Qui veut se battre avec 9 cheval de troie??

Résolu
oihana -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

avira antivirus a détecté 9 "virus ou programmes indésirables" sur mon eeepc1000hE.
Je ne sais pas comment m'en débarasser, j'ai beau chercher à trouver une solution mais ils sont toujours là.

Début de la désinfection :
C:\Documents and Settings\All Users\Documents\19792079
[RESULTAT] Contient le cheval de Troie TR/Bamital.I.14
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e088471.qua' !
C:\Documents and Settings\cedric\Application Data\Adobe\plugs\mmc1598484.txt
[RESULTAT] Contient le cheval de Troie TR/Agent.50790429
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e3484a5.qua' !
C:\Documents and Settings\cedric\Local Settings\Temp\63.tmp
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen4
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4dff846c.qua' !
C:\Documents and Settings\cedric\Local Settings\Temporary Internet Files\Content.IE5\IX9V0F9X\load[1].htm
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen4
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e3284a8.qua' !
C:\Documents and Settings\cedric\Local Settings\Temporary Internet Files\Content.IE5\J1T01B5N\load[2].htm
[RESULTAT] Contient le cheval de Troie TR/Bamital.I.14
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f4be629.qua' !
C:\System Volume Information\_restore{FA5624D1-82BC-49B1-A878-4720CA2F590C}\RP131\A0041275.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.50790429
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e018469.qua' !
C:\System Volume Information\_restore{FA5624D1-82BC-49B1-A878-4720CA2F590C}\RP132\A0042139.exe
[RESULTAT] Contient le cheval de Troie TR/Kazy.mekml.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f72af5a.qua' !
C:\System Volume Information\_restore{FA5624D1-82BC-49B1-A878-4720CA2F590C}\RP132\A0042143.dll
[RESULTAT] Contient le cheval de Troie TR/Hiloti.D.3284
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f7bee22.qua' !
C:\System Volume Information\_restore{FA5624D1-82BC-49B1-A878-4720CA2F590C}\RP134\A0043243.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen4
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f77c6e2.qua' !

d'habitude en cherchant sur les forums je m'en sors.
Mais là je me sens dépasser par tant d'attaques
J'ai besoin de votre aide, svp.
Merci

23 réponses

  • 1
  • 2
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello,

    Batimal et Hiloti ça va être la fête \o_

    En piste combo :

    /!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\

    Les logiciels d''émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
    ▶ Lance le
    ▶ Une fenêtre apparait : clique sur "Disable"
    ▶ Fais redémarrer l''ordinateur si l''outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
    _______________________________________________________________

    /!\ IMPORTANT /!\
    Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
    https://forum.pcastuces.com/default.asp
    https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
    _______________________________________________________________

    ▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    ▶ Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    ▶ ▶ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
    ▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC

    ▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    ▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
    ▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\

    Notes:
    -> Le rapport se trouve également là : C:\ComboFix.txt
    -> tutoriel combofix

    A demain
    0
  2. walkyry Messages postés 200 Statut Membre 14
     
    Bonsoir tout d'abord indique nous ta configuration pour t'aider.

    Vista, xp?

    Travaille tu avec mozilla firefox? est il a jour?

    ou internet explorer?

    Quel est ton antivirus?

    As tu déjà essayé des outils de suppression de virus si oui lesquels?
    0
    1. oihana
       
      salut walkyry

      je vois qu'il y en a qui sont des oiseaux de nuit!!!

      ma config est XP,
      je travaille avec internet explorer (c'est important mozilla est-il moins attaqué???)
      mon antivirus est Avira.
      Je n'ai pas essayé d'outils en particulier poureliminer ces chevaux de troie.

      a plus tard
      0
  3. oihana
     
    bonjour juju666

    et merci pour ta rapidité.
    je poste comme tu me l'as dit le rapport de combofix
    A Demain

    bonne nuit.

