Infection trojan Fermé

Question

Bonjour, 

Alors voilà ces derniers temps j'ai un virus détecter par Avira: "Dans le fichier 'C:\System Volume Information\_restore{7FB983AD-7950-4EB2-B186-1B525D1DC77A}\RP321\A0039918.exe'
un virus ou un programme indésirable 'TR/Drop.QuickBatch.U.5' [trojan] a été détecté."

et impossible de le supprimer je viens donc vers des spécialistes, c'est à dire vous :). De plus je ne sais pas si ce virus est responsable mais je viens de perdre ma boite mail .... (piraté)

Voici un rapport hijack:  Par avance Merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:11:29, on 21/09/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Program Files\KeyScrambler\keyscrambler.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\Eraser\Eraser.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SFR\Media Center\MediaCenter.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\SFR\Media Center\httpd\httpd.exe
C:\Program Files\SFR\Media Center\httpd\httpd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\javaw.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Legue\Mes documents\Téléchargements\HiJackThis.exe
C:\Documents and Settings\Legue\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.autocompletepro.com/?si=10203&bi=400
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.autocompletepro.com/?si=10203&bi=400
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.autocompletepro.com/?si=10203&bi=400
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.garena.sg/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.autocompletepro.com/?si=10203&bi=400
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: IE5BarLauncherBHO Class - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\BarLcher.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O3 - Toolbar: VShareToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [KeyScrambler] C:\Program Files\KeyScrambler\keyscrambler.exe /a
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Eraser] "C:\PROGRA~1\Eraser\Eraser.exe" --atRestart
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Neuf Media Center] "C:\Program Files\SFR\Media Center\MediaCenter.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler Options - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: PartyPoker.fr - {725EC34E-943C-4df6-B0B2-FBDE7F242276} - C:\Program Files\PartyFrance\PartyPokerFr\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.fr - {725EC34E-943C-4df6-B0B2-FBDE7F242276} - C:\Program Files\PartyFrance\PartyPokerFr\RunApp.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: KeyScrambler - C:\WINDOWS\SYSTEM32\KeyScramblerLogon.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

juju666 · Answer

Bonjour,

&#9654 Télécharge ici : USBFIX sur ton bureau

branche tous tes périphériques externes sans les ouvrir (MP3, MP4, clé USB, disque dur externe, GSM, ...)

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

~~

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Ficelle31520 · Answer

Tout d'abord merci pour ton aide :) 

Voici les rapports :

############################## | UsbFix 7.058 | [Suppression]

Utilisateur: Legue (Administrateur) # AXEL [ ]
Mis à jour le 24/08/2011 par El Desaparecido
Lancé à 22:50:07 | 21/09/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
CPU 2: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 2047 Mo 
C:\ (%systemdrive%) -> Disque fixe # 233 Go (49 Go libre(s) - 21%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> CD-ROM
I:\ -> Disque amovible # 8 Go (6 Go libre(s) - 79%) [UDISK 2.0] # FAT32

################## | Éléments infectieux |

Supprimé! I:\EmDesk.exe  
Supprimé! C:\Recycler\S-1-5-21-1220945662-343818398-682003330-1004

################## | Registre |

Supprimé! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableSR
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\E
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{359d7643-4b15-11df-afda-0022156a856b}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{38aee509-57ab-11e0-b1f4-0022156a856b}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{943452ea-deb2-11df-b101-0022156a856b}

