Cheval de troie generic22.azmt

Bonjour
Tu es effectivement infecté, mais peut etre aussi par d'autres infections que mbam ne detecte pas

Utilise ce logiciel de diagnostic :

* Télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

voici;
C:\Documents and Settings\florine\Bureau\ZHPDiag rapport

Impossible de voir ce rapport, il est situe sur ton DD
il faut que tu le deposes sur http://www.cijoint.fr puis tu me colles le lien que ca te donne

j'ai essayé ça marche pas je comprends pas

tu selectionnes le fichier que tu veux deposer
et ensuite tu clic sur deposer le fichier

j'ai fais"parcourir"j'ai sélectionné la copie du fichier sur le bureau,en suite j'ai cliqué sur "déposer" et ça me répond"le fichier avec les extensions ne peut être déposé"

quel fichier as tu voulu deposer ?
c'est de ZHPDiag.txt qu'il s'agit, pas d'un autre, et je viens de re-tester cijoint.fr marche avec ce fichier
sinon, copie/colle le contenu ici (dans 2 reponses)

ça y est je crois avoir réussi^^
http://www.cijoint.fr/cjlink.php?file=cj201106/cij4JRxU7k.txt

Tu as pas mal d'infections

Nous allons utiliser AD-Remover pour supprimer les " toolbar" infectieuses

Ad-Remover est un outil spécifique conçu par C_XX , son rôle est la suppression d'adwares comme Eorezo, MyWebSearch, Navipromo, Winsudate, Search Settings, installpédia, ask etc...

Télécharger AD_Remover de C_XX sur http://www.teamxscript.org/adremoverTelechargement.html

Tu es sous XP , Double clic sur AD-R.exe sur le bureau

L'installation se fait automatiquement .

Accepte l'avertissement qui suit.

Clic sur Scanne

Patiente le temps de la recherche

Poste le rapport qui apparait à la fin .(Il est sauvegardé aussi sous C:\Ad-report.log)

Clic sur Quitter

Ne lance pas le nettoyage tant que je ne te l'ai pas dit
________________________
Formation Qualification Helper

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 16:50:27 le 16/06/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
florine@FLORINE-C4BC039 ( )

============== RECHERCHE ==============

Fichier trouvé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navigateur OfferBox.lnk
Dossier trouvé: C:\Documents and Settings\florine\Application Data\FissaSearch
Dossier trouvé: C:\Documents and Settings\florine\Application Data\OfferBox
Dossier trouvé: C:\Program Files\OfferBox

Clé trouvée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé trouvée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé trouvée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé trouvée: HKLM\Software\FissaSearch
Clé trouvée: HKLM\Software\OfferBox
Clé trouvée: HKCU\Software\FissaSearch
Clé trouvée: HKCU\Software\OfferBox
Clé trouvée: HKCU\Software\Spointer
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4BD271AB-66E2-4D58-AF88-80FE3B0770C4}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
Clé trouvée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com

============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Search bar - hxxp://recherche.neuf.fr/ie/default.html
HKCU_Main|Search Page - hxxp://recherche.neuf.fr/
HKCU_Main|Start Page - hxxp://home.neuf.fr/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://recherche.neuf.fr/
HKLM_Main|Search bar - hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9} - "Fissa" (hxxp://www.fissa.com/fr/results/?s=b&c=11013111694&suid=Emyd0ahNO&d=6&pid=28&q={...)
HKLM_ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB} - C:\Program Files\OfferBox\OfferBox.exe (Secure Digital Services Limited)
HKLM_ElevationPolicy\{C5AA1041-AC10-446e-BAA4-E3F536022DD9} - C:\Program Files\Fichiers communs\Iconix\Launcher.exe (?)
HKLM_Extensions\{400A6CFA-E326-4d61-A90C-9AD75358DC5F} - "?" (?)
HKLM_Extensions\{BC3F6B6D-2E49-4603-B028-7411655713F3} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{761233B6-F228-49E4-8F6B-668499D4E55A} - "IconixBHOClass Class" (C:\Program Files\Iconix\IEAddOn\IconixBHO_46.dll)
BHO\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - "OfferBox" (C:\Program Files\OfferBox\OfferBoxBHO.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 16/06/2011 16:50:56 (3844 Octet(s))

Fin à: 16:51:38, 16/06/2011

============== E.O.F ==============

--Relance Ad-remover.exe, par un double-clique sur l'icône Ad-remover située sur ton Bureau.
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

Sur la page, clique sur le bouton «Nettoyer»

Laisse travailler l'outil

A la fin du scan, il est possible que AD-Remover te demande de redémarrer ton PC, clique sur le bouton Oui. Si ton PC ne redémarre pas, fais le toi même.