    ComboFix 11-05-16.02 - cedric 17/05/2011 0:32.1.2 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.616 [GMT 2:00]
    Lancé depuis: c:\documents and settings\cedric\Bureau\oihana.exe
    AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\All Users\Documents\dll
    c:\documents and settings\cedric\Application Data\Adobe\plugs
    c:\documents and settings\cedric\Application Data\Adobe\shed
    c:\documents and settings\cedric\Application Data\Adobe\shed\thr1.chm
    c:\documents and settings\cedric\Application Data\Sun\mxd1.txt
    c:\documents and settings\cedric\Application Data\Sun\tdev91.dll
    c:\documents and settings\cedric\Local Settings\Application Data\{D33A520B-68C1-4C7E-91A8-164EBCFC9458}
    c:\documents and settings\cedric\Local Settings\Application Data\{D33A520B-68C1-4C7E-91A8-164EBCFC9458}\chrome.manifest
    c:\documents and settings\cedric\Local Settings\Application Data\{D33A520B-68C1-4C7E-91A8-164EBCFC9458}\chrome\content\_cfg.js
    c:\documents and settings\cedric\Local Settings\Application Data\{D33A520B-68C1-4C7E-91A8-164EBCFC9458}\chrome\content\overlay.xul
    c:\documents and settings\cedric\Local Settings\Application Data\{D33A520B-68C1-4C7E-91A8-164EBCFC9458}\install.rdf
    c:\windows\ehawiducenafida.dll
    c:\windows\system32\Thumbs.db
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-04-16 au 2011-05-16 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-05-16 18:02 . 2011-05-16 18:02 512 ----a-w- C:\PhysicalDisk0_MBR.bin
    2011-05-16 17:55 . 2011-05-16 18:45 -------- d-----w- c:\program files\ZHPDiag
    2011-05-13 16:39 . 2011-05-13 16:39 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
    2011-05-13 16:06 . 2011-05-13 16:06 -------- d-----r- c:\documents and settings\LocalService\Favoris
    2011-05-13 12:58 . 2011-05-13 12:58 -------- d-----w- c:\windows\system32\wbem\Repository
    2011-05-13 04:18 . 2011-05-13 15:49 -------- d-----w- c:\program files\STOPzilla!
    2011-05-13 04:18 . 2011-05-13 04:18 -------- d-----w- c:\program files\Fichiers communs\iS3
    2011-05-13 04:18 . 2011-05-13 12:57 -------- d-----w- c:\documents and settings\All Users\Application Data\STOPzilla!
    2011-05-13 03:54 . 2011-05-16 18:15 0 ----a-w- c:\windows\Eweneqetalajoqi.bin
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-04-10 15:53 . 2010-12-28 12:21 0 ------w- c:\windows\system32\ConduitEngine.tmp
    2011-03-07 05:33 . 2010-02-28 19:47 692736 ----a-w- c:\windows\system32\inetcomm.dll
    2011-03-04 06:36 . 2010-02-28 20:36 420864 ----a-w- c:\windows\system32\vbscript.dll
    2011-03-03 13:53 . 2010-02-28 20:36 1858048 ----a-w- c:\windows\system32\win32k.sys
    2011-02-22 23:05 . 2010-02-28 20:36 916480 ----a-w- c:\windows\system32\wininet.dll
    2011-02-22 23:05 . 2010-02-28 20:35 43520 ----a-w- c:\windows\system32\licmgr10.dll
    2011-02-22 23:05 . 2010-02-28 20:35 1469440 ------w- c:\windows\system32\inetcpl.cpl
    2011-02-22 11:42 . 2010-02-28 20:35 385024 ------w- c:\windows\system32\html.iec
    2011-02-17 13:18 . 2010-02-28 20:35 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2011-02-17 13:18 . 2010-02-28 20:36 357888 ----a-w- c:\windows\system32\drivers\srv.sys
    2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
    2008-05-07 08:34 . 2009-03-02 08:37 15523560 ----a-w- c:\program files\U1 Setup.exe
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\prxtbVuz2.dll" [2011-01-17 175912]
    .
    [HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
    .
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
    2011-01-17 14:54 175912 ----a-w- c:\program files\ConduitEngine\prxConduitEngine.dll
    .
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
    2011-01-17 14:54 175912 ----a-w- c:\program files\Vuze_Remote\prxtbVuz2.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote\prxtbVuz2.dll" [2011-01-17 175912]
    "{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
    .
    [HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
    .
    [HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
    .
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote\prxtbVuz2.dll" [2011-01-17 175912]
    "{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
    .
    [HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
    .
    [HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
    @="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
    [HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
    2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
    @="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
    [HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
    2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
    "ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-01-23 416768]
    "AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
    "AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]
    "AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
    "RTHDCPL"="RTHDCPL.EXE" [2009-02-13 17508864]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
    .
    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
    SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-3-2 376832]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2010-09-24 09:15 40368 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
    2008-12-02 21:41 3882312 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "c:\\Program Files\\SoulseekNS\\slsk.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Vuze\\Azureus.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    .
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/08/2009 17:52 108289]
    R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [02/03/2009 10:32 704384]
    S2 gupdate1ca6a6c374b05da;Service Google Update (gupdate1ca6a6c374b05da);c:\program files\Google\Update\GoogleUpdate.exe [21/11/2009 07:33 133104]
    S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [02/03/2009 10:30 1684736]
    S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [21/11/2009 07:33 133104]
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-11-21 05:33]
    .
    2011-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-11-21 05:33]
    .
    2011-05-16 c:\windows\Tasks\User_Feed_Synchronization-{B0717B6B-17F7-4700-91BD-87E2F0B3065F}.job
    - c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    HKCU-Run-Xjerujagedeyoxi - c:\windows\tdvals.dll
    HKLM-Run-Mhave - c:\windows\ehawiducenafida.dll
    HKLM_ActiveSetup-{28B4108B-52D6-4A22-92EE-C8E15398C4FD} - c:\documents and settings\cedric\Application Data\Sun\tdev91.dll
    AddRemove-conduitEngine - c:\program files\ConduitEngine\ConduitEngineUninstall.exe
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-05-17 00:40
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'winlogon.exe'(740)
    c:\windows\system32\igfxdev.dll
    .
    Heure de fin: 2011-05-17 00:45:57
    ComboFix-quarantined-files.txt 2011-05-16 22:45
    .
    Avant-CF: 11 876 458 496 octets libres
    Après-CF: 12 095 488 000 octets libres
    .
    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
    .
    - - End Of File - - 1D8298E533EFD4FEA2C4E5FF07FDD350
    0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Tu as un nombre incalculable de toolbar !!

    ▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

    ▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!


    ▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    KillAll::
    
    File::
    
    c:\windows\Eweneqetalajoqi.bin 
    c:\windows\system32\ConduitEngine.tmp  
    
    Folder::
    
    c:\program files\Vuze_Remote
    c:\program files\ConduitEngine 
    
    Registry::
    
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] 
    "{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-    
    
    [-HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
    
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]     
       
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 
    "{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-     
    "{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
    
    [-HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
    
    [-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}] 
    
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] 
    "{BA14329E-9550-4989-B3F2-9732E92D17CC}"=-    
    "{30F9B915-B755-4826-820B-08FBA6BD249D}"=-    
    
    [-HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
    
    Reboot::
    


    ▶ Enregistre ce fichier sous le nom CFScript

    ▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

    ▶ Combofix se lance, laisse toi guider..

    ▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
    Ne touche à rien tant que le scan n''est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis

    ▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt

    Bonne nuit
    0
    1. oihana
       
      hello,

      combofix arrive jusqu'a l 'etape 50 en moins de 10 min.
      puis window s'arrete puis redemarre. combofix prepare le compte rendu.
      et voici ce que j'obtiens (voir plus bas).
      je lance avira antivir pour voir s'il trouve des programmes indésirables (virus, cheval de troie...)
      et là
      dernier résulat positif: AUCUN RESULTAT!!!
      YOUPI
      merci pour ton aide et respect!!!!!
      bonne nuit et que le dieu des ordis te benisse (je pense d'ailleur que c'est déjà fait)JUJU
      666




