9b6d6155) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/05/07 22:04:01.0468 0440 serenum (a2d868aeeff612e70e213c451a70cafb) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/05/07 22:04:01.0703 0440 Serial (653201755ca96ab4aaa4131daf6da356) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/05/07 22:04:01.0953 0440 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/05/07 22:04:02.0578 0440 splitter (8e186b8f23295d1e42c573b82b80d548) C:\WINDOWS\system32\drivers\splitter.sys
2011/05/07 22:04:02.0843 0440 sr (b52181023b827acda36c1b76751ebffd) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/05/07 22:04:03.0218 0440 Srv (7a4f147cc6b133f905f6e65e2f8669fb) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/05/07 22:04:03.0515 0440 ssmdrv (3ad0362cf68de3ac500e981700242cca) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/05/07 22:04:03.0750 0440 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/05/07 22:04:04.0000 0440 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
2011/05/07 22:04:05.0062 0440 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/05/07 22:04:05.0421 0440 Tcpip (2a5554fc5b1e04e131230e3ce035c3f9) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/05/07 22:04:05.0687 0440 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/05/07 22:04:05.0921 0440 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/05/07 22:04:06.0140 0440 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/05/07 22:04:06.0609 0440 Udfs (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
2011/05/07 22:04:07.0109 0440 Update (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
2011/05/07 22:04:07.0359 0440 usbehci (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/05/07 22:04:07.0593 0440 usbhub (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/05/07 22:04:07.0828 0440 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/05/07 22:04:08.0046 0440 usbuhci (f8fd1400092e23c8f2f31406ef06167b) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/05/07 22:04:08.0281 0440 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
2011/05/07 22:04:08.0718 0440 VolSnap (313b1a0d5db26dfe1c34a6c13b2ce0a7) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/05/07 22:04:09.0000 0440 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/05/07 22:04:09.0437 0440 wdmaud (2797f33ebf50466020c430ee4f037933) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/05/07 22:04:09.0734 0440 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/05/07 22:04:10.0062 0440 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/05/07 22:04:10.0328 0440 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/05/07 22:04:10.0625 0440 ================================================================================
2011/05/07 22:04:10.0625 0440 Scan finished
2011/05/07 22:04:10.0625 0440 ================================================================================

Réponse 3 / 12

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
Modifié par verni29 le 7/05/2011 à 22:19

Re,

C'est surprenant que TDSSKiller n'ait rien trouvé.
Il y a pourtant une infection sur la MBR.

-------------------------------------

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/

# Clique sur parcourir et sélectionne le fichier indiqué ci-dessous :

Chemin : C:\PhysicalDisk0_MBR.bin

# Tu cliques ensuite sur envoyer le fichier.
# Copie l'adresse de la page une fois les résultats affichés.

Indique moi le lien de cette page.

-------------------------------------------

Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files

Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.

# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
# Le scan va se lancer de lui-même.

Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.

# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse.

A+
Allez jusqu'au bout de la procédure de désinfection.

Psycohid
Modifié par Psycohid le 7/05/2011 à 22:24

Je t'envoie déja le 1er lien : http://www.virustotal.com/...

Et la je fait la 2eme étape.

Réponse 4 / 12

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
7 mai 2011 à 23:05

OK,

Merci pour le lien pour l'analyse sur VT.
Il y a bien une infection sur la MBR mais celle-ci est inhabituelle.
Je me renseigne.

