Cycbot Backdoor Résolu/Fermé

Question

Bonjour, 
mon anti virus ma alertésur un risque élevé.
Nom du rique:System Infected:cycbot Backdoor Activity
Que faire merçi par avance


Configuration: Windows XP / Internet Explorer 7.0

jfkpresident · Accepted Answer

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

Utilisateur anonyme · Answer

metre en quarantaine

jfkpresident · Answer

Bonsoir,

 Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

davanfo · Answer

voila si ca peut aider a me dépanner
http://www.cijoint.fr/cjlink.php?file=cj201105/cijRO85ITc.txt

jfkpresident · Answer

Copie dans le Presse-papier les lignes ci-dessous en gras (sélectionne les avec la souris et fais simultanément Ctrl et C)

[MD5.163ACBF786498B2B7DCCFB377C295722] - (.Pas de propriétaire - Application Policy Service.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe   [1459712]    
O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\Magali\Application Data\Microsoft\conhost.exe (.not file.)   
O23 - Service:  (Application Policy Service) . (.Pas de propriétaire - Application Policy Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe   
[HKCU\Software\PopCap]     
[HKCU\Software\pdfforge.org]    
[HKLM\Software\pdfforge.org]   
[HKLM\Software\Classes\AppID\SoftwareUpdate.exe]   
SR - | Auto 15/05/2011 1459712 |  (Application Policy Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe 
O23 - Service:  (Planificateur LiveUpdate automatique) - Clé orpheline       

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

davanfo · Answer

voila j'espere que la manip était bonne et merci pour ton temps

Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-20-05-2011-23-19-31.txt
Run by Magali at 20/05/2011 23:19:31
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O23 - Service: (Application Policy Service) . (.Pas de propriétaire - Application Policy Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe  => Clé absente
HKCU\Software\PopCap  => Clé supprimée avec succès
HKCU\Software\pdfforge.org  => Clé supprimée avec succès
HKLM\Software\pdfforge.org  => Clé supprimée avec succès
HKLM\Software\Classes\AppID\SoftwareUpdate.exe  => Clé supprimée avec succès
O23 - Service: (Planificateur LiveUpdate automatique) - Clé orpheline  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\Magali\Application Data\Microsoft\conhost.exe (.not file.)  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\windows\system32\config\systemprofile\local settings\application data\application policy service\svchost.exe [1459712]  => Fichier absent
c:\documents and settings\magali\application data\microsoft\conhost.exe  => Fichier absent


========== Récapitulatif ==========
6 : Clé(s) du Registre
1 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan

jfkpresident · Answer

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

davanfo · Answer

Voila le rapport,pour info après l'analise j'ai du redémarrer mon pc et vraiment galérer pour me connecter
merci pour ton aide
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6632

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/05/2011 11:18:35
mbam-log-2011-05-21 (11-18-35).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 301128
Temps écoulé: 2 heure(s), 10 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: () Good: ("%1" /S) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\ZHPDiag\quarantine\svchost.exe.vir (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\Magali\local settings\Temp\ns4.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b8687c25-491c-4b92-a950-d228172f494f}\rp902\a0254739.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b8687c25-491c-4b92-a950-d228172f494f}\RP903\A0254868.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

jfkpresident · Answer

Maintenant recolle moi un nouveau rapport ZhpDiag pour controle .

davanfo · Answer

voila
http://www.cijoint.fr/cjlink.php?file=cj201105/cijqPr5mAE.txt

jfkpresident · Answer

Copie dans le Presse-papier les lignes ci-dessous en gras (sélectionne les avec la souris et fais simultanément Ctrl et C)

O64 - Services: CurCS - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe (.not file.) - Application Policy Service (Application Policy Service)  .(...) - LEGACY_APPLICATION_POLICY_SERVICE   
SS - | Auto  0 |  (Application Policy Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe 
O23 - Service:  (Application Policy Service) - Clé orpheline   
O64 - Services: CurCS - (.not file.) - (.not file.) - Norton 360 (N360)  .(...) - LEGACY_N360       

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

davanfo · Answer

et voila et merçi encore
Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-23-05-2011-19-46-56.txt
Run by Magali at 23/05/2011 19:46:56
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe (.not file.) - Application Policy Service (Application Policy Service) .(...) - LEGACY_APPLICATION_POLICY_SERVICE  => Clé supprimée avec succès
SS - | Auto 0 | (Application Policy Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe  => Clé supprimée avec succès
O23 - Service: (Application Policy Service) - Clé orpheline  => Clé absente
O64 - Services: CurCS - (.not file.) - (.not file.) - Norton 360 (N360) .(...) - LEGACY_N360  => Clé supprimée avec succès

========== Fichier(s) ==========
c:\windows\system32\config\systemprofile\local settings\application data\application policy service\svchost.exe  => Fichier absent


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Fichier(s)


End of the scan

jfkpresident · Answer

Comment va le pc ?

