Sérieux problème de Trojan-Spy

ok donc pour moi pas de rootkit vu le rapport postes le zhpdiag , merci

Pour le rootkit, Emsisoft réussi à le supprimer en effet ;)

ok pas de rootkit mais pas mal de choses pas bonne sur le pc , tu fais ce qui suit , merci !!!

1) fais zhpfix comme expliqué

. Copie les lignes suivantes en GRAS entre les deux lignes


__________________________________________________________
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- I:\Program Files\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - Pas de description.) -- I:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- I:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- I:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- I:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- I:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1229272821-583907252-1801674531-1004\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- I:\WINDOWS\system32\ctfmon.exe
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
O42 - Logiciel: Favorit (xbjle) - (.Pas de propriétaire.) [HKLM] -- xbjle
[HKCU\Software\LanConfig]
O43 - CFD: 2008-12-06 - 12:43:00 - [9636] ----D- I:\Documents and Settings\Utilisateur\Local Settings\Application Data\Kiwee Toolbar
[HKLM\Software\Classes\AppID\contenthandler.dll]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7ee743314c844c7f445b8b1d7617612df1fdd50f]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A]
[HKLM\Software\Classes\ag.mediaplayercom]
[HKLM\Software\Classes\contenthandler.contentselection]
[HKLM\Software\Classes\contenthandler.contentselection.1]
[HKLM\Software\Classes\kiweeietoolbar.kiweetoolbar]
[HKLM\Software\Classes\kiweeietoolbar.kiweetoolbar.1]
[HKLM\Software\Classes\kiweeietoolbar.toolbarinfo]
[HKLM\Software\Classes\kiweeietoolbar.toolbarinfo.1]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0bc6e3fa-78ef-4886-842c-5a1258c4455a}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0bc6e3fa-78ef-4886-842c-5a1258c4455a}]
[HKLM\Software\Classes\CLSID\{0bc6e3fa-78ef-4886-842c-5a1258c4455a}]
[HKLM\Software\Classes\TypeLib\{259eeb17-79aa-44df-8410-8e55f82a902a}]
[HKLM\Software\Classes\Interface\{3e16a203-c0aa-4d44-acc5-38a70a8c76da}]
[HKLM\Software\Classes\Interface\{5663b370-f3c3-40d1-9c46-0e800aa4d0e8}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6638a9de-0745-4292-8a2e-ae530e7b9b3f}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6638a9de-0745-4292-8a2e-ae530e7b9b3f}]
[HKLM\Software\Classes\CLSID\{6638a9de-0745-4292-8a2e-ae530e7b9b3f}]
[HKLM\Software\Classes\CLSID\{6e15d3c4-c6fc-4f02-b130-77cc5b1f09db}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6e15d3c4-c6fc-4f02-b130-77cc5b1f09db}]
[HKLM\Software\Classes\AppID\{a5461fca-320c-4d6f-a150-a53823ce8142}]
[HKLM\Software\Classes\TypeLib\{c7403c30-3644-43d8-a82f-4bd84b9682d9}]
[HKLM\Software\Classes\AppID\{CC50232E-FDB1-436F-B658-452F88E81736}]
[HKLM\Software\Classes\CLSID\{e03bafdc-eb9d-4c35-a7a2-ab6c62ff0a68}]
[HKLM\Software\Classes\CLSID\{e6375f37-e4d1-4f51-b651-4658c27ac5bf}]
I:\Documents and Settings\Utilisateur\Application Data\Adobe\plugs
I:\Documents and Settings\Utilisateur\Application Data\Adobe\shed
I:\Documents and Settings\Utilisateur\Local Settings\Application Data\Kiwee Toolbar
SysRestore
FirewallRAZ
EmptyFlash
EmptyTemp
HostFix


___________________________________________________________________


. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

PS: si rien ne se colle clique sur l'icône en haut sur gauche celui juste à côté de l'appareil photos " coller le presse papier"

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!



. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport



2) passes ad-remover mode NETTOYAGE

Déactives ton anti-virus et anti-spyware le temps du scan

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Télécharge Ad-Remover sur ton bureau: (Merci à l'équipe TeamXscript)

http://www.teamxscript.org/adremoverTelechargement.html



/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



( Le rapport est sauvegardé sous C:\Ad-report-clean.log )



3) afin d'être sur que ad-remover est tout supprimer passes adw-cleaner

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt




3) fais un examen complet de ton pc avec malwarebytes



!! ATTENTION !!! près de 2 heures de scan !!!

Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

si problème essais avec celui ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installation, alors télécharge le ici :COMCTL32.OCX

. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Une fois la mise à jour terminée
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Sélectionnes tous les disques si proposés
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/



4) postes un nouveau zhpdiag pour contrôle , merci


Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

ok !!