################## | Listing |

[17/02/2010 - 08:15:24 | D ] 	C:\9eb8f775dd3cae6d6a1e27951c7c4c
[07/12/2010 - 23:49:16 | D ] 	C:\AMD
[15/02/2010 - 21:58:13 | D ] 	C:\ATI
[15/02/2010 - 04:20:39 |  | 0] 	C:\AUTOEXEC.BAT
[23/03/2011 - 17:22:59 |  | 216] 	C:\boot.ini
[14/04/2008 - 14:00:00 |  | 4952] 	C:\Bootfont.bin
[14/09/2011 - 23:05:53 | D ] 	C:\Config.Msi
[15/02/2010 - 04:20:39 |  | 0] 	C:\CONFIG.SYS
[27/12/2010 - 19:29:31 | D ] 	C:\Documents and Settings
[15/02/2010 - 17:35:06 | D ] 	C:\Intel
[15/02/2010 - 04:20:39 |  | 0] 	C:\IO.SYS
[15/02/2010 - 04:20:39 |  | 0] 	C:\MSDOS.SYS
[17/02/2010 - 01:39:35 | RHD ] 	C:\MSOCache
[14/04/2008 - 14:00:00 | N | 47564] 	C:\NTDETECT.COM
[14/04/2008 - 14:00:00 | N | 252240] 	C:\ntldr
[21/09/2011 - 16:07:12 | ASH | 2145386496] 	C:\pagefile.sys
[18/09/2011 - 10:14:08 | D ] 	C:\Program Files
[21/09/2011 - 22:58:09 | SHD ] 	C:\RECYCLER
[21/09/2010 - 21:17:57 | SHD ] 	C:\System Volume Information
[21/09/2011 - 22:58:10 | D ] 	C:\UsbFix
[21/09/2011 - 22:59:26 | A | 1195] 	C:\UsbFix.txt
[15/09/2011 - 13:07:32 | D ] 	C:\WINDOWS
[05/03/2008 - 11:04:58 | D ] 	I:\EmDesk
[05/03/2008 - 11:05:36 | D ] 	I:\App
[12/04/2011 - 11:09:04 | D ] 	I:\Axel ifb
[23/03/2010 - 00:28:38 | D ] 	I:\Jessica perso
[12/04/2011 - 11:10:48 | D ] 	I:\Axel IFB réseau
[08/04/2009 - 22:02:10 | D ] 	I:\.Trashes
[04/04/2011 - 12:46:30 | N | 59392] 	I:\liste cyril.xls
[08/04/2009 - 22:02:12 | D ] 	I:\.Spotlight-V100
[24/05/2011 - 23:32:32 | N | 13983] 	I:\lettre de motivation.docx
[26/07/2010 - 22:01:22 | D ] 	I:\Axel
[31/05/2011 - 00:14:12 | N | 19612] 	I:\lettre de motivation+oral 2011.docx
[31/08/2011 - 21:09:12 | N | 50176] 	I:\CV Jessica FERRIOL.doc
[28/06/2011 - 13:22:32 | N | 11544] 	I:\lettre impots.docx
[25/04/2011 - 21:55:58 | N | 105904] 	I:\Technique Gateway.docx
[05/09/2011 - 23:37:08 | D ] 	I:\TOME 56
[30/03/2006 - 11:41:28 | N | 179913] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol51 FR pg037.jpg
[13/10/2009 - 13:57:22 | D ] 	I:\Application Data
[21/04/2011 - 13:45:56 | N | 11332] 	I:\Lettre taxe d'habitation.docx
[05/09/2011 - 23:45:54 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol66 FR
[05/09/2011 - 23:46:18 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol67 FR
[05/09/2011 - 23:46:44 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol68 FR
[05/09/2011 - 23:47:10 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol69 FR
[05/09/2011 - 23:47:36 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol70 FR
[05/09/2011 - 23:48:00 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol71 FR
[05/09/2011 - 23:48:28 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol72 FR
[05/09/2011 - 23:48:52 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol73 FR
[05/09/2011 - 23:49:20 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol74 FR
[05/09/2011 - 23:49:48 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol75 FR
[05/09/2011 - 23:50:14 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol76 FR
[05/09/2011 - 23:50:38 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol77 FR
[05/09/2011 - 23:51:04 | D ] 	I:\[B-C&HNI.NET]HajimeNoIppo Vol78 FR
[05/09/2011 - 23:51:38 | D ] 	I:\Hajime no ippo vol79
[05/09/2011 - 23:52:12 | D ] 	I:\Hajime no ippo vol80
[05/09/2011 - 23:52:42 | D ] 	I:\Hajime no ippo vol81
[05/09/2011 - 23:53:04 | D ] 	I:\Hajime no ippo vol82
[05/09/2011 - 23:53:36 | D ] 	I:\Hajime No Ippo Vol83
[05/09/2011 - 23:53:46 | D ] 	I:\Hajime No Ippo Volume 84
[05/09/2011 - 23:54:16 | D ] 	I:\TOME 55