Comptes tu garder Norton comme antivirus ? 

Je te conseille vivement de désinstaller Shareaza (c'est une daube ..)

davanfo · Answer

Ok pour shareaza, quand je coupe mon PC et que je le rallume y beug plus moyen de me connecter je passe par une veille prolongée et après ca va mais j'ai l'impression qu'il rame

jfkpresident · Answer

plus moyen de me connecter 

A quoi ?? Te connecter a un compte ? ou sur internet ? Sois plus précis STP .

davanfo · Answer

désolé,de me connecter a internet.Après avoir essayer de me connecter via internet explorer rien ne se passe et  dans le menu démarrer j'ai plus de programme (vide) pas moyen de couper mon ordi sans passer par une veille prolonger.
Après la veille Ie ok et les programme aussi windows m'informe qu'un probleme et survenu et qu'il a du ferme et me demande d'envoyer un rapport d'erreur.
Depuis tout marche avec un peu de lenteur

davanfo · Answer

Le programme ne ma jamais demandé de taper 2 mais a afficher un rapport: RogueKiller V5.1.6 [21/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Magali [Droits d'admin] Mode: Recherche -- Date : 24/05/2011 12:40:01 Processus malicieux: 0 Entrees de registre: 0 Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt

jfkpresident · Answer

Rien en vue ...

On va juste vérifier si un rootkit se cache la dessous :

Télécharge gmer
http://www2.gmer.net/gmer.zip

dézippe-le (clic droit et extraire sur le bureau )

Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
Le scan va se lancer de lui-même.
vérifie que l'outil est sur l'onglet RootKit/Malware

A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
Enregistre-le sur le bureau ( fichier .log )
Edite ce rapport dans ta prochaine réponse.

davanfo · Answer

Voila c'est grave docteur...

GMER 1.0.15.15627 - http://www.gmer.net
Rootkit quick scan 2011-05-24 21:34:48
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 HTS541080G9AT00 rev.MB4OA60A
Running: gmer.exe; Driver: C:\DOCUME~1\Magali\LOCALS~1\Temp\pxtdqpoc.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                 SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp                SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp              SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)

---- EOF - GMER 1.0.15 ----

jfkpresident · Answer

RAS .....:(

Tu peux me recoller un nouveau rapport ZhpDiag (en l'hébergeant sur Cijoint) .

davanfo · Answer

Et voila pour un nouveau rapport ZhpDiag

http://www.cijoint.fr/cjlink.php?file=cj201105/cijgewR1pa.txt

jfkpresident · Answer

Tu la télécharger ou celui la : C:\Program Files\Avast5_IS.exe

davanfo · Answer

Je peus vraiment pas te dire pourquoi?

davanfo · Answer

C de la daube ce programme ou quoi?

jfkpresident · Answer

Je t'ai oublié ....pardon :(

Tu peux relancer ZhpDiag en cochant la case 082 et poster le nouveau rapport .

davanfo · Answer

Salut désolé mais j'ai pas compri "en cochant la case 082" je te reposte le rapport et merci

http://www.cijoint.fr/cjlink.php?file=cj201105/cijdfntJuk.txt

davanfo · Answer

a au fait nouveauté ma messagerie hotmail envoi des message toute seul si tu peut m'aider ce serait cool merçi

jfkpresident · Answer

* Télécharge et install UsbFix par El Desaparecido , C_XX & Chimay8 

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton bureau .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

* Laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra.

