Sujet Précédent Sujet Suivant

Qui veut se battre avec 9 cheval de troie??

Résolu/Fermé
oihana - 16 mai 2011 à 23:56
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 16 juin 2011 à 18:13
Bonjour,

avira antivirus a détecté 9 "virus ou programmes indésirables" sur mon eeepc1000hE.
Je ne sais pas comment m'en débarasser, j'ai beau chercher à trouver une solution mais ils sont toujours là.

Début de la désinfection :
C:\Documents and Settings\All Users\Documents\19792079
[RESULTAT] Contient le cheval de Troie TR/Bamital.I.14
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e088471.qua' !
C:\Documents and Settings\cedric\Application Data\Adobe\plugs\mmc1598484.txt
[RESULTAT] Contient le cheval de Troie TR/Agent.50790429
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e3484a5.qua' !
C:\Documents and Settings\cedric\Local Settings\Temp\63.tmp
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen4
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4dff846c.qua' !
C:\Documents and Settings\cedric\Local Settings\Temporary Internet Files\Content.IE5\IX9V0F9X\load[1].htm
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen4
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e3284a8.qua' !
C:\Documents and Settings\cedric\Local Settings\Temporary Internet Files\Content.IE5\J1T01B5N\load[2].htm
[RESULTAT] Contient le cheval de Troie TR/Bamital.I.14
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f4be629.qua' !
C:\System Volume Information\_restore{FA5624D1-82BC-49B1-A878-4720CA2F590C}\RP131\A0041275.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.50790429
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e018469.qua' !
C:\System Volume Information\_restore{FA5624D1-82BC-49B1-A878-4720CA2F590C}\RP132\A0042139.exe
[RESULTAT] Contient le cheval de Troie TR/Kazy.mekml.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f72af5a.qua' !
C:\System Volume Information\_restore{FA5624D1-82BC-49B1-A878-4720CA2F590C}\RP132\A0042143.dll
[RESULTAT] Contient le cheval de Troie TR/Hiloti.D.3284
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f7bee22.qua' !
C:\System Volume Information\_restore{FA5624D1-82BC-49B1-A878-4720CA2F590C}\RP134\A0043243.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen4
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f77c6e2.qua' !

d'habitude en cherchant sur les forums je m'en sors.
Mais là je me sens dépasser par tant d'attaques
J'ai besoin de votre aide, svp.
Merci
A voir également:

23 réponses

  • 1
  • 2
Réponse 1 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 mai 2011 à 00:12
Hello,

Batimal et Hiloti ça va être la fête \o_

En piste combo :

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\

Les logiciels d''émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
▶ Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l''ordinateur si l''outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_______________________________________________________________

/!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
_______________________________________________________________

▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

▶ ▶ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC

▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\

Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix

A demain
0
Réponse 2 / 23
walkyry Messages postés 184 Date d'inscription samedi 9 mai 2009 Statut Membre Dernière intervention 15 décembre 2017 14
17 mai 2011 à 00:15
Bonsoir tout d'abord indique nous ta configuration pour t'aider.

Vista, xp?

Travaille tu avec mozilla firefox? est il a jour?

ou internet explorer?

Quel est ton antivirus?

As tu déjà essayé des outils de suppression de virus si oui lesquels?
0
oihana
17 mai 2011 à 00:57
salut walkyry

je vois qu'il y en a qui sont des oiseaux de nuit!!!

ma config est XP,
je travaille avec internet explorer (c'est important mozilla est-il moins attaqué???)
mon antivirus est Avira.
Je n'ai pas essayé d'outils en particulier poureliminer ces chevaux de troie.

a plus tard
0
Réponse 3 / 23
oihana
17 mai 2011 à 00:52
bonjour juju666

et merci pour ta rapidité.
je poste comme tu me l'as dit le rapport de combofix
A Demain

bonne nuit.


