Trojan Win32/comroki Résolu/Fermé

Question

Bonjour, 



Configuration: Windows 7 / Safari 535.19

Je suis équipé d'un HP probook 4520s
et j'ai subi une attaque de cheval de troie, et maintenant microsoft sucurity essentials me détecte un problème à chaque redémarrage mais en plus mon clavier et mon trackpad ne fonctionnent plus.
j'ai fait un scan complet sans détecter d'infection, j'ai fait un nettoyage en mode sans echec avec ccleaner et j'ai fini par un scan Hijackthis, je voudrais donc avoir vos conseils.
Merci

voici le rapport hijackthis: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:17:27, on 08/04/2012
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Safe mode

Running processes:
C:\windows\Explorer.EXE
C:\windows\system32\ctfmon.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/?ocid=OIE9HP
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer, optimized for Bing and MSN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: BHO_Startup - {3134413B-49B4-425C-98A5-893C1F195601} - C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Bing Bar BHO - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\MSN Toolbar\Platform\6.3.2322.0
pwinext.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: @C:\Program Files\MSN Toolbar\Platform\6.3.2322.0
pwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\MSN Toolbar\Platform\6.3.2322.0
pwinext.dll
O4 - HKLM\..\Run: [QLBController] C:\Program Files\Hewlett-Packard\HP HotKey Support\QLBController.exe /start
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [PDF Complete] C:\Program Files\PDF Complete\pdfsty.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [File Sanitizer] C:\Program Files\Hewlett-Packard\File Sanitizer\CoreShredder.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [DTRun] c:\Program Files\ArcSoft\TotalMedia Suite\TotalMedia Theatre 3\uDTRun.exe
O4 - HKLM\..\Run: [HPWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe 120 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe /hidden
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [PlusService] C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe
O4 - HKLM\..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [HPPowerAssistant] C:\Program Files\Hewlett-Packard\HP Power Assistant\DelayedAppStarter.exe 120 C:\Program Files\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe /hidden
O4 - HKLM\..\Run: [MessengerPlusForSkypeService] "C:\Program Files\Yuna Software\Messenger Plus! for Skype\MsgPlusForSkypeService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [KiesTrayAgent] C:\Program Files\Samsung\Kies\KiesTrayAgent.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\Lazmbron\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe /s
O4 - HKCU\..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
O4 - HKCU\..\Run: [Facebook Update] "C:\Users\Lazmbron\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
O4 - HKCU\..\Run: [dxkdst] C:\Users\Lazmbron\AppData\Roaming\dxkdst.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Startup: Tiny clock692643417.lnk = Lazmbron\Desktop\Tiny clock.exe
O4 - Global Startup: Bluetooth.lnk = ?
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: PokerStars.fr - {90EAE591-7E7E-434a-8E28-ECFD00071806} - C:\Program Files\PokerStars.FR\PokerStarsUpdate.exe (file missing)
O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix: 
O15 - ESC Trusted Zone: http://*.mcafee.com (HKLM)
O15 - ESC Trusted Zone: http://betavscan.mcafeeasap.com (HKLM)
O15 - ESC Trusted Zone: http://vs.mcafeeasap.com (HKLM)
O15 - ESC Trusted Zone: http://www.mcafeeasap.com (HKLM)
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Program Files\IDT\WDM\aestsrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: AMD External Events Utility - AMD - C:\windows\system32\atiesrxx.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
O23 - Service: FsUsbExService - Teruten - C:\windows\system32\FsUsbExService.Exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: HP Power Assistant Service - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe
O23 - Service: HP Support Assistant Service - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP Support Framework\hpsa_service.exe
O23 - Service: HP Wireless Assistant Service - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe
O23 - Service: HP DayStarter Service (HPDayStarterService) - Hewlett-Packard Company - c:\Program Files\Hewlett-Packard\HP QuickLook\HPDayStarterService.exe
O23 - Service: HP Quick Synchronization Service (HPDrvMntSvc.exe) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\HPDrvMntSvc.exe
O23 - Service: File Sanitizer for HP ProtectTools (HPFSService) - Hewlett-Packard - C:\Program Files\Hewlett-Packard\File Sanitizer\HPFSService.exe
O23 - Service: HP Hotkey Monitor (hpHotkeyMonitor) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP HotKey Support\hpHotkeyMonitor.exe
O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Company - C:\windows\system32\Hpservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Messenger Plus! Service (MsgPlusService) - Yuna Software - C:\Program Files\Yuna Software\Messenger Plus! for Skype\MsgPlusForSkypeService.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\stlang.dll,-10101 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV.exe
O23 - Service: ArcCapture (uArcCapture) - ArcSoft, Inc. - C:\windows\system32\uArcCapture.exe
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: Validity VCS Fingerprint Service (vcsFPService) - Validity Sensors, Inc. - C:\windows\system32\vcsFPService.exe

^^Marie^^ · Accepted Answer

Bonjour

Sert à rien de changer d' AV.
 Si le virus est à la racine il y restera.