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

davanfo · Answer

Voila

############################## | UsbFix 7.046 | [Recherche]

Utilisateur: Magali (Administrateur) # NOUS [ ]
Mis à jour le 23/05/2011 par TeamXscript
Lancé à 21:45:36 | 28/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: AMD Turion(tm) 64 Mobile Technology ML-32
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: Norton 360 Premier Edition 3.0.0.134 [Enabled | Updated]
Firewall: Norton 360 Premier Edition 3.0.0.134 [Enabled]
RAM -> 1022 Mo 
C:\ (%systemdrive%) -> Disque fixe # 74 Go (16 Go libre(s) - 21%) [] # NTFS
D:\ -> CD-ROM

################## | Éléments infectieux |


Présent! C:\WINDOWS\fonts\RandFont.dll

################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Présent! HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableRegistryTools
Présent! HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableRegistryTools
Présent! HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableTaskMgr
Présent! HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableTaskMgr
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Présent! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig
Présent! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableSR

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

jfkpresident · Answer

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton bureau

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

* Ton bureau disparaitra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

davanfo · Answer

ya pas mal de truc supprimé

############################## | UsbFix 7.046 | [Suppression]

Utilisateur: Magali (Administrateur) # NOUS [ ]
Mis à jour le 23/05/2011 par TeamXscript
Lancé à 06:10:38 | 29/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: AMD Turion(tm) 64 Mobile Technology ML-32
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: Norton 360 Premier Edition 3.0.0.134 [Enabled | Updated]
Firewall: Norton 360 Premier Edition 3.0.0.134 [Enabled]
RAM -> 1022 Mo 
C:\ (%systemdrive%) -> Disque fixe # 74 Go (15 Go libre(s) - 21%) [] # NTFS
D:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\WINDOWS\fonts\RandFont.dll
Supprimé! C:\Recycler\S-1-5-21-1425543059-2189578327-3335443395-1003
Supprimé! C:\Recycler\S-1-5-21-2797282403-3891478277-2577117587-1006
Supprimé! C:\Recycler\S-1-5-21-2797282403-3891478277-2577117587-1007
Supprimé! C:\Recycler\S-1-5-21-2797282403-3891478277-2577117587-501
Supprimé! C:\Recycler\S-1-5-21-823518204-1958367476-725345543-1003

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Supprimé! HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableRegistryTools
Supprimé! HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableTaskMgr
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig
Supprimé! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableSR

