Probleme trojan "TR/Drop.Injector.aejw"

Bonsoir,

On va éffectuer un petit diagnostique de ta machine :

Télécharge ZhpDiag de Nicolas Coolman .

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).

Une fois installé le programme s'ouvre automatiquement .

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

Rend toi sur ce site : http://www.cijoint.fr/index.php ou celui-ci : http://pjjoint.malekal.com/

Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

Bonjour,

tout d'abord merci de t'occuper de mon problème voici le lien que tu m'a demandé :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111215_m14w7q9b15z8

Tu peux me donner le chemin d'acces du fichier détecté par Antivir ?

Copie dans le Presse-papier les lignes ci-dessous en gras (sélectionne les avec la souris et fais simultanément Ctrl et C)

[HKCU\Software\DataMngr]
[HKLM\Software\Babylon]
[HKLM\Software\DataMngr]
O43 - CFD: 2011/12/05 - 17:13:24 - [0] ----D- C:\ProgramData\Babylon
O43 - CFD: 2011/12/05 - 17:13:24 - [0.003] ----D- C:\Users\Yuri\AppData\Roaming\Babylon
O43 - CFD: 2011/12/05 - 17:13:24 - [3.589] ----D- C:\Users\Yuri\AppData\Local\Babylon
O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} - (Web Search) - http://search.bearshare.net/
[HKLM\Software\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]
[HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[HKLM\Software\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}] AF6E-957C64278AB1}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E84D42CA-64EB-11DE-A65F-8C3656D89593}]
C:\ProgramData\Babylon
C:\Users\Yuri\AppData\Roaming\Babylon
C:\Users\Yuri\AppData\Local\Babylon
C:\Users\Yuri\AppData\Local\Temp\BabylonToolbar
Emptytemp
Emptyflash

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Bonsoir,

concernant le chemin d'acces du malware le voici :

C:\Program Files\InstallBrainService\InstallBrainService.exe.

Et voici le rapport :

Rapport de ZHPFix 1.12.3374 par Nicolas Coolman, Update du 05/12/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-2011-12-16-6-59-41.txt
Run by Yuri at 2011/12/16 6:59:41
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Registry Key ==========
DELETED Key: HKCU\Software\DataMngr
DELETED Key: HKLM\Software\Babylon
DELETED Key: HKLM\Software\DataMngr
DELETED Key: SearchScopes :{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}
DELETED Key: HKLM\Software\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
DELETED Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}
DELETED Key: HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
NOT FOUND Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}
DELETED Key: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}
NOT FOUND Key: HKLM\Software\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB} AF6E-957C64278AB1}
DELETED Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E84D42CA-64EB-11DE-A65F-8C3656D89593}

========== Repertory ==========
DELETED Folder: C:\ProgramData\Babylon
DELETED Folder: C:\Users\Yuri\AppData\Roaming\Babylon
DELETED Folder: C:\Users\Yuri\AppData\Local\Babylon
DELETED Folder: c:\users\yuri\appdata\local\temp\babylontoolbar
DELETED Window Temporary: : 196
DELETED Flash Cookies: 581

========== File ==========
NOT FOUND Folder/File: c:\programdata\babylon
NOT FOUND Folder/File: c:\users\yuri\appdata\roaming\babylon
NOT FOUND Folder/File: c:\users\yuri\appdata\local\babylon
DELETED Window Temporary: : 1025
DELETED Flash Cookies: 337

========== Summary ==========
11 : Registry Key
6 : Repertory
5 : File

End of clean in 00mn 05s

========== Report File ==========
C:\ZHP\ZHPFix[R1].txt - 2011/12/16 6:59:41 [1921]

Merci encore

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\Program Files\InstallBrainService\InstallBrainService.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Bonsoir,

quand j'essaye de selectionner le fichier, il m'indique que je n'ai pas les droits necessaires car je ne suis pas administrateur.

Or je suis sur d'etre administrateur, que puis-je faire?

Passe par clic droit puis "éxécuter en tant qu'admin"

Bonsoir,

excuses moi pour le delai de ma reponse mais travaillant dans la grande distribution je bossais malheuresement ce dimanche.

J'avais deja essayé de faire clicl droit executer en tant qu'ad,inistrateur mais il me refusait l'acces :( me disant que je n'ai pas les droits necessaires.

As-tu une autre solution?

merci encore

Tu sais a quoi correspond ce service ? InstallBrainService

Si ce n'est pas toi qui l'as installé alors on va tout simplement le supprimer ainsi que les toolbars inutiles qui sont installé sur ton navigateur .

Il s'agit du PC de ma compagne (qui est japonaise).

En regardant sur google il semblerait s'agir d'un programme lié à firefox, navigateur qu'elle n'utilise pas. Donc je pense qu'elle n'a aucune utilité.

Pour la supprimer, y a t'il une procédure particulière? Car elle n'apparait dans le gestionnaire windows des programmes.

On va supprimer ensemble :

Copie dans le Presse-papier les lignes ci-dessous en gras (sélectionne les avec la souris et fais simultanément Ctrl et C)

O23 - Service: InstallBrain Updater Service (InstallBrainService) . (...) - C:\Program Files\InstallBrainService\InstallBrainService.exe
O42 - Logiciel: InstallBrain Updater Service - (.Unknown owner.) [HKLM] -- InstallBrain Updater Service
O43 - CFD: 2011/12/05 - 17:13:30 - [0.453] ----D- C:\Program Files\InstallBrainService

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.