Virus Gendarmerie Nationale Win XP

Bonjour,

J'ai suivi le protocole que tu m'as indiqué. J'obtiens le fichier OTL.txt suivant :

https://pjjoint.malekal.com/files.php?id=20120507_o7j12q7r14t12

Merci d'avance.

Estelle

ça ne fait rien du tout

:-/ tu ne peux acceder à rien ?

c'est exactement ça... :-/

Tu redémarre... Et ça te met sa direct ?

oui, j'ai la page bienvenue puis ensuite ça apparait et je ne peux pas acceder à mon bureau

J'obtiens cela :

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ILTODM deleted successfully.
C:\WINDOWS\ILTOD\ILTOD.exe moved successfully.
Registry value HKEY_USERS\AF_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\ILTODU deleted successfully.
File C:\WINDOWS\ILTOD\ILTOD.exe not found.
C:\Documents and Settings\AF\Local Settings\Temp\32E66A0A3462F8AF463F.exe moved successfully.
Registry value HKEY_USERS\AF_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\DOCUME~1\AF\LOCALS~1\Temp\32E66A0A3462F8AF463F.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Policies deleted successfully.
File C:\WINDOWS\ILTOD\ILTOD.exe not found.
Registry value HKEY_USERS\AF_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Policies deleted successfully.
File C:\WINDOWS\ILTOD\ILTOD.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\2A5808A63462F8AF0F84.exe deleted successfully.
C:\WINDOWS\system32\2A5808A63462F8AF0F84.exe moved successfully.
Registry value HKEY_USERS\AF_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\AF\Application Data\dwm.exe deleted successfully.
File C:\WINDOWS\System32\2A5808A63462F8AF0F84.exe not found.

OTLPE by OldTimer - Version 3.1.48.0 log created on 07152012_205447

@+

Re

C'est-à-dire que je dois le redémarrer sans le CD à l'intérieur?

oui

Ça marche, c'est génial !!!

Un grand MERCI !!! =)

Avira me bloque l'installation de Malwaresbytes anti malware car il me dit que :
"Un virus ou programme indésirable a été trouvé!"

Que dois-je faire?

N° Nom Type Dommages potentiels Date Détection
4 TR/Crypt.ULPM.Gen Trojan Level 1 5 févr. 2007 voir ci

Je dois mettre en quarentaine ou bien poursuivre l'installation?

Re

Ton antivirus détecte Malwaresbytes comme un virus?
ignore cette alerte

Oui, c'était ça le problème.

J'ai réussi à installer le logiciel, il est maintenant en train de scanner mon PC en mode complet.
Je suppose que ça va prendre un peu de temps mais dès qu'il a fini, je te fais parvenir le rapport sans problème.

Merci de ton aide!

J'ai fini de supprimer les objets infectés et de redémarrer mon PC.

J'obtiens les 2 rapports suivants (je ne sais pas du quel des deux tu as besoin) :

1er rapport :
Malwarebytes Anti-Malware (Essai) 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.15.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
AF :: AF-A49870237379 [limité]

Protection: Activé

15/07/2012 18:42:37
mbam-log-2012-07-15 (18-42-37).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|I:\|J:\|K:\|L:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 331363
Temps écoulé: 1 heure(s), 32 minute(s), 41 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Données: 1 -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|ProxyServer (PUM.Bad.Proxy) -> Données: http=127.0.0.1:62242 -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Données: 1 -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 9
C:\_OTL\MovedFiles\07152012_205447\C_Documents and Settings\AF\Local Settings\Temp\32E66A0A3462F8AF463F.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\07152012_205447\C_WINDOWS\system32\2A5808A63462F8AF0F84.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\AF\Local Settings\Temp\0.3077235244688361g8j8.exe (Trojan.VUPX.PSG1) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\AF\Local Settings\Temp\0.8139803536861493g8j8.exe (Spyware.Zbot.ES) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\All Users\Application Data\{ECED010B-C48D-4DF6-90BE-74DA667979C6}\OFFLINE\mFileBagIDE.dll\bag\mvbterm.exe (Adware.ColorSoft) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\AF\Local Settings\Temp\xxxyyyzzz.dat (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\AF\Application Data\Adobe\shed\thr1.chm (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\AF\Application Data\Adobe\plugs\mmc132.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\AF\Application Data\Adobe\plugs\mmc58.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)