################## | Mountpoints2 |


################## | Listing |

[06/08/2009 - 22:01:03 | D ] 	C:\917de601d1cc459c41cd
[04/05/2006 - 19:48:55 | N | 786] 	C:\administrativeInfo.dbf
[04/05/2006 - 19:48:55 | N | 7680] 	C:\albumImagesTable.cdx
[04/05/2006 - 19:48:55 | N | 424] 	C:\albumImagesTable.dbf
[04/05/2006 - 19:48:55 | N | 4608] 	C:\albumTable.cdx
[04/05/2006 - 19:48:55 | N | 584] 	C:\albumTable.dbf
[11/04/2007 - 11:33:37 | N | 5] 	C:\Atlas.txt
[06/07/2007 - 19:50:35 | D ] 	C:\BDLAFTMA
[23/03/2006 - 20:35:08 | RASH | 216] 	C:\boot.ini
[17/11/2006 - 20:49:18 | D ] 	C:\c5ea173e7a2430fe33e3be4df98f
[04/05/2006 - 19:48:55 | N | 0] 	C:\CB_Server_Errors.txt
[17/06/2008 - 21:04:02 | N | 3249] 	C:\cleannavi.txt
[20/05/2011 - 19:45:02 | HD ] 	C:\Config.Msi
[05/06/2010 - 20:48:26 | N | 0] 	C:\conmgr.log
[10/03/2010 - 20:15:32 | D ] 	C:\Documents and Settings
[07/11/2007 - 09:00:40 | N | 17734] 	C:\eula.1028.txt
[07/11/2007 - 09:00:40 | N | 17734] 	C:\eula.1031.txt
[07/11/2007 - 09:00:40 | N | 10134] 	C:\eula.1033.txt
[07/11/2007 - 09:00:40 | N | 17734] 	C:\eula.1036.txt
[07/11/2007 - 09:00:40 | N | 17734] 	C:\eula.1040.txt
[07/11/2007 - 09:00:40 | N | 118] 	C:\eula.1041.txt
[07/11/2007 - 09:00:40 | N | 17734] 	C:\eula.1042.txt
[07/11/2007 - 09:00:40 | N | 17734] 	C:\eula.2052.txt
[07/11/2007 - 09:00:40 | N | 17734] 	C:\eula.3082.txt
[04/05/2006 - 19:48:56 | N | 3072] 	C:\EXIFTable.cdx
[04/05/2006 - 19:48:56 | N | 488] 	C:\EXIFTable.dbf
[17/06/2008 - 21:00:12 | N | 74] 	C:\fixnavi.txt
[13/02/2010 - 15:51:24 | D ] 	C:\Games
[26/11/2008 - 15:05:00 | N | 98050] 	C:\geoportail_2D_win.ico
[07/11/2007 - 09:00:40 | N | 1110] 	C:\globdata.ini
[17/06/2009 - 21:20:32 | D ] 	C:\Google
[23/05/2011 - 21:34:38 | ASH | 1071894528] 	C:\hiberfil.sys
[23/03/2006 - 20:37:32 | D ] 	C:\hp
[30/11/2005 - 11:20:21 | D ] 	C:\I386
[04/05/2006 - 19:48:55 | N | 9216] 	C:\imageTable.cdx
[04/05/2006 - 19:48:55 | N | 936] 	C:\imageTable.dbf
[04/05/2006 - 19:48:55 | N | 512] 	C:\imageTable.fpt
[07/11/2007 - 09:03:18 | N | 562688] 	C:\install.exe
[07/11/2007 - 09:00:40 | N | 843] 	C:\install.ini
[07/11/2007 - 09:03:18 | N | 76304] 	C:\install.res.1028.dll
[07/11/2007 - 09:03:18 | N | 96272] 	C:\install.res.1031.dll
[07/11/2007 - 09:03:18 | N | 91152] 	C:\install.res.1033.dll
[07/11/2007 - 09:03:18 | N | 97296] 	C:\install.res.1036.dll
[07/11/2007 - 09:03:18 | N | 95248] 	C:\install.res.1040.dll
[07/11/2007 - 09:03:18 | N | 81424] 	C:\install.res.1041.dll
[07/11/2007 - 09:03:18 | N | 79888] 	C:\install.res.1042.dll
[07/11/2007 - 09:03:18 | N | 75792] 	C:\install.res.2052.dll
[07/11/2007 - 09:03:18 | N | 96272] 	C:\install.res.3082.dll
[08/06/2007 - 19:09:59 | N | 0] 	C:\IO.SYS
[04/05/2006 - 19:48:56 | N | 6144] 	C:\keywordImagesTable.cdx
[04/05/2006 - 19:48:56 | N | 360] 	C:\keywordImagesTable.dbf
[04/05/2006 - 19:48:56 | N | 4608] 	C:\keywordTable.cdx
[04/05/2006 - 19:48:56 | N | 456] 	C:\keywordTable.dbf
[04/05/2006 - 19:48:56 | N | 360] 	C:\managedFolderTable.dbf
[08/06/2007 - 19:09:59 | N | 0] 	C:\MSDOS.SYS
[03/10/2008 - 14:37:14 | RHD ] 	C:\MSOCache