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
I:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)


# AdwCleaner v1.307 - Rapport créé le 21/09/2011 à 23:03:43
# Mis à jour le 19/09/11 à 09h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Legue - AXEL (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Legue\Bureau\adwcleaner0.exe
# Option [Recherche]


***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Documents and Settings\Legue\Application Data\OfferBox
Dossier Présent : C:\Program Files\AutocompletePro
Dossier Présent : C:\Documents and Settings\Legue\Application Data\Mozilla\Firefox\Profiles\l1q3srcc.default\ConduitCommon

***** [Registre] *****

Clé Présente : HKCU\Software\Offerbox
Clé Présente : HKLM\SOFTWARE\Offerbox
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[HKCU\..\Main - Start Default_Page_URL] = hxxp://search.autocompletepro.com/?si=10203&bi=400

-\ Mozilla Firefox v6.0.2 (fr)

Profil : l1q3srcc.default
Fichier : C:\Documents and Settings\Legue\Application Data\Mozilla\Firefox\Profiles\l1q3srcc.default\prefs.js

Présente : user_pref("CT2990218.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2990218&SearchSource=2&q=");
Présente : user_pref("CommunityToolbar.ConduitSearchList", "servershare Customized Web Search");
Présente : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/1381953/1377612/FR", "\"0\"");
Présente : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2990218", "\"1302894194\"");
Présente : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&locale=en", "wVmmvqqOMqrv5xct1cJIHg==");
Présente : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&locale=en", "poKjTfHs0NrVUIalKI8jyg==");
Présente : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&locale=en", "Dclc8oo4TTv7+mAkSlUSWg==");
Présente : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&locale=en", "SuMy8xgBA7+FodOxmk9aiQ==");
Présente : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\"803651ba7facb1:0\"");
Présente : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.4.1.0", "\"07b2625f8cb1:0\"");
Présente : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2990218", "\"634413082062870000\"");
Présente : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2990218/CT2990218", "\"1304242869\"");
Présente : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"634410529136300000\"");
Présente : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\Documents and Settings\Legue\Application Data\Mozilla\Firefox\Profiles\l1q3srcc.default\conduitCommon\modules\3.4.1.0");
Présente : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.4.1.0");
Présente : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "hxxp://redirecterror.sfr.fr/?q=");
Présente : user_pref("CommunityToolbar.ToolbarsList", "CT2990218");
Présente : user_pref("CommunityToolbar.ToolbarsList2", "CT2990218");
Présente : user_pref("CommunityToolbar.ToolbarsList4", "CT2990218");
Présente : user_pref("CommunityToolbar.globalUserId", "f1556810-b129-4acf-9ce3-1977720f05d2");
Présente : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Présente : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Présente : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Wed May 18 2011 18:50:48 GMT+0200");
Présente : user_pref("CommunityToolbar.notifications.alertEnabled", true);
Présente : user_pref("CommunityToolbar.notifications.alertInfoInterval", 1440);
Présente : user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Thu May 19 2011 16:31:28 GMT+0200");
Présente : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com");
Présente : user_pref("CommunityToolbar.notifications.locale", "en");
Présente : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
Présente : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Wed May 18 2011 18:50:45 GMT+0200");
Présente : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1305622559");
Présente : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
Présente : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com");
Présente : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
Présente : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
Présente : user_pref("CommunityToolbar.notifications.userId", "d4812132-2071-4815-98ed-2a2181bba264");
Présente : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2990218&SearchSource=3&q={searchTerms}");