-------------------------

Télécharge OTL (de OldTimer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"conhost"=-
"autoupdater"=-
[-HKEY_CURRENT_USER\Software\Agence-Exclusive]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
"pctuto"=-
"Iwehageteyojomu"=-
[-HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO]
[-HKEY_CLASSES_ROOTHKCR\PCTutoBHO.PCTBHO.1]
[-HKEY_CLASSES_ROOT\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}]
[-HKEY_CLASSES_ROOT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}]
[-HKEY_CLASSES_ROOT\CLSID\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}]
[-HKEY_CLASSES_ROOT\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]
[-HKEY_CURRENT_USER\Software\Agence-Exclusive]
[-HKEY_LOCAL_MACHINE\Software\Agence-Exclusive]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1]

:files
C:\Program Files\Agence-Exclusive
C:\Documents and Settings\guillaume\Application Data\Agence-Exclusive
C:\Documents and Settings\guillaume\Local Settings\Application Data\Agence-Exclusive
C:\Documents and Settings\guillaume\Application Data\4ADE101FFDBBE0DDB4EE446086F57EEB
C:\WINDOWS\mshz32.dll
C:\Documents and Settings\guillaume\Application Data\Microsoft\conhost.exe 
C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp\csrss.exe

:Coomands
[Emptytemp]
[Emptyflash]

* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log

A+

Psycohid
7 mai 2011 à 23:30

Alors quand je lance la correction , l'ordinateur s'éteint automatiquement après un message d'avira ( je te l'ai envoyé par mail ) et le fichier log dans C:\_OTL\MovedFiles est vide .

Réponse 5 / 12

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
7 mai 2011 à 23:36

Re,

Désactive Antivir pendant l'utilisation d'OTL.
Refais la manip avec OTL et poste le rapport.

A+

Psycohid
7 mai 2011 à 23:45

Je n'est toujours pas de rapport , ensuite quand je réactive antivir j'ai toujours le message de cheval de Troie qui apparait ( celui que je t'ai envoyé ).

Réponse 6 / 12

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
7 mai 2011 à 23:49

OK,
cela ne marche pas.

On va utiliser autre chose :

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

Psycohid Messages postés 8 Date d'inscription dimanche 8 mai 2011 Statut Membre Dernière intervention 8 mai 2011
8 mai 2011 à 00:16

Alors voila :