      ComboFix 11-05-16.02 - cedric 17/05/2011 1:44.3.2 - x86
      Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.486 [GMT 2:00]
      Lancé depuis: c:\documents and settings\cedric\Bureau\oihana.exe
      Commutateurs utilisés :: c:\documents and settings\cedric\Bureau\CFScript.txt
      AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
      .
      FILE ::
      "c:\windows\Eweneqetalajoqi.bin"
      "c:\windows\system32\ConduitEngine.tmp"
      .
      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2011-04-16 au 2011-05-16 ))))))))))))))))))))))))))))))))))))
      .
      .
      2011-05-16 18:02 . 2011-05-16 18:02 512 ----a-w- C:\PhysicalDisk0_MBR.bin
      2011-05-16 17:55 . 2011-05-16 18:45 -------- d-----w- c:\program files\ZHPDiag
      2011-05-13 16:39 . 2011-05-13 16:39 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
      2011-05-13 16:06 . 2011-05-13 16:06 -------- d-----r- c:\documents and settings\LocalService\Favoris
      2011-05-13 12:58 . 2011-05-13 12:58 -------- d-----w- c:\windows\system32\wbem\Repository
      2011-05-13 04:18 . 2011-05-13 15:49 -------- d-----w- c:\program files\STOPzilla!
      2011-05-13 04:18 . 2011-05-13 04:18 -------- d-----w- c:\program files\Fichiers communs\iS3
      2011-05-13 04:18 . 2011-05-13 12:57 -------- d-----w- c:\documents and settings\All Users\Application Data\STOPzilla!
      .
      .
      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2011-03-07 05:33 . 2010-02-28 19:47 692736 ----a-w- c:\windows\system32\inetcomm.dll
      2011-03-04 06:36 . 2010-02-28 20:36 420864 ----a-w- c:\windows\system32\vbscript.dll
      2011-03-03 13:53 . 2010-02-28 20:36 1858048 ----a-w- c:\windows\system32\win32k.sys
      2011-02-22 23:05 . 2010-02-28 20:36 916480 ----a-w- c:\windows\system32\wininet.dll
      2011-02-22 23:05 . 2010-02-28 20:35 43520 ----a-w- c:\windows\system32\licmgr10.dll
      2011-02-22 23:05 . 2010-02-28 20:35 1469440 ------w- c:\windows\system32\inetcpl.cpl
      2011-02-22 11:42 . 2010-02-28 20:35 385024 ------w- c:\windows\system32\html.iec
      2011-02-17 13:18 . 2010-02-28 20:35 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
      2011-02-17 13:18 . 2010-02-28 20:36 357888 ----a-w- c:\windows\system32\drivers\srv.sys
      2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
      2008-05-07 08:34 . 2009-03-02 08:37 15523560 ----a-w- c:\program files\U1 Setup.exe
      .
      .
      ((((((((((((((((((((((((((((( SnapShot@2011-05-16_22.40.29 )))))))))))))))))))))))))))))))))))))))))
      .
      + 2011-05-16 23:50 . 2011-05-16 23:50 16384 c:\windows\temp\Perflib_Perfdata_610.dat
      - 2010-02-28 20:36 . 2011-04-23 17:49 85256 c:\windows\system32\perfc00C.dat
      + 2010-02-28 20:36 . 2011-05-16 23:43 85256 c:\windows\system32\perfc00C.dat
      + 2010-02-28 20:35 . 2011-05-16 23:43 71654 c:\windows\system32\perfc009.dat
      - 2010-02-28 20:35 . 2011-04-23 17:49 71654 c:\windows\system32\perfc009.dat
      + 2010-02-28 20:36 . 2011-05-16 23:43 511256 c:\windows\system32\perfh00C.dat
      - 2010-02-28 20:36 . 2011-04-23 17:49 511256 c:\windows\system32\perfh00C.dat
      - 2010-02-28 20:35 . 2011-04-23 17:49 441718 c:\windows\system32\perfh009.dat
      + 2010-02-28 20:35 . 2011-05-16 23:43 441718 c:\windows\system32\perfh009.dat
      + 2010-02-28 20:42 . 2011-05-16 23:22 185016 c:\windows\system32\FNTCACHE.DAT
      - 2010-02-28 20:42 . 2011-04-16 12:22 185016 c:\windows\system32\FNTCACHE.DAT
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
      @="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
      [HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
      2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
      @="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
      [HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
      2009-11-06 23:07 297808 ----a-w- c:\windows\system32\mscoree.dll
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
      "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
      "Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
      "ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-01-23 416768]
      "AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
      "AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]
      "AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
      "RTHDCPL"="RTHDCPL.EXE" [2009-02-13 17508864]
      "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