2ème rapport :
2012/07/15 18:40:49 +0200 AF-A49870237379 AF MESSAGE Starting protection
2012/07/15 18:40:59 +0200 AF-A49870237379 AF MESSAGE Executing scheduled update: Daily
2012/07/15 18:41:01 +0200 AF-A49870237379 AF MESSAGE Protection started successfully
2012/07/15 18:41:04 +0200 AF-A49870237379 AF MESSAGE Starting IP protection
2012/07/15 18:41:04 +0200 AF-A49870237379 AF ERROR IP protection failed: PfMakeLog failed with error code 21
2012/07/15 18:41:21 +0200 AF-A49870237379 AF MESSAGE Starting database refresh
2012/07/15 18:41:21 +0200 AF-A49870237379 AF MESSAGE Scheduled update executed successfully: database updated from version v2012.07.03.05 to version v2012.07.15.09
2012/07/15 18:41:31 +0200 AF-A49870237379 AF MESSAGE Database refreshed successfully

Cela te convient-il?

Comme demandé, voici le lien qui mène vers le fichier ZHPDiag.txt :

https://www.cjoint.com/?BGqtykU0nNf

Merci !

Re


Voici le rapport :

# AdwCleaner v1.702 - Rapport créé le 16/07/2012 à 20:43:55
# Mis à jour le 13/07/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : AF - AF-A49870237379
# Exécuté depuis : C:\Documents and Settings\AF\Local Settings\Temporary Internet Files\Content.IE5\SMOD9NKP\adwcleaner[1].exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\AF\Local Settings\Application Data\Conduit
Dossier Supprimé : C:\Documents and Settings\AF\Local Settings\Application Data\Linkury
Dossier Supprimé : C:\Documents and Settings\AF\Local Settings\Application Data\widestream6 Air
Dossier Supprimé : C:\Documents and Settings\AF\Application Data\BabylonToolbar
Dossier Supprimé : C:\Documents and Settings\AF\Application Data\OfferBox
Dossier Supprimé : C:\Documents and Settings\AF\Application Data\pdfforge
Dossier Supprimé : C:\Documents and Settings\AF\Application Data\PriceGong
Dossier Supprimé : C:\Documents and Settings\AF\Application Data\Search Settings
Dossier Supprimé : C:\Documents and Settings\AF\Application Data\widestream
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Linkury
Dossier Supprimé : C:\Program Files\BrowserCompanion

***** [Registre] *****

Clé Supprimée : HKCU\Software\Ask.com
Clé Supprimée : HKCU\Software\BrowserCompanion
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Iminent
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\PriceGong
Clé Supprimée : HKCU\Software\Spointer
Clé Supprimée : HKCU\Software\WideStream
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Clé Supprimée : HKLM\SOFTWARE\Iminent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Offerbox

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{18EAB056-9057-F224-FD4C-1F6569C4D8D2}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Page] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Default_Search_URL] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus --> hxxp://www.google.com

-\\ Google Chrome v20.0.1132.57

Fichier : C:\Documents and Settings\AF\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

Supprimée : "name" : "Search the web (Babylon)",
Supprimée : "search_url" : "hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=3462f8af00000000000[...]
Supprimée : "homepage" : "hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=3462f8af00000000000000112fb60a48&tlver[...]

*************************

AdwCleaner[S1].txt - [7296 octets] - [16/07/2012 20:43:55]

########## EOF - C:\AdwCleaner[S1].txt - [7424 octets] ##########


A +

Bonjour,

J'ai essayé de faire ce que vous m'avez indiqué mais mon navigateur (Internet Explorer) ne me permet pas de faire cela en ligne.
J'ai donc installé sur mon ordinateur le logiciel "Secunia PSI" et j'ai fait un scan.
J'ai plus de 20 logiciels qui ne sont pas à jour...
J'ai décidé de commencer par supprimer les logiciels dont je ne me sers pas avant de faire les mises à jour afin de ne pas faire des mises à jour logiciels inutiles.
Cependant, comme je pars quelques jours en vacances, je ne l'ai pas encore fait...
Je vous tiens au courant dès que c'est le cas.

Merci et à bientôt !