ComboFix 11-05-07.01 - guillaume 07/05/2011 23:58:31.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.660 [GMT 2:00]
Lancé depuis: c:\documents and settings\guillaume\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\guillaume\Application Data\Adobe\plugs
c:\documents and settings\guillaume\Application Data\Adobe\shed
c:\documents and settings\guillaume\Application Data\dwm.exe
c:\documents and settings\guillaume\Application Data\Microsoft\conhost.exe
c:\windows\system\CMICNFG3.CPL
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-07 au 2011-05-07 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-07 21:14 . 2011-05-07 21:14 -------- d-----w- C:\_OTL
2011-05-07 19:45 . 2011-05-07 19:45 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-05-07 19:40 . 2011-05-07 19:45 -------- d-----w- c:\program files\ZHPDiag
2011-05-07 16:24 . 2011-05-07 16:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2011-05-07 16:24 . 2011-05-07 16:24 -------- d-----w- c:\program files\Spybot - Search & Destroy
2011-04-26 15:49 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-04-26 15:49 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-04-25 18:27 . 2011-05-04 18:28 -------- d-----w- c:\documents and settings\guillaume\Tracing
2011-04-25 18:26 . 2011-04-25 18:26 -------- d-----w- c:\program files\Microsoft
2011-04-25 18:25 . 2011-04-25 18:25 -------- d-----w- c:\program files\Windows Live SkyDrive
2011-04-25 18:25 . 2011-04-25 18:26 -------- d-----w- c:\program files\Windows Live
2011-04-25 18:19 . 2011-04-25 18:19 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2011-04-25 18:19 . 2011-04-25 18:19 86576 ----a-w- c:\documents and settings\guillaume\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2011-04-25 18:19 . 2011-04-25 18:19 392728 ----a-w- c:\documents and settings\guillaume\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2011-04-25 18:19 . 2011-04-25 18:19 135680 ----a-w- c:\documents and settings\guillaume\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
2011-04-25 18:19 . 2011-04-25 18:19 132672 ----a-w- c:\documents and settings\guillaume\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2011-04-14 18:39 . 2011-04-14 18:39 -------- d-----w- c:\program files\Winamax Poker
2011-04-10 09:27 . 2011-04-10 09:27 -------- d-----w- c:\documents and settings\guillaume\Application Data\4ADE101FFDBBE0DDB4EE446086F57EEB
2011-04-08 11:28 . 2011-05-07 21:42 -------- d-----w- c:\program files\Fichiers communs\Akamai
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-07 15:50 . 2011-04-07 15:50 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-04-07 15:50 . 2011-04-07 15:50 472808 ----a-w- c:\windows\system32\deployJava1.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-05-30 322352]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 16855552]
"SkyTel"="SkyTel.EXE" [2007-10-11 1826816]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"autoupdater"="c:\documents and settings\guillaume\Application Data\Agence-Exclusive\Agence-Exclusive\autoupdater.exe" [2011-02-24 671360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2010-5-30 654336]
.
[HKLM\~\startupfolder\C:^Documents and Settings^guillaume^Menu Démarrer^Programmes^Démarrage^Notification de cadeaux MSN.lnk]
path=c:\documents and settings\guillaume\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk
backup=c:\windows\pss\Notification de cadeaux MSN.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotDeletingC5852]
del [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37 932288 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-21 23:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\autoupdater]
2011-02-24 12:31 671360 ----a-w- c:\documents and settings\guillaume\Application Data\Agence-Exclusive\Agence-Exclusive\autoupdater.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50 1144104 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pctuto]
2011-02-24 12:17 1035904 ----a-w- c:\program files\Agence-Exclusive\pctuto.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftAuto.exe]
2008-08-13 03:49 405504 ----a-w- c:\program files\Creative\Software Update 3\SoftAuto.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spybot - Search & Destroy]
2009-01-26 13:31 5365592 --sha-r- c:\program files\Spybot - Search & Destroy\SpybotSD.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotDeletingA4689]
2004-08-05 12:00 52103 ----a-w- c:\windows\system32\command.com
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotDeletingA4851]
2004-08-05 12:00 52103 ----a-w- c:\windows\system32\command.com
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 13:31 2144088 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2010-05-30 20:42 322352 ----a-w- c:\program files\uTorrent\uTorrent.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56468:TCP"= 56468:TCP:Pando Media Booster
"56468:UDP"= 56468:UDP:Pando Media Booster
"57743:TCP"= 57743:TCP:Pando Media Booster
"57743:UDP"= 57743:UDP:Pando Media Booster
"3207:TCP"= 3207:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [05/08/2004 14:00 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/05/2010 22:34 108289]
S3 CTUPnPSv;Creative Centrale Media Server;c:\program files\Creative\Creative Centrale\CTUPnPSv.exe [21/05/2008 13:42 64000]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [11/05/2010 11:34 271728]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:51495
FF - ProfilePath - c:\documents and settings\guillaume\Application Data\Mozilla\Firefox\Profiles\xa54aaoi.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA5&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 51495
FF - prefs.js: network.proxy.type - 1
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: vShare: vshare@toolbar - %profile%\extensions\vshare@toolbar
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-fsm - (no file)
HKLM-Run-CmPCIaudio - CMICNFG3.CPL
HKLM-Run-conhost - c:\documents and settings\guillaume\Application Data\Microsoft\conhost.exe
MSConfigStartUp-Iwehageteyojomu - c:\windows\mshz32.dll
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-08 00:03
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2011-05-08 00:05:47
ComboFix-quarantined-files.txt 2011-05-07 22:05
.
Avant-CF: 44 434 378 752 octets libres
Après-CF: 44 397 375 488 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
[spybotsd]
timeout.old=30
.
- - End Of File - - 1A2C6F8F8A44FC1C36E5B2BD21094D7F

Réponse 7 / 12

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
Modifié par verni29 le 8/05/2011 à 00:40

Re,

1/ Ouvre le bloc-notes et sélectionne le texte suivant :

Killall:: 