*************************

AdwCleaner[R1].txt - [5466 octets] - [21/09/2011 23:03:43]

########## EOF - C:\AdwCleaner[R1].txt - [5594 octets] ##########

juju666 · Answer

Relance AdwCleaner, clique cette fois sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Ficelle31520 · Answer

Voici la suite :

# AdwCleaner v1.307 - Rapport créé le 22/09/2011 à 00:06:02
# Mis à jour le 19/09/11 à 09h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Legue - AXEL (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Legue\Bureau\adwcleaner0.exe
# Option [Suppression]


***** [KillNav] *****

Aucun navigateur n'était en cours d'exécution.

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Legue\Application Data\OfferBox
Dossier Supprimé : C:\Program Files\AutocompletePro
Dossier Supprimé : C:\Documents and Settings\Legue\Application Data\Mozilla\Firefox\Profiles\l1q3srcc.default\ConduitCommon

***** [Registre] *****

Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

Remplacé : [HKCU\..\Main - Start Default_Page_URL] = hxxp://search.autocompletepro.com/?si=10203&bi=400 --> hxxp://www.google.fr

-\ Mozilla Firefox v6.0.2 (fr)

Profil : l1q3srcc.default
Fichier : C:\Documents and Settings\Legue\Application Data\Mozilla\Firefox\Profiles\l1q3srcc.default\prefs.js

C:\Documents and Settings\Legue\Application Data\Mozilla\Firefox\Profiles\l1q3srcc.default\user.js ... Supprimé !
Supprimée : user_pref("CT2990218.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2990218&SearchSource=2&q=");
Supprimée : user_pref("CommunityToolbar.ConduitSearchList", "servershare Customized Web Search");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/1381953/1377612/FR", "\"0\"");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2990218", "\"1302894194\"");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&locale=en", "wVmmvqqOMqrv5xct1cJIHg==");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&locale=en", "poKjTfHs0NrVUIalKI8jyg==");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&locale=en", "Dclc8oo4TTv7+mAkSlUSWg==");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&locale=en", "SuMy8xgBA7+FodOxmk9aiQ==");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\"803651ba7facb1:0\"");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.4.1.0", "\"07b2625f8cb1:0\"");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2990218", "\"634413082062870000\"");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2990218/CT2990218", "\"1304242869\"");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"634410529136300000\"");
Supprimée : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\Documents and Settings\Legue\Application Data\Mozilla\Firefox\Profiles\l1q3srcc.default\conduitCommon\modules\3.4.1.0");
Supprimée : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.4.1.0");
Supprimée : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "hxxp://redirecterror.sfr.fr/?q=");
Supprimée : user_pref("CommunityToolbar.ToolbarsList", "CT2990218");
Supprimée : user_pref("CommunityToolbar.ToolbarsList2", "CT2990218");
Supprimée : user_pref("CommunityToolbar.ToolbarsList4", "CT2990218");
Supprimée : user_pref("CommunityToolbar.globalUserId", "f1556810-b129-4acf-9ce3-1977720f05d2");
Supprimée : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Supprimée : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Supprimée : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Wed May 18 2011 18:50:48 GMT+0200");
Supprimée : user_pref("CommunityToolbar.notifications.alertEnabled", true);
Supprimée : user_pref("CommunityToolbar.notifications.alertInfoInterval", 1440);
Supprimée : user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Thu May 19 2011 16:31:28 GMT+0200");
Supprimée : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com");
Supprimée : user_pref("CommunityToolbar.notifications.locale", "en");
Supprimée : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
Supprimée : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Wed May 18 2011 18:50:45 GMT+0200");
Supprimée : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1305622559");
Supprimée : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
Supprimée : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com");
Supprimée : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
Supprimée : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
Supprimée : user_pref("CommunityToolbar.notifications.userId", "d4812132-2071-4815-98ed-2a2181bba264");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2990218&SearchSource=3&q={searchTerms}");