[05/08/2004 - 10:00:00 | RASH | 47564] 	C:
tdetect.com
[01/09/2008 - 10:50:09 | N | 252240] 	C:
tldr
[24/03/2007 - 14:22:41 | D ] 	C:\O2C
[29/02/2004 - 17:44:34 | N | 52576] 	C:\orange.bmp
[23/05/2011 - 21:34:36 | ASH | 1610612736] 	C:\pagefile.sys
[04/05/2006 - 19:48:55 | N | 4608] 	C:\pathnameTable.cdx
[04/05/2006 - 19:48:55 | N | 424] 	C:\pathnameTable.dbf
[11/07/2007 - 20:49:49 | D ] 	C:\PDF Transformer 2.0 Pro Try&Buy
[20/05/2011 - 22:00:51 | N | 512] 	C:\PhysicalDisk0_MBR.bin
[22/05/2009 - 22:50:20 | N | 2970] 	C:\playground.log
[28/05/2011 - 21:13:16 | D ] 	C:\Program Files
[04/05/2006 - 19:48:56 | N | 3072] 	C:\propertiesTable.cdx
[04/05/2006 - 19:48:56 | N | 456] 	C:\propertiesTable.dbf
[18/06/2008 - 00:07:29 | N | 251] 	C:apport_clean.txt
[29/05/2011 - 06:15:01 | SHD ] 	C:\RECYCLER
[18/08/2010 - 18:56:48 | D ] 	C:\Reload
[17/06/2008 - 23:47:04 | N | 98] 	C:esultat_clean.txt
[04/05/2006 - 19:48:56 | N | 6144] 	C:\ROFImagesTable.cdx
[04/05/2006 - 19:48:56 | N | 360] 	C:\ROFImagesTable.dbf
[04/05/2006 - 19:48:56 | N | 3072] 	C:\ROFTable.cdx
[04/05/2006 - 19:48:56 | N | 392] 	C:\ROFTable.dbf
[11/07/2008 - 21:23:59 | N | 268] 	C:\sqmdata00.sqm
[13/07/2008 - 20:06:19 | N | 268] 	C:\sqmdata01.sqm
[26/09/2008 - 21:05:11 | N | 268] 	C:\sqmdata02.sqm
[28/10/2008 - 13:40:08 | N | 268] 	C:\sqmdata03.sqm
[28/10/2008 - 13:51:40 | N | 268] 	C:\sqmdata04.sqm
[29/10/2008 - 19:02:02 | N | 268] 	C:\sqmdata05.sqm
[22/02/2009 - 18:54:14 | N | 268] 	C:\sqmdata06.sqm
[24/02/2009 - 14:03:45 | N | 268] 	C:\sqmdata07.sqm
[26/04/2008 - 14:51:25 | N | 268] 	C:\sqmdata08.sqm
[03/05/2008 - 17:11:23 | N | 268] 	C:\sqmdata09.sqm
[03/05/2008 - 20:51:58 | N | 268] 	C:\sqmdata10.sqm
[20/05/2008 - 22:29:59 | N | 268] 	C:\sqmdata11.sqm
[21/05/2008 - 21:24:42 | N | 268] 	C:\sqmdata12.sqm
[22/05/2008 - 20:00:06 | N | 268] 	C:\sqmdata13.sqm
[24/05/2008 - 21:01:58 | N | 268] 	C:\sqmdata14.sqm
[25/05/2008 - 11:33:19 | N | 268] 	C:\sqmdata15.sqm
[24/06/2008 - 20:29:04 | N | 268] 	C:\sqmdata16.sqm
[25/06/2008 - 20:03:40 | N | 268] 	C:\sqmdata17.sqm
[08/07/2008 - 22:04:17 | N | 268] 	C:\sqmdata18.sqm
[10/07/2008 - 22:08:19 | N | 268] 	C:\sqmdata19.sqm
[11/07/2008 - 21:23:59 | N | 244] 	C:\sqmnoopt00.sqm
[13/07/2008 - 20:06:19 | N | 244] 	C:\sqmnoopt01.sqm
[26/09/2008 - 21:05:11 | N | 244] 	C:\sqmnoopt02.sqm
[28/10/2008 - 13:40:08 | N | 244] 	C:\sqmnoopt03.sqm
[28/10/2008 - 13:51:40 | N | 244] 	C:\sqmnoopt04.sqm
[29/10/2008 - 19:02:02 | N | 244] 	C:\sqmnoopt05.sqm
[22/02/2009 - 18:54:14 | N | 244] 	C:\sqmnoopt06.sqm
[24/02/2009 - 14:03:45 | N | 244] 	C:\sqmnoopt07.sqm
[26/04/2008 - 14:51:25 | N | 244] 	C:\sqmnoopt08.sqm
[03/05/2008 - 17:11:23 | N | 244] 	C:\sqmnoopt09.sqm
[03/05/2008 - 20:51:58 | N | 244] 	C:\sqmnoopt10.sqm
[20/05/2008 - 22:29:59 | N | 244] 	C:\sqmnoopt11.sqm
[21/05/2008 - 21:24:42 | N | 244] 	C:\sqmnoopt12.sqm
[22/05/2008 - 20:00:06 | N | 244] 	C:\sqmnoopt13.sqm
[24/05/2008 - 21:01:58 | N | 244] 	C:\sqmnoopt14.sqm
[25/05/2008 - 11:33:19 | N | 244] 	C:\sqmnoopt15.sqm
[24/06/2008 - 20:29:04 | N | 244] 	C:\sqmnoopt16.sqm