ComboFix 11-05-16.02 - cedric 17/05/2011 0:32.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.616 [GMT 2:00]
Lancé depuis: c:\documents and settings\cedric\Bureau\oihana.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Documents\dll
c:\documents and settings\cedric\Application Data\Adobe\plugs
c:\documents and settings\cedric\Application Data\Adobe\shed
c:\documents and settings\cedric\Application Data\Adobe\shed\thr1.chm
c:\documents and settings\cedric\Application Data\Sun\mxd1.txt
c:\documents and settings\cedric\Application Data\Sun\tdev91.dll
c:\documents and settings\cedric\Local Settings\Application Data\{D33A520B-68C1-4C7E-91A8-164EBCFC9458}
c:\documents and settings\cedric\Local Settings\Application Data\{D33A520B-68C1-4C7E-91A8-164EBCFC9458}\chrome.manifest
c:\documents and settings\cedric\Local Settings\Application Data\{D33A520B-68C1-4C7E-91A8-164EBCFC9458}\chrome\content\_cfg.js
c:\documents and settings\cedric\Local Settings\Application Data\{D33A520B-68C1-4C7E-91A8-164EBCFC9458}\chrome\content\overlay.xul
c:\documents and settings\cedric\Local Settings\Application Data\{D33A520B-68C1-4C7E-91A8-164EBCFC9458}\install.rdf
c:\windows\ehawiducenafida.dll
c:\windows\system32\Thumbs.db
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-16 au 2011-05-16 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-16 18:02 . 2011-05-16 18:02 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-05-16 17:55 . 2011-05-16 18:45 -------- d-----w- c:\program files\ZHPDiag
2011-05-13 16:39 . 2011-05-13 16:39 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-13 16:06 . 2011-05-13 16:06 -------- d-----r- c:\documents and settings\LocalService\Favoris
2011-05-13 12:58 . 2011-05-13 12:58 -------- d-----w- c:\windows\system32\wbem\Repository
2011-05-13 04:18 . 2011-05-13 15:49 -------- d-----w- c:\program files\STOPzilla!
2011-05-13 04:18 . 2011-05-13 04:18 -------- d-----w- c:\program files\Fichiers communs\iS3
2011-05-13 04:18 . 2011-05-13 12:57 -------- d-----w- c:\documents and settings\All Users\Application Data\STOPzilla!
2011-05-13 03:54 . 2011-05-16 18:15 0 ----a-w- c:\windows\Eweneqetalajoqi.bin
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-10 15:53 . 2010-12-28 12:21 0 ------w- c:\windows\system32\ConduitEngine.tmp
2011-03-07 05:33 . 2010-02-28 19:47 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2010-02-28 20:36 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2010-02-28 20:36 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:05 . 2010-02-28 20:36 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2010-02-28 20:35 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:05 . 2010-02-28 20:35 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:42 . 2010-02-28 20:35 385024 ------w- c:\windows\system32\html.iec
2011-02-17 13:18 . 2010-02-28 20:35 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2010-02-28 20:36 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2008-05-07 08:34 . 2009-03-02 08:37 15523560 ----a-w- c:\program files\U1 Setup.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\prxtbVuz2.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54 175912 ----a-w- c:\program files\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2011-01-17 14:54 175912 ----a-w- c:\program files\Vuze_Remote\prxtbVuz2.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\prxtbVuz2.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote\prxtbVuz2.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-01-23 416768]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-13 17508864]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-3-2 376832]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-24 09:15 40368 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2008-12-02 21:41 3882312 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\SoulseekNS\\slsk.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/08/2009 17:52 108289]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [02/03/2009 10:32 704384]
S2 gupdate1ca6a6c374b05da;Service Google Update (gupdate1ca6a6c374b05da);c:\program files\Google\Update\GoogleUpdate.exe [21/11/2009 07:33 133104]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [02/03/2009 10:30 1684736]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [21/11/2009 07:33 133104]
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-21 05:33]
.
2011-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-21 05:33]
.
2011-05-16 c:\windows\Tasks\User_Feed_Synchronization-{B0717B6B-17F7-4700-91BD-87E2F0B3065F}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-Xjerujagedeyoxi - c:\windows\tdvals.dll
HKLM-Run-Mhave - c:\windows\ehawiducenafida.dll
HKLM_ActiveSetup-{28B4108B-52D6-4A22-92EE-C8E15398C4FD} - c:\documents and settings\cedric\Application Data\Sun\tdev91.dll
AddRemove-conduitEngine - c:\program files\ConduitEngine\ConduitEngineUninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-17 00:40
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\igfxdev.dll
.
Heure de fin: 2011-05-17 00:45:57
ComboFix-quarantined-files.txt 2011-05-16 22:45
.
Avant-CF: 11 876 458 496 octets libres
Après-CF: 12 095 488 000 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - 1D8298E533EFD4FEA2C4E5FF07FDD350
0
Réponse 4 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 mai 2011 à 00:58
Tu as un nombre incalculable de toolbar !!

▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!

▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

KillAll::

File::

c:\windows\Eweneqetalajoqi.bin 
c:\windows\system32\ConduitEngine.tmp  

Folder::

c:\program files\Vuze_Remote
c:\program files\ConduitEngine 

Registry::

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] 
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-    

[-HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]     
   
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-     
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-

[-HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     

[-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}] 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] 
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"=-    
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-    

[-HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     

Reboot::


▶ Enregistre ce fichier sous le nom CFScript

▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

▶ Combofix se lance, laisse toi guider..

▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis

▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt

Bonne nuit
0
oihana
17 mai 2011 à 02:26
hello,

combofix arrive jusqu'a l 'etape 50 en moins de 10 min.
puis window s'arrete puis redemarre. combofix prepare le compte rendu.
et voici ce que j'obtiens (voir plus bas).
je lance avira antivir pour voir s'il trouve des programmes indésirables (virus, cheval de troie...)
et là
dernier résulat positif: AUCUN RESULTAT!!!
YOUPI
merci pour ton aide et respect!!!!!
bonne nuit et que le dieu des ordis te benisse (je pense d'ailleur que c'est déjà fait)JUJU
666



ComboFix 11-05-16.02 - cedric 17/05/2011 1:44.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.486 [GMT 2:00]
Lancé depuis: c:\documents and settings\cedric\Bureau\oihana.exe
Commutateurs utilisés :: c:\documents and settings\cedric\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
FILE ::
"c:\windows\Eweneqetalajoqi.bin"
"c:\windows\system32\ConduitEngine.tmp"
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-16 au 2011-05-16 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-16 18:02 . 2011-05-16 18:02 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-05-16 17:55 . 2011-05-16 18:45 -------- d-----w- c:\program files\ZHPDiag
2011-05-13 16:39 . 2011-05-13 16:39 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-13 16:06 . 2011-05-13 16:06 -------- d-----r- c:\documents and settings\LocalService\Favoris
2011-05-13 12:58 . 2011-05-13 12:58 -------- d-----w- c:\windows\system32\wbem\Repository
2011-05-13 04:18 . 2011-05-13 15:49 -------- d-----w- c:\program files\STOPzilla!
2011-05-13 04:18 . 2011-05-13 04:18 -------- d-----w- c:\program files\Fichiers communs\iS3
2011-05-13 04:18 . 2011-05-13 12:57 -------- d-----w- c:\documents and settings\All Users\Application Data\STOPzilla!
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 05:33 . 2010-02-28 19:47 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2010-02-28 20:36 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2010-02-28 20:36 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:05 . 2010-02-28 20:36 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2010-02-28 20:35 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:05 . 2010-02-28 20:35 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:42 . 2010-02-28 20:35 385024 ------w- c:\windows\system32\html.iec
2011-02-17 13:18 . 2010-02-28 20:35 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2010-02-28 20:36 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2008-05-07 08:34 . 2009-03-02 08:37 15523560 ----a-w- c:\program files\U1 Setup.exe
.
.
((((((((((((((((((((((((((((( SnapShot@2011-05-16_22.40.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-05-16 23:50 . 2011-05-16 23:50 16384 c:\windows\temp\Perflib_Perfdata_610.dat
- 2010-02-28 20:36 . 2011-04-23 17:49 85256 c:\windows\system32\perfc00C.dat
+ 2010-02-28 20:36 . 2011-05-16 23:43 85256 c:\windows\system32\perfc00C.dat
+ 2010-02-28 20:35 . 2011-05-16 23:43 71654 c:\windows\system32\perfc009.dat
- 2010-02-28 20:35 . 2011-04-23 17:49 71654 c:\windows\system32\perfc009.dat
+ 2010-02-28 20:36 . 2011-05-16 23:43 511256 c:\windows\system32\perfh00C.dat
- 2010-02-28 20:36 . 2011-04-23 17:49 511256 c:\windows\system32\perfh00C.dat
- 2010-02-28 20:35 . 2011-04-23 17:49 441718 c:\windows\system32\perfh009.dat
+ 2010-02-28 20:35 . 2011-05-16 23:43 441718 c:\windows\system32\perfh009.dat
+ 2010-02-28 20:42 . 2011-05-16 23:22 185016 c:\windows\system32\FNTCACHE.DAT
- 2010-02-28 20:42 . 2011-04-16 12:22 185016 c:\windows\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-01-23 416768]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-13 17508864]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-3-2 376832]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-24 09:15 40368 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2008-12-02 21:41 3882312 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\SoulseekNS\\slsk.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/08/2009 17:52 108289]
S2 gupdate1ca6a6c374b05da;Service Google Update (gupdate1ca6a6c374b05da);c:\program files\Google\Update\GoogleUpdate.exe [21/11/2009 07:33 133104]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [02/03/2009 10:30 1684736]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [21/11/2009 07:33 133104]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [02/03/2009 10:32 704384]
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-21 05:33]
.
2011-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-21 05:33]
.
2011-05-16 c:\windows\Tasks\User_Feed_Synchronization-{B0717B6B-17F7-4700-91BD-87E2F0B3065F}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-17 01:51
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3056)
c:\program files\ASUS\Eee Storage\XPClient.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-05-17 01:55:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-05-16 23:55
ComboFix2.txt 2011-05-16 23:27
ComboFix3.txt 2011-05-16 22:46
.
Avant-CF: 12 094 283 776 octets libres
Après-CF: 12 082 630 656 octets libres
.
- - End Of File - - 36446DD6041AE60ACD64DFC51DF15747
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 mai 2011 à 05:42
bien :)