*************************

AdwCleaner[S1].txt - [5627 octets] - [22/09/2011 00:06:02]

*************************

Dossier Temporaire : 10 dossier(s) et 53 fichier(s) supprimé(s)

########## EOF - C:\AdwCleaner[S1].txt - [5851 octets] ##########

juju666 · Answer

Bonjour,
c'est parfait, on enchaîne ;)

&#9654  Télécharge AD-Remover sur ton Bureau : (TeamXScript) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Scanner » 
&#9654 Confirme le lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Quand il a fini, un rapport s'ouvrira : ferme le.

&#9830 Pour me transmettre le rapport

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Ficelle31520 · Answer

Voici le lien : http://www.cijoint.fr/cjlink.php?file=cj201109/cijqLa6wQR.txt

Une fois de plus merci.

juju666 · Answer

Héhé ^^

&#9654 Relance AD-Remover, clique sur [ Nettoyer ]
&#9654 Laisse le pc redémarrer.
&#9654 Une fois revenu sur le bureau, le rapport devrait s'ouvrir : ferme-le

&#9830 Pour me transmettre le rapport

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Ficelle31520 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201109/cijbfCKL1h.txt

Voilà  :)

juju666 · Answer

On va désormais utiliser un scan généraliste.

&#9654 Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
&#9654 Effectue la mise à jour et lance Malwarebytes' Anti-Malware

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

&#9654 Clique dans l'onglet du haut "Recherche"
&#9654 Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
&#9654 Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#9654 Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#9654 Clique sur OK puis "Afficher les résultats"
&#9654 Choisis l'option "Supprimer la sélection"
&#9654 Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#9654 Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#9654 Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

Ficelle31520 · Answer

Analyses ok : rapport en suivant:


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4040

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26/04/2010 20:45:35
mbam-log-2010-04-26 (20-45-35).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 102396
Temps écoulé: 2 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 17
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 8
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{a9722a0d-365f-47d2-b70b-37d046316d99} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dpliryoptpjwkgio (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adhlpr.adhlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adhlpr.adhlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c9125f0c-f236-44be-a962-668ee2465403} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c9125f0c-f236-44be-a962-668ee2465403} (Adware.AdRotator) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ezlife (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pfvygjvbip (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Program Files\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Program Files\Smart-Ads-Solutions\SmartAds\1.5.2.0 (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Documents and Settings\Legue\Application Data\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Documents and Settings\Legue\Application Data\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Program Files\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Program Files\ezLife\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Program Files\ezLife\ezLife\1.5.2.0 (Adware.EzLife) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\Mozilla Firefox\Components\ffxShot.dll (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpliryoptpjwkgio.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINDOWS\Axepia.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Program Files\Smart-Ads-Solutions\SmartAds\1.5.2.0\uninstall.exe (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Program Files\ezLife\ezLife\1.5.2.0\uninstall.exe (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\components
sFFxSHot.xpt (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
C:\WINDOWS\system32\zpuuqfjmpjk.dll (Trojan.Agent) -> Delete on reboot.

juju666 · Answer

bonjour,

Nous allons effectuer un diagnostic de ton PC: 
&#9654 Télécharge ZHPDiag 

&#9654 Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et  "Exécuter ZHPDiag" 

&#9654 Clique sur l''icône représentant une loupe (« Lancer le diagnostic ») 

&#9654 Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau :

Voici comment procéder

&#9654 Rends toi sur pjjoint.malekal.com 
&#9654 Clique sur le bouton Parcourir 
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
&#9654 Clique sur le bouton Envoyer 
&#9654 Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse. 

A bientôt.