      "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
      "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
      .
      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
      .
      c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
      BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
      SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-3-2 376832]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
      2010-09-24 09:15 40368 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
      2008-12-02 21:41 3882312 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
      .
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
      "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
      "c:\\Program Files\\SoulseekNS\\slsk.exe"=
      "c:\\Program Files\\eMule\\emule.exe"=
      "c:\\Program Files\\Vuze\\Azureus.exe"=
      "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
      .
      R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/08/2009 17:52 108289]
      S2 gupdate1ca6a6c374b05da;Service Google Update (gupdate1ca6a6c374b05da);c:\program files\Google\Update\GoogleUpdate.exe [21/11/2009 07:33 133104]
      S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [02/03/2009 10:30 1684736]
      S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [21/11/2009 07:33 133104]
      S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [02/03/2009 10:32 704384]
      .
      Contenu du dossier 'Tâches planifiées'
      .
      2011-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2009-11-21 05:33]
      .
      2011-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2009-11-21 05:33]
      .
      2011-05-16 c:\windows\Tasks\User_Feed_Synchronization-{B0717B6B-17F7-4700-91BD-87E2F0B3065F}.job
      - c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.google.fr/
      IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
      IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
      IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
      .
      .
      **************************************************************************
      .
      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2011-05-17 01:51
      Windows 5.1.2600 Service Pack 3 NTFS
      .
      Recherche de processus cachés ...
      .
      Recherche d'éléments en démarrage automatique cachés ...
      .
      Recherche de fichiers cachés ...
      .
      Scan terminé avec succès
      Fichiers cachés: 0
      .
      **************************************************************************
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
      @Denied: (A 2) (Everyone)
      @="FlashBroker"
      "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
      "Enabled"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
      @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
      @Denied: (A 2) (Everyone)
      @="IFlashBroker4"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
      @="{00020424-0000-0000-C000-000000000046}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      "Version"="1.0"
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------
      .
      - - - - - - - > 'explorer.exe'(3056)
      c:\program files\ASUS\Eee Storage\XPClient.dll
      c:\windows\system32\btmmhook.dll
      c:\windows\system32\eappprxy.dll
      c:\windows\system32\webcheck.dll
      c:\windows\system32\WPDShServiceObj.dll
      c:\windows\system32\btncopy.dll
      c:\windows\system32\PortableDeviceTypes.dll
      c:\windows\system32\PortableDeviceApi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\Avira\AntiVir Desktop\avguard.exe
      c:\program files\Java\jre6\bin\jqs.exe
      c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      c:\windows\system32\wbem\wmiapsrv.exe
      c:\windows\system32\igfxsrvc.exe
      c:\windows\system32\igfxext.exe
      c:\windows\RTHDCPL.EXE
      c:\windows\system32\wscntfy.exe
      .
      **************************************************************************
      .
      Heure de fin: 2011-05-17 01:55:03 - La machine a redémarré
      ComboFix-quarantined-files.txt 2011-05-16 23:55
      ComboFix2.txt 2011-05-16 23:27
      ComboFix3.txt 2011-05-16 22:46
      .
      Avant-CF: 12 094 283 776 octets libres
      Après-CF: 12 082 630 656 octets libres
      .
      - - End Of File - - 36446DD6041AE60ACD64DFC51DF15747
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    bien :)