File:: 
C:\WINDOWS\mshz32.dll 
C:\Documents and Settings\guillaume\Application Data\Microsoft\conhost.exe  
C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp\csrss.exe 

Folder:: 
C:\Program Files\Agence-Exclusive 
C:\Documents and Settings\guillaume\Application Data\Agence-Exclusive 
C:\Documents and Settings\guillaume\Local Settings\Application Data\Agence-Exclusive 
C:\Documents and Settings\guillaume\Application Data\4ADE101FFDBBE0DDB4EE446086F57EEB 

Registry:: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"autoupdater"=- 
[-HKEY_CURRENT_USER\Software\Agence-Exclusive] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\autoupdater]  
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pctuto]  
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotDeletingA4689] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotDeletingA4851]  
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotDeletingC5852]  
[-HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO] 
[-HKEY_CLASSES_ROOTHKCR\PCTutoBHO.PCTBHO.1] 
[-HKEY_CLASSES_ROOT\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}] 
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}] 
[-HKEY_CLASSES_ROOT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}] 
[-HKEY_CLASSES_ROOT\CLSID\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}] 
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}] 
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}] 
[-HKEY_CLASSES_ROOT\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}] 
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}] 
[-HKEY_CURRENT_USER\Software\Agence-Exclusive] 
[-HKEY_LOCAL_MACHINE\Software\Agence-Exclusive] 
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1] 

Firefox:: 
FF - prefs.js: network.proxy.http - 127.0.0.1 
FF - prefs.js: network.proxy.http_port - 51495

# Copie/colle ce texte dans le bloc-notes.
# Enregistre le fichier sur le bureau et nomme-le CFScript.txt.

2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

Suis les invites.

# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt

A+

Allez jusqu'au bout de la procédure de désinfection.

Psycohid Messages postés 8 Date d'inscription dimanche 8 mai 2011 Statut Membre Dernière intervention 8 mai 2011
8 mai 2011 à 01:01