Ficelle31520 · Answer

voila le lien : https://pjjoint.malekal.com/files.php?id=ZHPDiag_p13h14o6p1011z14l10b15z14b15c8m15p6x14f10b14w9z8h8o12

par contre j'ai encore avira ui détecte la menace : Dans le fichier 'C:\System Volume Information\_restore{7FB983AD-7950-4EB2-B186-1B525D1DC77A}\RP321\A0039918.exe'
un virus ou un programme indésirable 'TR/Drop.QuickBatch.U.5' [trojan] a été détecté.

juju666 · Answer

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )    


R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0    => Infection Rogue (Possible)
O43 - CFD: 25/04/2010 - 20:39:40 - [28842] ----D- C:\Documents and Settings\Legue\Application Data\C6E04EFFA5639F6668EFB80BC8CD4EEA    => Infection Rogue (Possible)
O69 - SBI: SearchScopes [HKCU] {1645A33F-0A96-4315-904E-29E188E7720E} - (Web Search) - http://startsear.ch    => Infection BT (Adware.Bandoo)
C:\Documents and Settings\Legue\Application Data\C6E04EFFA5639F6668EFB80BC8CD4EEA    => Infection Rogue (Possible)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]    => Infection BT (Adware.PredictAd)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]    => Infection BT (Adware.PredictAd)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]    => Infection BT (Hijack.Browser)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]    => Infection BT (Hijack.Browser)
C:\Program Files\Enigma Software Group\SpyHunter    => Infection FakeAlert (Crapware.SpyHunter)
M2 - MFEP: prefs.js [Legue - l1q3srcc.default\{6571950c-6eb2-4d8b-975e-5a25053ff845}] [] servershare Community Toolbar v3.6.0.10 (.Conduit Ltd..)    => 
O43 - CFD: 27/05/2010 - 22:01:34 - [0] ----D- C:\Documents and Settings\Legue\Local Settings\Application Data\aaimxnxjk    => 
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1    => Safer Networking Limited Spybot - S&D
[HKCU\Software\Casino]    => Online Games Casino
[HKCU\Software\PartyFrance]    => Casino.OnlineGames
O43 - CFD: 15/02/2010 - 21:04:42 - [64979182] ----D- C:\Program Files\Spybot - Search & Destroy    => Spybot - Search & Destroy
O43 - CFD: 10/07/2010 - 00:24:28 - [15294] ----D- C:\Documents and Settings\Legue\Local Settings\Application Data\FullTiltPoker    => FullTiltPoker
O43 - CFD: 17/02/2011 - 20:31:34 - [684752] ----D- C:\Documents and Settings\Legue\Local Settings\Application Data\FullTiltPoker.fr    => Game
O44 - LFC:[MD5.061D2C24FBEBF0210C29DEB97A6C4D7C] - 22/09/2011 - 18:04:07 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt   [6447]
O44 - LFC:[MD5.1D58116F77E77BF217D222520A6B7B53] - 22/09/2011 - 17:34:17 ---A- . (...) -- C:\Ad-Report-SCAN[1].txt   [6549]
O64 - Services: CurCS - ??/??/???? - C:\Program Files\Garena\safedrv.sys (.not file.) - GGSAFER Driver (GGSAFERDriver)  .(...) - LEGACY_GGSAFERDRIVER    => Fichier absent
[HKCU\Software\PartyFrance]    => Casino.OnlineGames
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} . (...) --  (.not file.)    => Toolbar.DAEMON Tools
O3 - Toolbar: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} . (...) --  (.not file.)    => Toolbar.Agent
O43 - CFD: 25/08/2011 - 21:00:20 - [605040] ----D- C:\Program Files\vShare.tv plugin    => Toolbar.Agent
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}    => Toolbar.DaemonTools
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}    => Toolbar.DaemonTools
EMPTYTEMP
EMPTYFLASH


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .   

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).   

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.   

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.   