[25/06/2008 - 20:03:39 | N | 244] 	C:\sqmnoopt17.sqm
[08/07/2008 - 22:04:17 | N | 244] 	C:\sqmnoopt18.sqm
[10/07/2008 - 22:08:19 | N | 244] 	C:\sqmnoopt19.sqm
[30/11/2005 - 03:00:44 | D ] 	C:\SWSETUP
[01/06/2009 - 11:13:02 | SHD ] 	C:\System Volume Information
[23/03/2006 - 20:39:36 | D ] 	C:\System.sav
[04/05/2006 - 19:48:56 | N | 786] 	C:	.administrativeInfo.dbf
[04/05/2006 - 19:48:56 | N | 7680] 	C:	.albumImagesTable.cdx
[04/05/2006 - 19:48:56 | N | 424] 	C:	.albumImagesTable.dbf
[04/05/2006 - 19:48:56 | N | 4608] 	C:	.albumTable.cdx
[04/05/2006 - 19:48:56 | N | 584] 	C:	.albumTable.dbf
[04/05/2006 - 19:48:56 | N | 3072] 	C:	.EXIFTable.cdx
[04/05/2006 - 19:48:56 | N | 488] 	C:	.EXIFTable.dbf
[04/05/2006 - 19:48:56 | N | 9216] 	C:	.imageTable.cdx
[04/05/2006 - 19:48:56 | N | 936] 	C:	.imageTable.dbf
[04/05/2006 - 19:48:56 | N | 512] 	C:	.imageTable.fpt
[04/05/2006 - 19:48:56 | N | 6144] 	C:	.keywordImagesTable.cdx
[04/05/2006 - 19:48:56 | N | 360] 	C:	.keywordImagesTable.dbf
[04/05/2006 - 19:48:56 | N | 4608] 	C:	.keywordTable.cdx
[04/05/2006 - 19:48:56 | N | 456] 	C:	.keywordTable.dbf
[04/05/2006 - 19:48:56 | N | 360] 	C:	.managedFolderTable.dbf
[04/05/2006 - 19:48:56 | N | 4608] 	C:	.pathnameTable.cdx
[04/05/2006 - 19:48:56 | N | 424] 	C:	.pathnameTable.dbf
[04/05/2006 - 19:48:56 | N | 3072] 	C:	.propertiesTable.cdx
[04/05/2006 - 19:48:56 | N | 456] 	C:	.propertiesTable.dbf
[04/05/2006 - 19:48:56 | N | 6144] 	C:	.ROFImagesTable.cdx
[04/05/2006 - 19:48:56 | N | 360] 	C:	.ROFImagesTable.dbf
[04/05/2006 - 19:48:56 | N | 3072] 	C:	.ROFTable.cdx
[04/05/2006 - 19:48:56 | N | 392] 	C:	.ROFTable.dbf
[19/06/2008 - 20:23:05 | N | 1866] 	C:\TCleaner.txt
[16/05/2011 - 16:37:43 | D ] 	C:\Temp
[27/11/2008 - 19:16:29 | N | 510] 	C:\updatedatfix.log
[17/06/2008 - 23:46:59 | N | 18757282] 	C:\upload_moi_NOUS.tar.gz
[29/05/2011 - 06:15:01 | D ] 	C:\UsbFix
[29/05/2011 - 06:15:59 | A | 1854] 	C:\UsbFix.txt
[07/11/2007 - 09:00:40 | N | 5686] 	C:\vcredist.bmp
[07/11/2007 - 09:09:22 | N | 1442522] 	C:\VC_RED.cab
[07/11/2007 - 09:12:28 | N | 232960] 	C:\VC_RED.MSI
[15/05/2011 - 13:26:54 | D ] 	C:\WINDOWS
[10/12/2006 - 20:16:32 | N | 1127520] 	C:\wrar361fr.exe
[20/05/2011 - 23:19:31 | N | 9356] 	C:\ZHPExportRegistry-20-05-2011-23-19-31.txt
[23/05/2011 - 19:46:57 | N | 6492] 	C:\ZHPExportRegistry-23-05-2011-19-46-56.txt
[01/01/1995 - 02:00:02 | R | 44] 	D:\Track01.cda
[01/01/1995 - 02:04:04 | R | 44] 	D:\Track02.cda
[01/01/1995 - 02:07:18 | R | 44] 	D:\Track03.cda
[01/01/1995 - 02:10:32 | R | 44] 	D:\Track04.cda
[01/01/1995 - 02:10:56 | R | 44] 	D:\Track05.cda
[01/01/1995 - 02:14:24 | R | 44] 	D:\Track06.cda
[01/01/1995 - 02:17:53 | R | 44] 	D:\Track07.cda
[01/01/1995 - 02:21:34 | R | 44] 	D:\Track08.cda
[01/01/1995 - 02:26:46 | R | 44] 	D:\Track09.cda
[01/01/1995 - 02:30:31 | R | 44] 	D:\Track10.cda
[01/01/1995 - 02:34:05 | R | 44] 	D:\Track11.cda
[01/01/1995 - 02:37:23 | R | 44] 	D:\Track12.cda
[01/01/1995 - 02:40:25 | R | 44] 	D:\Track13.cda
[01/01/1995 - 02:43:36 | R | 44] 	D:\Track14.cda
[01/01/1995 - 02:47:56 | R | 44] 	D:\Track15.cda

