Trojan JS/Redirector.QB

Résolu/Fermé
Utilisateur anonyme - 5 août 2011 à 10:40
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 9 août 2011 à 10:50
Bonjour,

Mon antivirus a détecté un trojan dont le nom est indiqué dans le titre. J'aimerais savoir comment le supprimer. J'utilise Antivir comme antivirus.

Merci à ceux qui vont me répondre.


41 réponses

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 août 2011 à 10:45
bonjour*

colle nous le rapport de ton antivirus

a plus
1
Utilisateur anonyme
5 août 2011 à 10:51
Le voila!



Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 4 août 2011 10:05

La recherche porte sur 3309883 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows 7 x64
Version de Windows : (Service Pack 1) [6.1.7601]
Mode Boot : Démarré normalement
Identifiant : Système
Nom de l'ordinateur : MSI-PC

Informations de version :
BUILD.DAT : 10.0.0.139 31824 Bytes 20/07/2011 16:52:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 24/06/2011 11:22:10
AVSCAN.DLL : 10.0.3.0 56168 Bytes 17/08/2010 11:39:10
LUKE.DLL : 10.0.3.2 104296 Bytes 24/06/2011 11:22:10
LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 11:39:11
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 08:13:44
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 08:13:48
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 08:13:52
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 08:13:57
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 09:49:32
VBASE006.VDF : 7.11.10.252 2048 Bytes 07/07/2011 09:49:32
VBASE007.VDF : 7.11.10.253 2048 Bytes 07/07/2011 09:49:32
VBASE008.VDF : 7.11.10.254 2048 Bytes 07/07/2011 09:49:32
VBASE009.VDF : 7.11.10.255 2048 Bytes 07/07/2011 09:49:33
VBASE010.VDF : 7.11.11.0 2048 Bytes 07/07/2011 09:49:33
VBASE011.VDF : 7.11.11.1 2048 Bytes 07/07/2011 09:49:33
VBASE012.VDF : 7.11.11.2 2048 Bytes 07/07/2011 09:49:33
VBASE013.VDF : 7.11.11.75 688128 Bytes 12/07/2011 17:05:14
VBASE014.VDF : 7.11.11.104 978944 Bytes 13/07/2011 17:05:48
VBASE015.VDF : 7.11.11.137 655360 Bytes 14/07/2011 17:06:10
VBASE016.VDF : 7.11.11.184 699392 Bytes 18/07/2011 17:06:38
VBASE017.VDF : 7.11.11.214 414208 Bytes 19/07/2011 17:06:53
VBASE018.VDF : 7.11.11.242 772096 Bytes 20/07/2011 17:07:17
VBASE019.VDF : 7.11.12.3 1291776 Bytes 20/07/2011 17:07:58
VBASE020.VDF : 7.11.12.30 844288 Bytes 21/07/2011 10:05:02
VBASE021.VDF : 7.11.12.67 149504 Bytes 24/07/2011 14:43:27
VBASE022.VDF : 7.11.12.93 195072 Bytes 25/07/2011 14:43:27
VBASE023.VDF : 7.11.12.113 150528 Bytes 26/07/2011 14:43:27
VBASE024.VDF : 7.11.12.152 182784 Bytes 28/07/2011 17:46:56
VBASE025.VDF : 7.11.12.153 2048 Bytes 28/07/2011 17:46:56
VBASE026.VDF : 7.11.12.154 2048 Bytes 28/07/2011 17:46:56
VBASE027.VDF : 7.11.12.155 2048 Bytes 28/07/2011 17:46:56
VBASE028.VDF : 7.11.12.156 2048 Bytes 28/07/2011 17:46:56
VBASE029.VDF : 7.11.12.157 2048 Bytes 28/07/2011 17:46:56
VBASE030.VDF : 7.11.12.158 2048 Bytes 28/07/2011 17:46:56
VBASE031.VDF : 7.11.12.177 98816 Bytes 01/08/2011 18:15:58
Version du moteur : 8.2.6.22
AEVDF.DLL : 8.1.2.1 106868 Bytes 17/08/2010 11:38:53
AESCRIPT.DLL : 8.1.3.73 1622395 Bytes 20/07/2011 17:10:30
AESCN.DLL : 8.1.7.2 127349 Bytes 23/06/2011 08:14:16
AESBX.DLL : 8.2.1.34 323957 Bytes 23/06/2011 08:14:19
AERDL.DLL : 8.1.9.13 639349 Bytes 20/07/2011 17:09:58
AEPACK.DLL : 8.2.9.5 676214 Bytes 20/07/2011 17:09:42
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 30/07/2011 17:47:01
AEHEUR.DLL : 8.1.2.148 3576184 Bytes 30/07/2011 17:47:01
AEHELP.DLL : 8.1.17.7 254327 Bytes 30/07/2011 17:46:57
AEGEN.DLL : 8.1.5.6 401780 Bytes 23/06/2011 08:14:07
AEEMU.DLL : 8.1.3.0 393589 Bytes 23/06/2011 08:14:06
AECORE.DLL : 8.1.22.4 196983 Bytes 20/07/2011 17:08:07
AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 11:38:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 11:38:56
AVPREF.DLL : 10.0.0.0 44904 Bytes 17/08/2010 11:38:55
AVREP.DLL : 10.0.0.10 174120 Bytes 23/06/2011 08:14:19
AVREG.DLL : 10.0.3.2 53096 Bytes 17/08/2010 11:38:56
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 24/06/2011 11:22:10
AVARKT.DLL : 10.0.22.6 231784 Bytes 24/06/2011 11:22:10
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 17/08/2010 11:38:55
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 13:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 11:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 13:28:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 10/02/2010 23:23:03
RCTEXT.DLL : 10.0.58.0 99688 Bytes 17/08/2010 11:39:11