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage 

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message   

Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)

Ficelle31520 · Answer

voilà le rapport:
Rapport de ZHPFix 1.12.3361 par Nicolas Coolman, Update du 06/09/2011
Fichier d'export Registre : 
Run by Legue at 24/09/2011 02:49:23
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
SUPPRIME O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1

========== Clé(s) du Registre ==========
SUPPRIME Key: SearchScopes :{1645A33F-0A96-4315-904E-29E188E7720E}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
SUPPRIME Key: HKCU\Software\Casino
SUPPRIME Key: HKCU\Software\PartyFrance
ABSENT Key: Service Legacy: LEGACY_GGSAFERDRIVER

========== Valeur(s) du Registre ==========
SUPPRIME Toolbar: {32099AAC-C132-4136-9E9A-4E364A424E17}
SUPPRIME Toolbar: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}

========== Elément(s) de donnée du Registre ==========
SUPPRIME PhishingFilter Value: Enabled = 0

========== Dossier(s) ==========
SUPPRIME Folder: C:\Documents and Settings\Legue\Application Data\C6E04EFFA5639F6668EFB80BC8CD4EEA
SUPPRIME Folder: c:\program files\enigma software group\spyhunter
SUPPRIME Folder: C:\Documents and Settings\Legue\Local Settings\Application Data\aaimxnxjk
SUPPRIME Folder: C:\Program Files\Spybot - Search & Destroy
SUPPRIME Folder: C:\Documents and Settings\Legue\Local Settings\Application Data\FullTiltPoker
SUPPRIME Folder: C:\Documents and Settings\Legue\Local Settings\Application Data\FullTiltPoker.fr
SUPPRIME Folder: C:\Program Files\vShare.tv plugin
SUPPRIME Temporaires Windows: : 68
SUPPRIME Flash Cookies: 229

========== Fichier(s) ==========
ABSENT Folder/File: c:\documents and settings\legue\application data\c6e04effa5639f6668efb80bc8cd4eea
SUPPRIME File: c:\ad-report-clean[1].txt
SUPPRIME File: c:\ad-report-scan[1].txt
SUPPRIME Temporaires Windows: : 202
SUPPRIME Flash Cookies: 115


========== Récapitulatif ==========
8 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
9 : Dossier(s)
5 : Fichier(s)
1 : Logiciel(s)


End of clean in 00mn 23s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 24/09/2011 02:49:23 [2815]

juju666 · Answer

bonjour

encore des soucis?

Ficelle31520 · Answer

oui j'ai encore eu l'alerte suivante à 13heures aujourd'hui :

Dans le fichier 'C:\System Volume Information\_restore{7FB983AD-7950-4EB2-B186-1B525D1DC77A}\RP321\A0039918.exe'
un virus ou un programme indésirable 'TR/Drop.QuickBatch.U.5' [trojan] a été détecté.
Action exécutée : Refuser l'accès

juju666 · Answer

Ce fichier se trouve dans la restauration du système que l'on nettoiera ensuite.

Refais une analyse avec ZHPDiag pour vérifier que le pc est bien propre désormais, ensuite, nous entamerons les procédures de fin.

ficelle31520 · Answer

je t'envoie la rapport ce soir, je suis désolé je suis pas mal débordé ces derniers temps. je te remercie pour ton aide.

Ficelle31520 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijGDmMEGb.txt

Vraiment désolé pour l'attente, je suis pas doué par moment :)

juju666 · Answer

On ne peut pas être bon partout ;)

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )    


[HKCU\Software\StartSearch]    => Infection PUP (Hijacker.Agent)
M2 - MFEP: prefs.js [Legue - l1q3srcc.default\{6571950c-6eb2-4d8b-975e-5a25053ff845}] [] servershare Community Toolbar v3.6.0.10 (.Conduit Ltd..)    => 
[HKCU\Software\vShare.tv]    => Toolbar.Agent
[HKCU\Software\vShare.tv]    => Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin]    => Toolbar.Agent
EMPTYTEMP
EMPTYFLASH


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .   

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).   

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.   

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.   