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_NOUS.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

davanfo · Answer

Bonjour,
Je viens de m'appercevoir que dans ma messagerie hotmail dans la categorie message supprimé tous ces message étaient ouvert sans aucune intervention de ma part
Grrr mais que ce passe-t-il

davanfo · Answer

Je viens de vérifier,lorsque je supprime des courriers classés en indésirable ceux-ci se retrouvent ouverts dans la section des messages supprimés.
Tu penses que c'est quoi et est-ce que c'est grave?

jfkpresident · Answer

Peux tu changer ton mot de passe de boite hotmail ?

davanfo · Answer

Ok c'est fait et le probleme et toujours le même(uniquement les messages indésirable apparaisent ouvert dans la categorie "message supprimé").

Et le rapport usbfix ça dit quoi.

Merçi pour ton temps.

jfkpresident · Answer

Est ce que Norton détecte toujours cette intrusion ?

davanfo · Answer

Rien du côté de norton

jfkpresident · Answer

Ton pc est ralenti ou il subsiste seulement le probleme de boite mail ?

davanfo · Answer

J'ai juste le problème de boite mail qui perdure.

Pour l'instant je ne supprime plus les messages indésirables,au moin il ne s'ouvre pas tout seul.

Je suppose que leur ouverture même dans la catégorie message supprimé peut me réinfecter mon ordi.

jfkpresident · Answer

Je suppose que leur ouverture même dans la catégorie message supprimé peut me réinfecter mon ordi.

Non 

Ouvre ZhpFix et clique sur l'onglet "EmptyTemp"

Colle le rapport obtenu .

davanfo · Answer

Et voilà:

Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
Fichier d'export Registre : 
Run by Magali at 01/06/2011 07:35:23
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 112

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 3340


========== Récapitulatif ==========
1 : Dossier(s)
1 : Fichier(s)


End of the scan

jfkpresident · Answer

==*Nettoyage des outils*==

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

==============

Met a jour ta console Java : https://www.java.com/fr/download/manual.jsp

==============

A lire :

danger du P2P et des cracks

également un exemple concret ici ou l'internaute ne pouvait plus rien faire de sa machine ...

davanfo · Answer

Bon voilà, je viens d'executer Zhpfix ainsi que la mise a jour de Java et j'ai refais un test sur ma messagerie: 
J'ai toujours le même problème d'ouverture de messages indésirables dans la catégorie "messages supprimés".

Pour le reste Norton ne détecte plus rien l'ordi a l'air de fonctionner normalement.

jfkpresident · Answer

Pour ta boite mail ....Je sais pas quoi te dire ??

Il faudrait jeter un oeil sur tes parametres de boite de réception a mon avis.

Je met en résolu .

Bye et bon surf .

PS:poste sur un autre forum si ton probleme persiste avec ta boite mail .

davanfo · Answer

Ok et merçi pour ton temps et ton aide précieuse.

Cycbot Backdoor

45 réponses

Discussions similaires