Configuration pour la recherche actuelle :
Nom de la tâche...............................: avguard_async_scan
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4e52efb2\guard_slideup.avp
Documentation.................................: bas
Action principale.............................: réparer
Action secondaire.............................: quarantaine
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: arrêt
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: élevé

Début de la recherche : jeudi 4 août 2011 10:05

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RegistryCleaner.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Integrator.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVD9Serv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nlssrv32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Rconoa.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Rzk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'armsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\Users\Mathieu\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Z0017NZM\showthread[1].htm'
C:\Users\Mathieu\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Z0017NZM\showthread[1].htm
[RESULTAT] Contient le modèle de détection du virus de script Java JS/Redirector.QB
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bc2f275.qua' !


Fin de la recherche : jeudi 4 août 2011 10:05
Temps nécessaire: 00:24 Minute(s)

La recherche a été effectuée intégralement

0 Les répertoires ont été contrôlés
18 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
17 Fichiers non infectés
0 Les archives ont été contrôlées
0 Avertissements
1 Consignes


Les résultats de la recherche sont transmis au Guard.
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 août 2011 à 11:06
ok le fichier a été viré

pour vérifier


Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 août 2011 à 11:22
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------

[HKLM\Software\Classes\Conduit.Engine]
[HKLM\Software\Wow6432Node\Classes\Conduit.Engine]
[HKLM\Software\Classes\Toolbar.ct2504091]
[HKLM\Software\Wow6432Node\Classes\Toolbar.ct2504091]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCU\Software\Conduit]
[HKCU\Software\AppDataLow\Software\Conduit]
[HKLM\Software\Wow6432Node\Conduit]
[HKCU\Software\AppDataLow\Software\conduitEngine]
[HKLM\Software\Wow6432Node\conduitEngine]
[HKCU\Software\NtWqIVLZEWZU]
[HKCU\Software\AppDataLow\Toolbar]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]
C:\Users\Mathieu\AppData\Local\Conduit
C:\Users\Mathieu\AppData\LocalLow\Conduit
C:\Users\Mathieu\AppData\LocalLow\ConduitEngine
C:\Users\Mathieu\AppData\LocalLow\Vuze_Remote
C:\Program Files (x86)\Conduit
C:\Program Files (x86)\ConduitEngine
C:\Program Files (x86)\Vuze_Remote
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
[HKLM\SYSTEM\CurrentControlSet\Services] wscsvc : Modified

----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse






ensuite télécharge malwarebyte antimalware, mets le à jour et colle un rapport d'analyse rapide avec

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

a plus
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 août 2011 à 12:04
supprime ce qui a été trouvé par malwarebyte et colle le rapport obtenu

puis remets un rapport Zhpdiag et un rapport antivir


a plus
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 août 2011 à 15:52
ok colle un rapport de nettoyage avec usbfix puis vaccine avec usbfix ce pc
1
Utilisateur anonyme
5 août 2011 à 16:23
Avec quelle fonction peut-on nettoyer?
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 août 2011 à 16:24
l'option SUPPRESSION ou NETTOYAGE proposée par usbfix
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 août 2011 à 17:31
il a trouvé des infections?

repasse le sinon pour voir


et remets moi un rapport de recherche avec usbfix



comment va le pc?
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 août 2011 à 18:15
ok colle un rapport avec un des 4 premiers antivirus en ligne <= ici
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
6 août 2011 à 12:10
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
8 août 2011 à 11:04
tu cliques avec le bouton droit de la souris sur le parapluie d'antivir prés de l'horloge et tu choisi de désactiver le guard d'antivir
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
8 août 2011 à 12:47
poursuis combofix
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
8 août 2011 à 14:11
tu as mis avast antivirus???

il faut le désinstaller car tu as déjà antivir sinon le pc va planter ...



ensuite télécharge fileinfos ici

http://sd-2.archive-host.com/membres/up/174761209440524377/FileInfos.exe

puis demande l'analyse des ces deux fichiers et colle nous les rapports obtenus


c:\windows\AutoKMS
c:\windows\KMSEmulator.exe
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 8/08/2011 à 14:21
il y a des restes d'avast