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage 

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message   

Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)

~~

Procédure d'optimisation/d'entretien/de prévention   

&#9654 Télécharge ici : PureRa (par l''editeur de JavaRa) 

&#9654 Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7) 

=> Configuration en vidéo ( merci gen-hackman ) 

&#9654 clique sur "Clean" 

&#9654 L''outil va faire son scan puis son nettoyage 

&#9654 à la fin du rapport tu auras une ligne comme ca : 

Total space cleaned: 8140878 bytes 

&#9654 transmets juste cette ligne , le reste importe peu  

------ 

&#9654 télécharge et installe Ccleaner 

&#9654 double-clique sur le fichier pour lancer l''installation  

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur »  

&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé  
&#9654 tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures " 
&#9654 &#9654 cliques sur nettoyeur  
&#9654 cliques sur windows et dans la colonne avancé  
&#9654 coches la première case "vieilles données du perfetch"  
&#9654 cliques sur analyse une fois l''analyse terminé  
&#9654 cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs " 
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"  
&#9654 il te demande de sauvegarder ==> OUI  
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre  
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK  
&#9654 Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"  
&#9654 tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur  windows, sous avancé, tu décoches la première case "vieilles données du perfetch"  
&#9654 tu peux fermer Ccleaner  

------  

Fais une recherche des erreurs de disque : 
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système. 

------ 

Défragmente tes disques dur : 
Télécharge Deffragler, et défragmente tes disques.  

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :  

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme 
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm 

------  

&#9654 Maintiens tes logiciels à jour c'est important, utilise ce programme : https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

&#9654 idem pour les Mises à jour Windows :  

Il est très important de maintenir son OS à jour car ceci comble les failles de sécurité par lesquelles les malwares ("virus") s'introduisent ... 

&#9654 Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/ 


&#9654 Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat. 

----- 

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp   

&#9654 Désinstaller les anciennes versions de Java :   

&#9654 Télécharge JavaRa.zip   

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)   

&#9654 Double-clique sur le répertoire JavaRa obtenu.   

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)   

&#9654 Clique sur Remove Older Versions.   

&#9654 Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.   

&#9654 Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.   

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )   

&#9654 Tu peux fermer l''application    

&#9654 &#9654 Met à jour les logiciels Adobe :  

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/ 

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr 

----- 

Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins 

----- 

&#9654 &#9654 pour supprimer les outils de désinfection : 

&#9654 Télécharge et exécute Delfix sur ton bureau

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message  
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.  

------  

Tu peux garder Malwarebytes pour un scan de temps à autres  

-----  

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter. 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web  
Et celui ci, sur les logiciels gratuits à éviter  

Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus 
------  

&#9654 &#9654 Pense à marquer le fil comme résolu   

------  

Si tu as d'autres questions,
Sur le fonctionnement des malwares
Ou comment tu t'es fait infecté
N'hésites pas.
On se quitte si le rapport DelFix est ok... 

@+

Ficelle31520 · Answer

Encore merci pour ton aide,

Voici le rapport purera : Total space cleaned: 60759221 bytes

J'ai effectué toutes les autres opérations.

Cependant ce matin le message d'erreur d'antivir est toujours présent, est comble de ma bétise j'ai supprimer les logiciels avec delfix et du coup je n'ai pas mon dernier rapport Zfix.

Veux-tu que je relance Zdiag du coup ?

juju666 · Answer

non ça va ;)

quel message d erreur ?

Ficelle31520 · Answer

Ce message là d'antivir:

Dans le fichier 'C:\System Volume Information\_restore{7FB983AD-7950-4EB2-B186-1B525D1DC77A}\RP321\A0039918.exe'
un virus ou un programme indésirable 'TR/Drop.QuickBatch.U.5' [trojan] a été détecté.
Action exécutée : Refuser l'accès

juju666 · Answer

Tu as bien purgé la restauration du système comme demandé?

Ficelle31520 · Answer

Oups ;) ,
Maintenant c'est fait, j'avais sauter ces 4 petites lignes.

juju666 · Answer

:)

normalement tu ne dois plus avoir d'alertes ? :)

sur ce prudence et bon surf ;)

Infection trojan

26 réponses

Discussions similaires