Fish66 · Answer

Salut,

 * Télécharge sur le bureau RogueKiller (par tigzy)     
https://www.luanagames.com/index.fr.html     
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )     
* Quitte tous tes programmes en cours     
* Lance RogueKiller.exe    
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe    
* Laisse le prescan se terminer, clique sur Scan    
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message  

@+

NMD · Answer

Salut, d'abord merci de vous intéresser à mon problème, le trojan comroki à l'air d'avoir disparu puisque j'ai bloqué des applications au démarrage mais maintenant j'ai un trojan downloader win 32 Umbald.A pour Fish66, le rapport roguekiller: RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: Lazmbron [Droits d'admin] Mode: Recherche -- Date: 09/04/2012 18:34:14 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 12 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : dxkdst (C:\Users\Lazmbron\AppData\Roaming\dxkdst.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-2381101388-1652172106-2164508918-1003[...]\Run : dxkdst (C:\Users\Lazmbron\AppData\Roaming\dxkdst.exe) -> FOUND [SUSP PATH] {25D14896-F655-4B96-B637-CE3D944ECAEB}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> FOUND [SUSP PATH] {3D542808-C1A1-4954-8D05-1F7E5D59B6D9}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> FOUND [SUSP PATH] {8E32BABF-9F37-459C-B05E-0900AC2A8397}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> FOUND [SUSP PATH] {99FA9429-6165-4F09-8925-90CA697FCFE1}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> FOUND [SUSP PATH] {B692D840-4357-4502-A3FD-3262D5E10B39}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> FOUND [SUSP PATH] {ED34E8DE-14B0-4FE3-8445-698E76F66080}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> FOUND [SUSP PATH] Tiny clock692643417.lnk @Lazmbron : C:\Users\Lazmbron\Desktop\Tiny clock.exe -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK3256GSY +++++ --- User --- [MBR] 531ad5e76bbe65a8b272e17418f87824 [BSP] d92231005af072a3d789796c20c48ef9 : Windows Vista MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 300 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 616448 | Size: 287536 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 589490176 | Size: 15360 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 620947456 | Size: 2043 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

Fish66 · Answer

Re,

De rien :-)

====================
Relance RogueKiller puis choisis "Suppression"  et poste le rapport stp

@+

NMD · Answer

RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: Lazmbron [Droits d'admin] Mode: Suppression -- Date: 09/04/2012 20:53:44 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 11 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : dxkdst (C:\Users\Lazmbron\AppData\Roaming\dxkdst.exe) -> DELETED [SUSP PATH] {25D14896-F655-4B96-B637-CE3D944ECAEB}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> DELETED [SUSP PATH] {3D542808-C1A1-4954-8D05-1F7E5D59B6D9}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> DELETED [SUSP PATH] {8E32BABF-9F37-459C-B05E-0900AC2A8397}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> DELETED [SUSP PATH] {99FA9429-6165-4F09-8925-90CA697FCFE1}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> DELETED [SUSP PATH] {B692D840-4357-4502-A3FD-3262D5E10B39}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> DELETED [SUSP PATH] {ED34E8DE-14B0-4FE3-8445-698E76F66080}.job @ : C:\Users\Lazmbron\Desktop\half life\hl.exe -> DELETED [SUSP PATH] Tiny clock692643417.lnk @Lazmbron : C:\Users\Lazmbron\Desktop\Tiny clock.exe -> DELETED [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK3256GSY +++++ --- User --- [MBR] 531ad5e76bbe65a8b272e17418f87824 [BSP] d92231005af072a3d789796c20c48ef9 : Windows Vista MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 300 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 616448 | Size: 287536 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 589490176 | Size: 15360 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 620947456 | Size: 2043 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: ST350041 8AS USB Device +++++ --- User --- [MBR] c42719a02416566555929f8284ee0e56 [BSP] d2483f4fb333556f0195ced646164585 : Windows XP MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Fish66 · Answer

Re,

* Lance Malwarebytes' Anti-Malware  
* Fais la mise à jour  
* Clique dans l'onglet  "Recherche"  
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"  

A la fin de l'analyse, si MBAM n'a rien trouvé :  

* Clique sur OK, le rapport s'ouvre spontanément  

Si des menaces ont été détectées :  

* Clique sur OK puis "Afficher les résultats"  
*Vérifie que toutes les lignes sont cochées 
* Choisis l'option "Supprimer la sélection"  
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"  
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"  

* Copie/colle le rapport dans le prochain message  


Remarque : 
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant  ce fichier puis en l'exécutant.