Le rapport est situé C:\Ad-reportClean[X].Txt où X est un numéro.

Ouvre-le

Sélectionne le contenu

Puis copie le tout avec les touches clavier : ctrl+c

Poste ton résultat dans ta prochaine réponse en utilisant les touches clavier : ctrl+v (coller)

________________________
Formation Qualification Helper

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 20:58:13 le 16/06/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
florine@FLORINE-C4BC039 ( )

============== RECHERCHE ==============

============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_ElevationPolicy\{C5AA1041-AC10-446e-BAA4-E3F536022DD9} - C:\Program Files\Fichiers communs\Iconix\Launcher.exe (?)
HKLM_Extensions\{400A6CFA-E326-4d61-A90C-9AD75358DC5F} - "?" (?)
HKLM_Extensions\{BC3F6B6D-2E49-4603-B028-7411655713F3} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{761233B6-F228-49E4-8F6B-668499D4E55A} - "IconixBHOClass Class" (C:\Program Files\Iconix\IEAddOn\IconixBHO_46.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 24 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 16/06/2011 20:39:11 (4039 Octet(s))
C:\Ad-Report-SCAN[1].txt - 16/06/2011 16:50:56 (4134 Octet(s))
C:\Ad-Report-SCAN[2].txt - 16/06/2011 20:58:24 (549 Octet(s))

Fin à: 20:58:53, 16/06/2011

============== E.O.F ==============

AD remover a fait du bon boulot

Nous allons utiliser un outil plus generaliste pour supprimer le trojan (MBAM)

* Télécharge et installe https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

https://www.androidworld.fr/ (Tutoriel pour t'aider).

Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6876

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17/06/2011 15:49:13
mbam-log-2011-06-17 (15-49-13).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 218993
Temps écoulé: 54 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

OK, refait un zhpdiag stp

http://www.cijoint.fr/cjlink.php?file=cj201106/cijzW0cLEt.txt

Ce n'est pas le bon rapport
je te remets la procedure

* Télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

ouups^^ pardon,je crois que cette fois c'est la bonne

http://www.cijoint.fr/cjlink.php?file=cj201106/cijbcgAAa7.txt

Il reste quelques traces que nous allons eliminer grace a zhp fix

Utilisation de ZHPFIX

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

Sysrestore
EmptyTemp
ProxyFix
[HKCU\Software\WideStream]   
O43 - CFD: 31/01/2011 - 19:11:48 - [604] ----D- C:\Documents and Settings\florine\Application Data\widestream   
O43 - CFD: 31/01/2011 - 19:11:22 - [165041] ----D- C:\Documents and Settings\florine\Local Settings\Application Data\widestream6 Air    
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]   
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]    
[HKCU\Software\WideStream] 
C:\Documents and Settings\florine\Application Data\Widestream   
C:\Documents and Settings\florine\Local Settings\Application Data\widestream6 Air   

OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\Windows\System32\nwiz.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-2052111302-926492609-725345543-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - Global Startup: C:\Documents And Settings\florine\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.2.lnk . (...)  -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe
[HKLM\Software\BrowserChoice]

[HKLM\Software\Classes\CLSID\{ea551c00-2ae5-11d3-8592-00a0c98e9ea4}]    

O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\vgasave.sys . (...) -- (.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.) 
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\vgasave.sys . (...) -- (.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)  
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network\vgasave.sys . (...) -- (.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)   
O52 - TDSD: \drivers.desc\"wdmaud.drv"="Gamesurround Muse 5.1 DVD" . (...) -- (.not file.)   
O64 - Services: CurCS - C:\WINDOWS\System32\drivers\WPRO_40_755.sys (.not file.) - WinPcap Packet Driver (WPRO_40_755) (WPRO_40_755)  .(...) - LEGACY_WPRO_40_755  

* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).
Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

* Clique sur le bouton « GO » pour lancer le nettoyage

Il va t'etre demandé de redémarrer l'ordinateur, refuse sinon le script va être interrompu

j'ai un message d'erreur ; violation d'accès à l'adresse 00427c8a dans le module zhpfix.exe lecture de l'adresse 00000008

ensuite le programme reste figé aec un sablier et des données cochées