    Télécharge de AD-Remover sur ton Bureau. (TeamXScript)

    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    OU
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes applications en cours /!\

    ▶ Double-clique sur l''icône Ad-remover située sur ton Bureau.
    ▶ Sur la page, clique sur le bouton « Scanner »
    ▶ Confirme lancement du scan
    ▶ Laisse travailler l''outil.
    ▶ Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    0
    1. oihana
       
      JE PARS CE SOIR EN DEPLACEMENT,
      j'essaie de faire ça et vous tiens au courant.
      mon antivirus ne trouve plus de cheval de troie.

      Merci pour ton aide précieuse.
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Pas de soucis, tu continueras quand tu seras de retour :)

      AD-Remover va désinfecter tes navigateurs ;)
      0
    3. oihana
       
      hello, i'm come back et le cheval aussi!!
      j'ai lancé ad-remover
      et voilà le rapport.
      merci pour ton aide

      ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

      Mis à jour par TeamXscript le 12/04/11
      Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
      Site web: http://www.teamxscript.org

      C:\Program Files\Ad-Remover\main.exe (SCAN [3]) -> Lancé à 22:38:56 le 01/06/2011, Mode normal

      Microsoft Windows XP Édition familiale Service Pack 3 (X86)
      cedric@CEDRICASUS ( )

      ============== RECHERCHE ==============


      Dossier trouvé: C:\Documents and Settings\cedric\Local Settings\Application Data\Conduit
      Dossier trouvé: C:\Program Files\Conduit
      Dossier trouvé: C:\Documents and Settings\cedric\Local Settings\Application Data\ConduitEngine

      Clé trouvée: HKLM\Software\Classes\CLSID\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
      Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
      Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
      Clé trouvée: HKLM\Software\Classes\Conduit.Engine
      Clé trouvée: HKLM\Software\Classes\Toolbar.CT2504091
      Clé trouvée: HKLM\Software\Conduit
      Clé trouvée: HKLM\Software\conduitEngine
      Clé trouvée: HKCU\Software\Conduit
      Clé trouvée: HKCU\Software\conduitEngine
      Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BE360631-2968-4A4D-B1A4-3BC9500283F0}


      ============== SCAN ADDITIONNEL ==============

      **** Internet Explorer Version [8.0.6001.18702] ****

      HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      HKCU_Main|Start Page - hxxp://www.google.fr/
      HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
      HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
      HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
      HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
      HKLM_ElevationPolicy\248bdf19-168a-4c25-bfb9-c96a5e77676c - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
      HKLM_ElevationPolicy\25f717be-0983-4f80-8ed2-6bbba9f54318 - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
      HKLM_ElevationPolicy\7a1ceea4-9ceb-4545-b837-a9cbd9abcc39 - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
      HKLM_ElevationPolicy\{9701887F-52E3-49EF-A9EE-168C0F311E63} - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
      HKLM_ElevationPolicy\{BE360631-2968-4A4D-B1A4-3BC9500283F0} - C:\Program Files\ConduitEngine\ConduitEngineHelper.exe (x)
      HKLM_ElevationPolicy\{D25EAFBA-16CF-4896-9726-76DF547961C4} - C:\Documents and Settings\cedric\Local Settings\Application Data\Conduit\CT2504091\Vuze_RemoteAutoUpdaterHelper.exe (?)
      HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
      HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
      BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
      BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)

      ========================================

      C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
      C:\Program Files\Ad-Remover\Backup: 3 Fichier(s)

      C:\Ad-Report-SCAN[1].txt - 01/06/2011 22:33:32 (3376 Octet(s))
      C:\Ad-Report-SCAN[2].txt - 01/06/2011 22:36:26 (3441 Octet(s))
      C:\Ad-Report-SCAN[3].txt - 01/06/2011 22:45:08 (1355 Octet(s))

      Fin à: 22:46:11, 01/06/2011

      ============== E.O.F ==============
      0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello ! J'espère que ça c est bien passé ton déplacement !