Télécharge de AD-Remover sur ton Bureau. (TeamXScript)

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )

/!\ Ferme toutes applications en cours /!\

▶ Double-clique sur l''icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Scanner »
▶ Confirme lancement du scan
▶ Laisse travailler l''outil.
▶ Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
0
oihana
17 mai 2011 à 13:11
JE PARS CE SOIR EN DEPLACEMENT,
j'essaie de faire ça et vous tiens au courant.
mon antivirus ne trouve plus de cheval de troie.

Merci pour ton aide précieuse.
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 mai 2011 à 16:07
Pas de soucis, tu continueras quand tu seras de retour :)

AD-Remover va désinfecter tes navigateurs ;)
0
oihana
1 juin 2011 à 22:49
hello, i'm come back et le cheval aussi!!
j'ai lancé ad-remover
et voilà le rapport.
merci pour ton aide

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [3]) -> Lancé à 22:38:56 le 01/06/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
cedric@CEDRICASUS ( )

============== RECHERCHE ==============


Dossier trouvé: C:\Documents and Settings\cedric\Local Settings\Application Data\Conduit
Dossier trouvé: C:\Program Files\Conduit
Dossier trouvé: C:\Documents and Settings\cedric\Local Settings\Application Data\ConduitEngine

Clé trouvée: HKLM\Software\Classes\CLSID\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
Clé trouvée: HKLM\Software\Classes\Conduit.Engine
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2504091
Clé trouvée: HKLM\Software\Conduit
Clé trouvée: HKLM\Software\conduitEngine
Clé trouvée: HKCU\Software\Conduit
Clé trouvée: HKCU\Software\conduitEngine
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BE360631-2968-4A4D-B1A4-3BC9500283F0}


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://www.google.fr/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_ElevationPolicy\248bdf19-168a-4c25-bfb9-c96a5e77676c - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
HKLM_ElevationPolicy\25f717be-0983-4f80-8ed2-6bbba9f54318 - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
HKLM_ElevationPolicy\7a1ceea4-9ceb-4545-b837-a9cbd9abcc39 - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
HKLM_ElevationPolicy\{9701887F-52E3-49EF-A9EE-168C0F311E63} - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
HKLM_ElevationPolicy\{BE360631-2968-4A4D-B1A4-3BC9500283F0} - C:\Program Files\ConduitEngine\ConduitEngineHelper.exe (x)
HKLM_ElevationPolicy\{D25EAFBA-16CF-4896-9726-76DF547961C4} - C:\Documents and Settings\cedric\Local Settings\Application Data\Conduit\CT2504091\Vuze_RemoteAutoUpdaterHelper.exe (?)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 3 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 01/06/2011 22:33:32 (3376 Octet(s))
C:\Ad-Report-SCAN[2].txt - 01/06/2011 22:36:26 (3441 Octet(s))
C:\Ad-Report-SCAN[3].txt - 01/06/2011 22:45:08 (1355 Octet(s))

Fin à: 22:46:11, 01/06/2011

============== E.O.F ==============
0
Réponse 6 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
1 juin 2011 à 22:53
Hello ! J'espère que ça c est bien passé ton déplacement !