2011-08-05 16:30 . 2011-07-04 11:43 253888 ----a-w- c:\windows\system32\aswBoot.exe
2011-08-05 16:29 . 2011-08-06 09:22 -------- d-----w- c:\programdata\AVAST Software
2011-08-05 16:29 . 2011-08-05 16:29 -------- d-----w- c:\program files\AVAST Software




la prochaine fois plutôt que d'installer un autre antivirus (en dehors de bitdefender free ou clamwin qui n'ont pas de protection en temps réel) passe un antivirus en ligne <= ici
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
8 août 2011 à 15:56
Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



File::

c:\windows\AutoKMS
c:\windows\KMSEmulator.exe
c:\windows\system32\aswBoot.exe
c:\programdata\AVAST Software
c:\program files\AVAST Software



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

_________________

ensuite remets un rapport antivir et dis nous comment va ton pc
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
9 août 2011 à 08:47
ok parfait


télécharge le logiciel delfix <= ici

puis choisi l'option de suppression et colle nous le rapport

puis désinstalle delfix


ensuite dis nous les problèmes qui persistent encore ou si tout est ok


a plus
1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
9 août 2011 à 10:50
ok parfait

on peut en rester là :
résolu donc

bonne suite
1
Utilisateur anonyme
5 août 2011 à 11:18
Voici le lien : http://www.cijoint.fr/cjlink.php?file=cj201108/cijQtepXxQ.txt
0
Utilisateur anonyme
5 août 2011 à 12:00
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7383

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

05/08/2011 11:58:29
mbam-log-2011-08-05 (11-57-54).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 177791
Temps écoulé: 18 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
c:\Windows\Rconoa.exe (Trojan.Agent) -> 2992 -> No action taken.
c:\Users\Mathieu\AppData\Local\Temp\Rzk.exe (Trojan.Agent) -> 1704 -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\8DDYX0ZBPZ (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ZU6RKI1ONY (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iTunes.exe (Security.Hijack) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\8DDYX0ZBPZ (Trojan.Agent) -> Value: 8DDYX0ZBPZ -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Windows\Rconoa.exe (Trojan.Agent) -> No action taken.
c:\Users\Mathieu\AppData\Local\Temp\Rzk.exe (Trojan.Agent) -> No action taken.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> No action taken.

Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011
Fichier d'export Registre :
Run by Mathieu at 05/08/2011 11:31:54
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\Classes\Conduit.Engine
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Conduit.Engine
ABSENT Key: HKLM\Software\Classes\Toolbar.ct2504091
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Toolbar.ct2504091
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}
SUPPRIME Key: HKCU\Software\Conduit
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit
ABSENT Key: HKLM\Software\Wow6432Node\Conduit
SUPPRIME Key: HKCU\Software\AppDataLow\Software\conduitEngine
ABSENT Key: HKLM\Software\Wow6432Node\conduitEngine
SUPPRIME Key: HKCU\Software\NtWqIVLZEWZU
SUPPRIME Key: HKCU\Software\AppDataLow\Toolbar
SUPPRIME Key: [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]

========== Valeur(s) du Registre ==========
ABSENT Value Key: NoActiveDesktopChanges
ABSENT Value Key: wscsvc

========== Dossier(s) ==========
SUPPRIME Folder: c:\users\mathieu\appdata\local\conduit
SUPPRIME Folder: c:\users\mathieu\appdata\locallow\conduit
SUPPRIME Folder: c:\users\mathieu\appdata\locallow\conduitengine
SUPPRIME Folder: c:\users\mathieu\appdata\locallow\vuze_remote
SUPPRIME Reboot Folder**: c:\program files (x86)\conduit
SUPPRIME Reboot Folder**: c:\program files (x86)\conduitengine
SUPPRIME Reboot Folder**: c:\program files (x86)\vuze_remote


========== Récapitulatif ==========
16 : Clé(s) du Registre
2 : Valeur(s) du Registre
7 : Dossier(s)
0
Utilisateur anonyme
5 août 2011 à 12:15
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7383

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

05/08/2011 12:10:06
mbam-log-2011-08-05 (12-10-06).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 177791
Temps écoulé: 18 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
c:\Windows\Rconoa.exe (Trojan.Agent) -> 2992 -> Unloaded process successfully.
c:\Users\Mathieu\AppData\Local\Temp\Rzk.exe (Trojan.Agent) -> 1704 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\8DDYX0ZBPZ (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ZU6RKI1ONY (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iTunes.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\8DDYX0ZBPZ (Trojan.Agent) -> Value: 8DDYX0ZBPZ -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Windows\Rconoa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Mathieu\AppData\Local\Temp\Rzk.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.
0
Utilisateur anonyme
5 août 2011 à 12:23
http://www.cijoint.fr/cjlink.php?file=cj201108/cijKKI1qpO.txt
0