ComboFix 11-05-07.01 - guillaume 08/05/2011 0:47.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.625 [GMT 2:00]
Lancé depuis: c:\documents and settings\guillaume\Mes documents\Téléchargements\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\guillaume\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
FILE ::
"c:\docume~1\GUILLA~1\LOCALS~1\Temp\csrss.exe"
"c:\documents and settings\guillaume\Application Data\Microsoft\conhost.exe"
"c:\windows\mshz32.dll"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\guillaume\Application Data\4ADE101FFDBBE0DDB4EE446086F57EEB
c:\documents and settings\guillaume\Application Data\Agence-Exclusive
c:\documents and settings\guillaume\Application Data\Agence-Exclusive\Agence-Exclusive\autoupdater.exe
c:\documents and settings\guillaume\Application Data\Agence-Exclusive\Agence-Exclusive\shared.cyp
c:\documents and settings\guillaume\Application Data\Agence-Exclusive\Agence-Exclusive\UpdatePCTuto.exe
c:\documents and settings\guillaume\Application Data\Agence-Exclusive\Agence-Exclusive\user_config.cyp
c:\documents and settings\guillaume\Application Data\Agence-Exclusive\Agence-Exclusive\user_profil.cyp
c:\documents and settings\guillaume\Local Settings\Application Data\Agence-Exclusive
c:\documents and settings\guillaume\Local Settings\Application Data\Agence-Exclusive\Agence-Exclusive\pctuto_confMedia.cyp
c:\documents and settings\guillaume\Local Settings\Application Data\Agence-Exclusive\Agence-Exclusive\user.cyp
c:\program files\Agence-Exclusive
c:\program files\Agence-Exclusive\ConfMedia.cyp
c:\program files\Agence-Exclusive\pctuto.exe
c:\program files\Agence-Exclusive\pctutoBHO.dll
c:\program files\Agence-Exclusive\unins000.dat
c:\program files\Agence-Exclusive\unins000.exe
c:\program files\Agence-Exclusive\unins001.dat
c:\program files\Agence-Exclusive\unins001.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-07 au 2011-05-07 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-07 21:14 . 2011-05-07 21:14 -------- d-----w- C:\_OTL
2011-05-07 19:45 . 2011-05-07 19:45 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-05-07 19:40 . 2011-05-07 19:45 -------- d-----w- c:\program files\ZHPDiag
2011-05-07 16:24 . 2011-05-07 16:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2011-05-07 16:24 . 2011-05-07 16:24 -------- d-----w- c:\program files\Spybot - Search & Destroy
2011-04-26 15:49 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-04-26 15:49 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-04-25 18:27 . 2011-05-04 18:28 -------- d-----w- c:\documents and settings\guillaume\Tracing
2011-04-25 18:26 . 2011-04-25 18:26 -------- d-----w- c:\program files\Microsoft
2011-04-25 18:25 . 2011-04-25 18:25 -------- d-----w- c:\program files\Windows Live SkyDrive
2011-04-25 18:25 . 2011-04-25 18:26 -------- d-----w- c:\program files\Windows Live
2011-04-25 18:19 . 2011-04-25 18:19 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2011-04-25 18:19 . 2011-04-25 18:19 86576 ----a-w- c:\documents and settings\guillaume\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2011-04-25 18:19 . 2011-04-25 18:19 392728 ----a-w- c:\documents and settings\guillaume\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2011-04-25 18:19 . 2011-04-25 18:19 135680 ----a-w- c:\documents and settings\guillaume\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
2011-04-25 18:19 . 2011-04-25 18:19 132672 ----a-w- c:\documents and settings\guillaume\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2011-04-14 18:39 . 2011-04-14 18:39 -------- d-----w- c:\program files\Winamax Poker
2011-04-08 11:28 . 2011-05-07 22:53 -------- d-----w- c:\program files\Fichiers communs\Akamai
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-07 15:50 . 2011-04-07 15:50 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-04-07 15:50 . 2011-04-07 15:50 472808 ----a-w- c:\windows\system32\deployJava1.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-05-07_22.03.07 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-05-07 22:53 . 2011-05-07 22:53 16384 c:\windows\Temp\Perflib_Perfdata_2dc.dat
+ 2011-05-07 22:53 . 2011-05-07 22:53 16384 c:\windows\Temp\Perflib_Perfdata_17c.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-05-30 322352]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 16855552]
"SkyTel"="SkyTel.EXE" [2007-10-11 1826816]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2010-5-30 654336]
.
[HKLM\~\startupfolder\C:^Documents and Settings^guillaume^Menu Démarrer^Programmes^Démarrage^Notification de cadeaux MSN.lnk]
path=c:\documents and settings\guillaume\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk
backup=c:\windows\pss\Notification de cadeaux MSN.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37 932288 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-21 23:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50 1144104 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftAuto.exe]
2008-08-13 03:49 405504 ----a-w- c:\program files\Creative\Software Update 3\SoftAuto.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spybot - Search & Destroy]
2009-01-26 13:31 5365592 --sha-r- c:\program files\Spybot - Search & Destroy\SpybotSD.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 13:31 2144088 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2010-05-30 20:42 322352 ----a-w- c:\program files\uTorrent\uTorrent.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56468:TCP"= 56468:TCP:Pando Media Booster
"56468:UDP"= 56468:UDP:Pando Media Booster
"57743:TCP"= 57743:TCP:Pando Media Booster
"57743:UDP"= 57743:UDP:Pando Media Booster
"1033:TCP"= 1033:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [05/08/2004 14:00 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/05/2010 22:34 108289]
S3 CTUPnPSv;Creative Centrale Media Server;c:\program files\Creative\Creative Centrale\CTUPnPSv.exe [21/05/2008 13:42 64000]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [11/05/2010 11:34 271728]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:51495
FF - ProfilePath - c:\documents and settings\guillaume\Application Data\Mozilla\Firefox\Profiles\xa54aaoi.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA5&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 51495
FF - prefs.js: network.proxy.type - 4
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: vShare: vshare@toolbar - %profile%\extensions\vshare@toolbar
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-08 00:54
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(836)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3364)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Creative\Shared Files\CTDevSrv.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
.
**************************************************************************
.
Heure de fin: 2011-05-08 00:59:18 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-05-07 22:59
ComboFix2.txt 2011-05-07 22:05
.
Avant-CF: 44 392 787 968 octets libres
Après-CF: 44 379 881 472 octets libres
.
- - End Of File - - F728E5D0BCA337A3EFA842C51FFBB298