    ▶ Relance AD-Remover, clique sur Nettoyer
    ▶ Laisse le pc redémarrer.
    ▶ Une fois revenu sur le bureau, le rapport devrait s''ouvrir : poste son contenu.
    ▶ S''il ne s''ouvre pas; il se trouve là : C:\AD-Report[CLEAN]1.txt

    </gras>
    0
  8. oihana
     
    voilà le rapport du nettoyage

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:05:05 le 01/06/2011, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    cedric@CEDRICASUS ( )

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Documents and Settings\cedric\Local Settings\Application Data\Conduit
    Dossier supprimé: C:\Program Files\Conduit
    Dossier supprimé: C:\Documents and Settings\cedric\Local Settings\Application Data\ConduitEngine

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\CLSID\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A80FBA62-5AE5-4A04-A72A-E1772351FF9A}
    Clé supprimée: HKLM\Software\Classes\Conduit.Engine
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKLM\Software\conduitEngine
    Clé supprimée: HKCU\Software\Conduit
    Clé supprimée: HKCU\Software\conduitEngine
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BE360631-2968-4A4D-B1A4-3BC9500283F0}

    ============== SCAN ADDITIONNEL ==============

    **** Internet Explorer Version [8.0.6001.18702] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKLM_ElevationPolicy\248bdf19-168a-4c25-bfb9-c96a5e77676c - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
    HKLM_ElevationPolicy\25f717be-0983-4f80-8ed2-6bbba9f54318 - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
    HKLM_ElevationPolicy\7a1ceea4-9ceb-4545-b837-a9cbd9abcc39 - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
    HKLM_ElevationPolicy\{9701887F-52E3-49EF-A9EE-168C0F311E63} - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (x)
    HKLM_ElevationPolicy\{D25EAFBA-16CF-4896-9726-76DF547961C4} - C:\Documents and Settings\cedric\Local Settings\Application Data\Conduit\CT2504091\Vuze_RemoteAutoUpdaterHelper.exe (x)
    HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
    BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 67 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 01/06/2011 23:05:08 (1426 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 01/06/2011 22:33:32 (3376 Octet(s))
    C:\Ad-Report-SCAN[2].txt - 01/06/2011 22:36:26 (3441 Octet(s))
    C:\Ad-Report-SCAN[3].txt - 01/06/2011 22:45:08 (3506 Octet(s))

    Fin à: 23:06:37, 01/06/2011

    ============== E.O.F ==============
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour,

    Bien ! :) relance ad-remover, clique sur désinstaller

    ======================

    Nous allons effectuer un diagnostic de ton PC:
    Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    ou :
    ftp://zebulon.fr/ZHPDiag2.exe

    ▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »

    ▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
    ▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
    ▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://pjjoint.malekal.com/

    Si indispo:
    http://www.cijoint.fr/
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.cjoint.com/
    ou :
    https://www.casimages.com/

    ▶ Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Hébergement de rapport sur pjjoint.malekal.com

    ▶ Rends toi sur pjjoint.malekal.com
    ▶ Clique sur le bouton Parcourir
    ▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
    ▶ Clique sur le bouton Envoyer
    ▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
    0
  10. oihana
     
    bonjour juju,
    j'espère que tout va bien pour toi
    le lien du rapport est celui ci:

    http://pjjoint.malekal.com/files.php?id=0527a4d12761215.
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello :)

    Je vais bien merci ! j'espère que toi aussi ^^

    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe

    ceci révèle la présence d'un rootkit tdss alueron

    ▶ Télécharge ici : Reload_TDSSKiller

    ▶ Lance le

    choisis : télécharger la dernière version

    ▶ relance-le

    choisis : lancer le nettoyage

    ▶ TDSSKiller va s'ouvrir , clique sur "Start Scan"

    ▶ ▶ Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    ▶ ▶ Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    ▶ ▶ Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    ▶ ▶ Si Suspicious file est indiqué, laisse l''option cochée sur Skip

    une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
    0
    1. oihana
       
      ok voici le rapport de tdds killer,
      je l'ai mis sur un lien malekal comme tu m'as fait faire précédemment car ça encombre moins la discussion.
      si tu préfère que je le poste direct, comme tu veux??
      http://pjjoint.malekal.com/files.php?id=66cae36b93659

      Pour info,
      durant le scan, rien n'a été indiqué. il ne s'est pas arrété
      "? ? Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
      ? ? Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
      ? ? Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
      ? ? Si Suspicious file est indiqué, laisse l''option cochée sur Skip "
      0
  12. oihana
     
    ok voici le rapport de tdds killer,
    je l'ai mis sur un lien malekal comme tu m'as fait faire précédemment car ça encombre moins la discussion.
    si tu préfère que je le poste direct, comme tu veux??
    http://pjjoint.malekal.com/files.php?id=66cae36b93659

    Pour info,
    durant le scan, rien n'a été indiqué. il ne s'est pas arrété
    "? ? Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    ? ? Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    ? ? Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    ? ? Si Suspicious file est indiqué, laisse l''option cochée sur Skip "
    0
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Moui ....