Pour Ad-report-clean:

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

I:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:38:17 le 02/10/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Utilisateur@UTILISAT-51DAC4 ( )

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\AGI
Clé supprimée: HKCU\Software\Binary Noise\mPlayer\kiwee_toolbar_installer.exe
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\MessengerSkinner
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Kiwee Toolbar

Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc


============== SCAN ADDITIONNEL ==============

**** Google Chrome Version [14.0.835.187] ****

Extension\fnjbmmemklcjgepojigaapkoodmkgbae (I:\Program Files\DivX\DivX Plus Web Player\google_chrome\wpa\wpa.crx) (x)
Extension\jmfkcklnlgedgbglfkkgedjfmejoahla (I:\Program Files\AVG\AVG10\Chrome\safesearch.crx) (x)
Extension\nneajnkjbffgblleaoojgaacokifdkhm (I:\Program Files\DivX\DivX Plus Web Player\google_chrome\html5video\html5video.crx) (x)

-- I:\Documents and Settings\Utilisateur\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7ADFA_fr)
Preferences - homepage: hxxp://www.google.ca/
Preferences - homepage_is_newtabpage: true
Plugin - Remoting Viewer (Activé: true) (internal-remoting-viewer) (x)
Plugin - Native Client (Activé: true) (I:\Documents and Settings\Utilisateur\Local Settings\Application Data\Google\Chrome\Application\14.0.835.187\ppGoogleNaClPluginChrome.dll)
Plugin - DivX VOD Helper Plug-in (Activé: true) (I:\Program Files\DivX\DivX OVS Helper\npovshelper.dll)
Plugin - "DivX Player" (Activé: true)
Plugin - "Remoting Viewer" (Activé: true)
Plugin - "Native Client" (Activé: true)
Plugin - "DivX VOD Helper Plug-in" (Activé: true)

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{A057A204-BACC-4D26-9990-79A187E2698E} (x)
HKCU_Toolbar\WebBrowser|{CCC7A320-B3CA-4199-B1A6-9F516DD69829} (x)
HKLM_Toolbar|{CCC7A320-B3CA-4199-B1A6-9F516DD69829} (x)
HKLM_ElevationPolicy\{5F17E524-3447-4c7d-8E5F-4EFF31CDE3B7} - I:\Program Files\DivX\DivX Plus Web Player\DDMService.exe (DivX, LLC)
HKLM_ElevationPolicy\{64903E32-AE0B-408D-909C-09A08791F28D} - I:\Program Files\DivX\DivX Plus Web Player\dwpBroker.exe (?)
HKLM_ElevationPolicy\{C442AC41-9200-4770-8CC0-7CDB4F245C55} - I:\Program Files\Google\Update\GoogleUpdate.exe (x)
HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - I:\Program Files\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{326E768D-4182-46FD-9C16-1449A49795F4} - "DivX Plus Web Player HTML5 <video>" (I:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll)
BHO\{593DDEC6-7468-4cdd-90E1-42DADAA222E9} - "DivX HiQ" (I:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

I:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
I:\Program Files\Ad-Remover\Backup: 12 Fichier(s)

I:\Ad-Report-CLEAN[1].txt - 02/10/2011 10:38:26 (1308 Octet(s))

Fin à: 10:40:32, 02/10/2011

============== E.O.F ==============

Pour AdwCleaner:

# AdwCleaner v1.309 - Rapport créé le 02/10/2011 à 10:46:41
# Mis à jour le 29/09/11 à 20h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Utilisateur - UTILISAT-51DAC4 (Administrateur)
# Exécuté depuis : I:\Documents and Settings\Utilisateur\Bureau\adwcleaner0.exe
# Option [Suppression]


***** [KillNav] *****

# iexplore.exe [PID:3236] -> Tué

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v14.0.835.187

Fichier : I:\Documents and Settings\Utilisateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [918 octets] - [02/10/2011 10:46:41]

*************************

Dossier Temporaire : 4 dossier(s) et 1 fichier(s) supprimé(s)

########## EOF - I:\AdwCleaner[S1].txt - [1139 octets] ##########



J'y vais avec AntiMalwareBytes.... à dans 2 heures!!!!

à suivre !!

Pour MalWareBytes, ça n'a pas été trop long finalement!!!

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7846

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2011-10-02 11:22:23
mbam-log-2011-10-02 (11-22-23).txt

Type d'examen: Examen complet (E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 226817
Temps écoulé: 14 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
i:\documents and settings\utilisateur\local settings\temporary internet files\New_tdf (Adware.DoubleD.Gen) -> Quarantined and deleted successfully.
i:\documents and settings\utilisateur\local settings\temporary internet files\New_tdf\Data (Adware.DoubleD.Gen) -> Quarantined and deleted successfully.
i:\documents and settings\utilisateur\local settings\temporary internet files\New_tdf\Icons (Adware.DoubleD.Gen) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)