Réponse 8 / 12

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
8 mai 2011 à 01:11

Psycohid,

Tiens moi au courant pour des améliorations de ton problème?

-------------------------------

Tu télécharges MalwareBytes .

Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

Le scan prend environ une heure.

A+

Psycohid Messages postés 8 Date d'inscription dimanche 8 mai 2011 Statut Membre Dernière intervention 8 mai 2011
Modifié par Psycohid le 8/05/2011 à 01:17

J'ai l'impression que Combofix a vraiment très bien marché , plus de redirection vers d'autre page , le cheval de Troie n'apparait plus et mon ordinateur a récupéré sa vitesse normale ^^

Merci pour tout ,
Je ferait le scan demain , bonne nuit .

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
8 mai 2011 à 01:16

Bonnes nouvelles.
je regarderais le rapport de MBAM demain.
Il se fait tard.

A+

Psycohid Messages postés 8 Date d'inscription dimanche 8 mai 2011 Statut Membre Dernière intervention 8 mai 2011
8 mai 2011 à 01:19

Oui se sont de très bonne nouvelle , heureusement que vous êtes la pour nous aider , et en plus vous répondez rapidement ^^

++

Psycohid Messages postés 8 Date d'inscription dimanche 8 mai 2011 Statut Membre Dernière intervention 8 mai 2011
8 mai 2011 à 17:34

Voila le rapport :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6531

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

08/05/2011 17:27:20
mbam-log-2011-05-08 (17-27-20).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 167600
Temps écoulé: 1 heure(s), 11 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\guillaume\application data\Sun\Java\deployment\cache\6.0\29\a53af1d-7f6ad67e (Spyware.Password) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\guillaume\application data\dwm.exe.vir (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\guillaume\application data\microsoft\conhost.exe.vir (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{7b56abfa-dca3-409b-8920-948ef20ea3e4}\RP265\A0073780.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{7b56abfa-dca3-409b-8920-948ef20ea3e4}\RP285\A0079804.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{7b56abfa-dca3-409b-8920-948ef20ea3e4}\RP287\A0081959.DLL (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\system volume information\_restore{7b56abfa-dca3-409b-8920-948ef20ea3e4}\RP287\A0084877.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{7b56abfa-dca3-409b-8920-948ef20ea3e4}\RP287\A0084878.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.

Réponse 9 / 12

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
8 mai 2011 à 18:01

Re,

Un point sur les infections trouvées.
Je soupconnais une infection sur la MBR.

Gmer trouvait ceci :

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 320143323
Disk \Device\Harddisk0\DR0 PE file @ sector 320143345

Les infections sur la MBR se font sur le secteur 0, ce qui n'est pas le cas ici.
Il y a bien des secteurs qui sont infectés mais c'est innofensif.

On ne peut pas nettoyer ces secteurs en dehors d'un formatage du DD.

Malwarebytes a trouvé que la restauration système est infectée.

----------------------------------------------------

Une dernière analyse.
Fais un scan en ligne :tuto :

https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Le rapport se trouve en C:\Program Files\ESET Online Scanner\log.txt

On termine ensuite.