    Tu as été à MONTEVIDEO dernièrement ??
    0
  14. oihana
     
    Je suis personnel navigant,
    c'est à dire que je bosse dans les avions.
    donc en ce moment même je suis à buenos aires en argentine soit pas loin de montevideo en uruguay,
    je rentre en france demain soir. d'ailleurs je me prépare pour mon vol.
    on peut tout voir par internet.
    0
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    en fait, je peux seulement voir par où se connecte ton mozilla firefox afin de naviguer sur internet
    certains malwares utilisent cette technique pour t'envoyer sur des sites pas tout à fait clair tu comprends? ^^
    comme j'ai vu que ça passait par montevideo je me suis demandé si c était normal :p

    =============

    ça te dit quelque chose ça:

    C:\Documents and Settings\cedric\Local Settings\Temp\YouUpService\YouupService.exe ?

    si non :

    ▶ Rentre dans ton panneau de configuration....
    ▶ Apparence et personnalisation...
    ▶ Option des dossiers...(double cliquer dessus)
    ▶ Dans l''onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option
    ▶ Encore plus bas : Masquer les fichiers protégés du système d''exploitation (recommandé) : à décocher.

    ▶ ▶ ensuite rends toi sur ce lien:
    https://www.virustotal.com/gui/

    (si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr

    ▶ Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"
    recherche les entrées suivante dans ton disque :

    C:\Documents and Settings\cedric\Local Settings\Temp\YouUpService\YouupService.exe   
    


    ▶ Clique sur Envoyer

    ▶ Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant

    ▶ Copie et colle le lien de ta barre d''adresse ici, après que l''analyse soit terminée
    0
  16. oihana
     
    you up est un logiciel qui permet de créer des effets sur la webcam.
    je fais quand même ce que tu m'as demandé et le lien est une fois l'analyse terminée.

    http://www.virustotal.com/file-scan/report.html?id=ea164ce5505d2cc92760b9a1e16b1dfc8ed4ca85f4030468dfa7aedd2b50440b-1307032952

    result 0/42.

    merci encore pour ton aide jusqu'à maintanant
    je quitte pars de buenos aires pour 14h de vol direction paris, puis toulouse (my home)
    je reste à disosition dès que j'ai une connexion.

    bonne journée
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ok ok c'est parfait ! :)

    Bon vol °)

    On nettoie les traces laissées :)

    ▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe     
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe   
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]    
    [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]     
    [HKCR\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]     
    [HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]   
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]  
    EMPTYTEMP
    


    ▶ Puis Lance ZHPFix depuis le raccourci du bureau .

    ▶ Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    ▶ Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    ▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.

    ▶ Clique sur le bouton « GO » pour lancer le nettoyage

    ▶ Copie/Colle le rapport à l''écran dans ton prochain message

    ▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)

    ▶ Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

    A te lire :)
    0
  18. oihana
     
    bonjour, :))))
    j'ai pas mal été occupé et j'ai un peu laissé mon ordi asus que je me sers qu'en escale donc du coup ton aide aussi.
    Pour info, là je suis à San francisco.
    J'ai la version gratuire de avira antivir, est ce suffisant vu que je voyage beaucoup et est peut être plus exposé aux virus??

    Le rapport de zhpfix se trouve sous le lien
    http://pjjoint.malekal.com/files.php?id=cbb399c680121415

    et l analyse zhpdiag
    http://pjjoint.malekal.com/files.php?id=c186b2f11211146

    merci beaucoup
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    helo :)
    pas de soucis tu peux garder avira ;)

    supprime ça : C:\Program Files\Fichiers Communs\Plasmoo
    0
  • 1
  • 2