▶ Relance AD-Remover, clique sur Nettoyer
▶ Laisse le pc redémarrer.
▶ Une fois revenu sur le bureau, le rapport devrait s''ouvrir : poste son contenu.
▶ S''il ne s''ouvre pas; il se trouve là : C:\AD-Report[CLEAN]1.txt


</gras>
0
Réponse 7 / 23
oihana
1 juin 2011 à 23:11
voilà le rapport du nettoyage

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:05:05 le 01/06/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
cedric@CEDRICASUS ( )

============== ACTION(S) ==============


Dossier supprimé: C:\Documents and Settings\cedric\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Documents and Settings\cedric\Local Settings\Application Data\ConduitEngine

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\conduitEngine
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BE360631-2968-4A4D-B1A4-3BC9500283F0}


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_ElevationPolicy\248bdf19-168a-4c25-bfb9-c96a5e77676c - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
HKLM_ElevationPolicy\25f717be-0983-4f80-8ed2-6bbba9f54318 - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
HKLM_ElevationPolicy\7a1ceea4-9ceb-4545-b837-a9cbd9abcc39 - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
HKLM_ElevationPolicy\{9701887F-52E3-49EF-A9EE-168C0F311E63} - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
HKLM_ElevationPolicy\{D25EAFBA-16CF-4896-9726-76DF547961C4} - C:\Documents and Settings\cedric\Local Settings\Application Data\Conduit\CT2504091\Vuze_RemoteAutoUpdaterHelper.exe (x)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 67 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 01/06/2011 23:05:08 (1426 Octet(s))
C:\Ad-Report-SCAN[1].txt - 01/06/2011 22:33:32 (3376 Octet(s))
C:\Ad-Report-SCAN[2].txt - 01/06/2011 22:36:26 (3441 Octet(s))
C:\Ad-Report-SCAN[3].txt - 01/06/2011 22:45:08 (3506 Octet(s))

Fin à: 23:06:37, 01/06/2011

============== E.O.F ==============
0
Réponse 8 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
2 juin 2011 à 10:18
Bonjour,

Bien ! :) relance ad-remover, clique sur désinstaller

======================

Nous allons effectuer un diagnostic de ton PC:
Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe

▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »

▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


Hébergement de rapport sur pjjoint.malekal.com

▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
0
Réponse 9 / 23
oihana
Modifié par oihana le 2/06/2011 à 14:36
bonjour juju,
j'espère que tout va bien pour toi
le lien du rapport est celui ci:

http://pjjoint.malekal.com/files.php?id=0527a4d12761215.
0
Réponse 10 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
2 juin 2011 à 14:47
Hello :)

Je vais bien merci ! j'espère que toi aussi ^^

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
ceci révèle la présence d'un rootkit tdss alueron

▶ Télécharge ici : Reload_TDSSKiller

▶ Lance le

choisis : télécharger la dernière version

▶ relance-le

choisis : lancer le nettoyage

▶ TDSSKiller va s'ouvrir , clique sur "Start Scan"

▶ ▶ Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
▶ ▶ Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
▶ ▶ Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
▶ ▶ Si Suspicious file est indiqué, laisse l''option cochée sur Skip

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
0
oihana
2 juin 2011 à 16:43
ok voici le rapport de tdds killer,
je l'ai mis sur un lien malekal comme tu m'as fait faire précédemment car ça encombre moins la discussion.
si tu préfère que je le poste direct, comme tu veux??
http://pjjoint.malekal.com/files.php?id=66cae36b93659

Pour info,
durant le scan, rien n'a été indiqué. il ne s'est pas arrété
"? ? Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
? ? Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
? ? Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
? ? Si Suspicious file est indiqué, laisse l''option cochée sur Skip "
0
Réponse 11 / 23
oihana
2 juin 2011 à 14:47
en fait il y a pas le point à la fin du lien,
tu l'auras noté j'imagine:

http://pjjoint.malekal.com/files.php?id=0527a4d12761215
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
2 juin 2011 à 14:49
oui et je t ai répondu en même temps :p
https://forums.commentcamarche.net/forum/affich-22119883-qui-veut-se-battre-avec-9-cheval-de-troie#16
0
Réponse 12 / 23
oihana
2 juin 2011 à 15:36
ok voici le rapport de tdds killer,
je l'ai mis sur un lien malekal comme tu m'as fait faire précédemment car ça encombre moins la discussion.
si tu préfère que je le poste direct, comme tu veux??
http://pjjoint.malekal.com/files.php?id=66cae36b93659

Pour info,
durant le scan, rien n'a été indiqué. il ne s'est pas arrété
"? ? Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
? ? Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
? ? Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
? ? Si Suspicious file est indiqué, laisse l''option cochée sur Skip "
0
Réponse 13 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
2 juin 2011 à 18:27
Moui ....