A+

Psycohid Messages postés 8 Date d'inscription dimanche 8 mai 2011 Statut Membre Dernière intervention 8 mai 2011
8 mai 2011 à 21:36

3 menaces détecté :

C:\Documents and Settings\guillaume\Application Data\Sun\Java\Deployment\cache\6.0\38\4a0e8026-644cdc29 menaces multiples supprimé - mis en quarantaine
C:\System Volume Information\_restore{7B56ABFA-DCA3-409B-8920-948EF20EA3E4}\RP265\A0073778.exe une variante de Win32/Kryptik.MJZ cheval de troie nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{7B56ABFA-DCA3-409B-8920-948EF20EA3E4}\RP265\A0073779.exe une variante de Win32/Kryptik.MJZ cheval de troie nettoyé par suppression - mis en quarantaine

Réponse 10 / 12

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
8 mai 2011 à 21:51

Re,

Toujours la restauration système.

----------------------

On termine.

On va enlever les outils utilisés, à l'exception de Malwarebytes que tu garderas. C'est un bon complément à un antivirus.

Télécharge Delfix sur ton bureau :
https://www.commentcamarche.net/telecharger/securite/7111-delfix/

? Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
? Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

Mets à jour ton PC et en particulier java et Adobe reader.

* Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

* Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
* Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
* Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

* clique sur Recherche de mise à jour

* Choisis l'option Mettre à jour via jucheck.exe .
Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
* Si oui, clique sur Installer puis suis les invites.

Note : Si tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun .

- Suppression des anciennes versions :

* Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
* Suis les invites.
* Il te sera précisé de la suppression les versions trouvées et supprimées

---------------------------------------------------------------------------------

Maintenant que le PC est propre, il te faut créer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC.

- Désactivation de la restauration système :

Panneau de configuration --> Système --> Restauration du système
cocher " Désactiver la restauration .... " ( si elle est cochée, la décocher -- > valider -- > cocher )

Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.

Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Création d'un nouveau point de restauration :

Pour recréer un point de restauration :

Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système

Choisis "Créer un point de restauration". Suis les invites.

Si tu as des questions sur ces manips , n'hésite pas à les poser.

------------------------------------------------------------------------------------

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

projet antimalwares

-------------------------------------------------------------------------------------

Si tu juges que le problème est résolu, note le ( en haut de page , Marquer comme résolu )

Bonne continuation, bon surf, bonne lecture.

@+

Psycohid Messages postés 8 Date d'inscription dimanche 8 mai 2011 Statut Membre Dernière intervention 8 mai 2011
8 mai 2011 à 21:55

1er rapport :

# Exécuté depuis : C:\Documents and Settings\guillaume\Mes documents\Téléchargements\DelFix.exe
# Option [Suppression]

~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\_OTL
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.5.0.0_07.05.2011_22.03.03_log.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\guillaume\Mes documents\Téléchargements\ComboFix.exe
Supprimé : C:\Documents and Settings\guillaume\Mes documents\Téléchargements\esetsmartinstaller_fra.exe
Supprimé : C:\Documents and Settings\guillaume\Mes documents\Téléchargements\OTL.exe
Supprimé : C:\Documents and Settings\guillaume\Mes documents\Téléchargements\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
ACL [0] -> [7] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> ESET Online Scanner ... Désinstallé avec succès
-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2085 octets] ##########

Réponse 11 / 12

Psycohid Messages postés 8 Date d'inscription dimanche 8 mai 2011 Statut Membre Dernière intervention 8 mai 2011
Modifié par Psycohid le 8/05/2011 à 23:01

Et voila j'ai tous fait , merci beaucoup ^^

Et j'ai lu le document que tu m'a passé et je voudrai savoir où je peux trouver toutes les mises a jour que j'ai à faire ??

Je voudrait aussi mettre le sujet en résolu , je dois faire comment ?

++

Réponse 12 / 12

verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
8 mai 2011 à 23:35

Re,

je voudrai savoir où je peux trouver toutes les mises a jour que j'ai à faire ??

Lance les mises à jour de Windows.
Sinon, tu peux aller sur le site de secunia :
https://www.flexera.com/products/operations/software-vulnerability-management.html

Pour mettre en résolu, regarde au niveau du premier message en haut de page?