Tu as été à MONTEVIDEO dernièrement ??
0
Réponse 14 / 23
oihana
2 juin 2011 à 18:33
Je suis personnel navigant,
c'est à dire que je bosse dans les avions.
donc en ce moment même je suis à buenos aires en argentine soit pas loin de montevideo en uruguay,
je rentre en france demain soir. d'ailleurs je me prépare pour mon vol.
on peut tout voir par internet.
0
Réponse 15 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
2 juin 2011 à 18:42
en fait, je peux seulement voir par où se connecte ton mozilla firefox afin de naviguer sur internet
certains malwares utilisent cette technique pour t'envoyer sur des sites pas tout à fait clair tu comprends? ^^
comme j'ai vu que ça passait par montevideo je me suis demandé si c était normal :p

=============

ça te dit quelque chose ça:

C:\Documents and Settings\cedric\Local Settings\Temp\YouUpService\YouupService.exe ?

si non :

▶ Rentre dans ton panneau de configuration....
▶ Apparence et personnalisation...
▶ Option des dossiers...(double cliquer dessus)
▶ Dans l''onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option
▶ Encore plus bas : Masquer les fichiers protégés du système d''exploitation (recommandé) : à décocher.

▶ ▶ ensuite rends toi sur ce lien:
https://www.virustotal.com/gui/

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr


▶ Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"
recherche les entrées suivante dans ton disque : 

C:\Documents and Settings\cedric\Local Settings\Temp\YouUpService\YouupService.exe


▶ Clique sur Envoyer

▶ Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant

▶ Copie et colle le lien de ta barre d''adresse ici, après que l''analyse soit terminée
0
Réponse 16 / 23
oihana
2 juin 2011 à 18:56
you up est un logiciel qui permet de créer des effets sur la webcam.
je fais quand même ce que tu m'as demandé et le lien est une fois l'analyse terminée.

http://www.virustotal.com/file-scan/report.html?id=ea164ce5505d2cc92760b9a1e16b1dfc8ed4ca85f4030468dfa7aedd2b50440b-1307032952

result 0/42.

merci encore pour ton aide jusqu'à maintanant
je quitte pars de buenos aires pour 14h de vol direction paris, puis toulouse (my home)
je reste à disosition dès que j'ai une connexion.

bonne journée
0
Réponse 17 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
2 juin 2011 à 19:04
Ok ok c'est parfait ! :)

Bon vol °)

On nettoie les traces laissées :)

▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe     
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe   
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]     
[HKCR\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]     
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]  
EMPTYTEMP


▶ Puis Lance ZHPFix depuis le raccourci du bureau .

▶ Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

▶ Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.

▶ Clique sur le bouton « GO » pour lancer le nettoyage

▶ Copie/Colle le rapport à l''écran dans ton prochain message

▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)

▶ Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

A te lire :)
0
Réponse 18 / 23
oihana
16 juin 2011 à 15:38
bonjour, :))))
j'ai pas mal été occupé et j'ai un peu laissé mon ordi asus que je me sers qu'en escale donc du coup ton aide aussi.
Pour info, là je suis à San francisco.
J'ai la version gratuire de avira antivir, est ce suffisant vu que je voyage beaucoup et est peut être plus exposé aux virus??

Le rapport de zhpfix se trouve sous le lien
http://pjjoint.malekal.com/files.php?id=cbb399c680121415

et l analyse zhpdiag
http://pjjoint.malekal.com/files.php?id=c186b2f11211146

merci beaucoup
0
Réponse 19 / 23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 juin 2011 à 16:00
helo :)
pas de soucis tu peux garder avira ;)

supprime ça : C:\Program Files\Fichiers Communs\Plasmoo
0
Réponse 20 / 23
oihana
16 juin 2011 à 16:26
SALUT JUJU,
ça y est c'est fait
0

Discussions similaires

Quel personnage rare choisir pour battre AKINATOR ?
luc71 -
Regina Mils -

8 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
Toutes les combinaisons à 4 chiffres de 0000 a 9999
Sarah -
baladur13 -

11 réponses
Liste de codes à 6 chiffres allant de 0 à 9.
Alex -
Medorinkashishikato -

7 réponses
Convertir une note sur 14
xCheima -
Nana -

6 réponses