@+

NMD · Answer

Merci au redémarrage après le scan et la suppression de mbam, plus d'attaque du cheval de troie, 
le rapport de mbam : 

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.04.08.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Lazmbron :: LAMBRON-HP [administrateur]

09/04/2012 21:06:51
mbam-log-2012-04-09 (21-06-51).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 425789
Temps écoulé: 1 heure(s), 45 minute(s), 20 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\Lazmbron\Documents\Half life\half life\CDKEYGEN.EXE (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Lazmbron\Documents\Half-Life\CDKEYGEN.EXE (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Lazmbron\Downloads\hijackthis_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.

(fin)

Merci Fish66

Fish66 · Answer

Bonjour,

Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://pjjoint.malekal.com/
Si indisponible, tu peux essayer avec l'un de ces liens: 
https://www.terafiles.net/
https://www.casimages.com/

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

Hébergement de rapport sur pjjoint.malekal.com

Rends toi sur pjjoint.malekal.com  
* Clique sur le bouton Parcourir  
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir  
* Clique sur le bouton Envoyer  
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015  

* Copie le lien dans ta prochaine réponse.   

@+

NMD · Answer

rapport ZHPDiag: 

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120410_d12x14z12p5z9

Fish66 · Answer

Re, 1/ Télécharge et enregistre l'utilitaire de désinstallation de McAfee sur le bureau de ton PC * Exécute le en suivant les instructions 2/ Télécharge AdwCleaner (merci à Xplode) Lance AdwCleaner Clique sur le bouton [ Suppression ] Patiente... Poste le rapport qui apparait en fin de recherche. (Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt) 3/ * Telecharge et install link officiel : >>>USBFix ICI<<< ou : >>> ICI <<< (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir * Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera automatiquement * Clique sur "Recherche" * Laisse travailler l'outil * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt ) 4/ * Télécharge le fichier : ZHPFixScript.txt depuis ce lien : https://pjjoint.malekal.com/files.php?id=20120410_c12w6k8b5g15 * Enregistre le sur le bureau de ton PC sous le nom de : ZHPFixScrip.txt *Lance ZHPFix et clique sur le H (coller les lignes helpers) * Fait un glisser/déposer de ZHPFixScript.txt (existant sur ton bureau) dans ZHPFix * Clique sur le bouton GO * Héberge le rapport et donne le lien @+

NMD · Answer

Salut Fish66, 
désolé pour la réponse tardive, 

rapport adw cleaner: 
http://pjjoint.malekal.com/files.php?id=20120415_e7g14f5f6x6

rapport USBFix: 
http://pjjoint.malekal.com/files.php?id=20120415_x11f10d7t10p10


rapport ZHPFix: 
http://pjjoint.malekal.com/files.php?id=20120415_y10c5e5f5x7

Fish66 · Answer

Re,
1/
Relance ADWCleaner puis choisis "Suppression" et poste le rapport stp

2/
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir   

* Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris   

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera   

automatiquement   

* Clique sur "Suppression"   

* Laisse travailler l'outil 

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi  sauvegardé a la racine du disque dur : C:\UsbFix.txt  ) 

@+

NMD · Answer

re, 

rapport ADWCleaner: 
http://pjjoint.malekal.com/files.php?id=20120415_e10q14s15s10z14

rapport USBFix: 
http://pjjoint.malekal.com/files.php?id=20120415_f14y10b9l6k10

++

Fish66 · Answer

Re,

Lance ZHPDiag depuis le bureau, clique sur l'onglet vert (flèche bas) pour faire la mise à jour et prépare stp un nouveau rapport ZHPDiag

@+

NMD · Answer

re, 

rapport ZHPDiag: 
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120415_b13q12l12h10k15

Fish66 · Answer

Re, 1/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) [HKLM\Software\Trymedia Systems] O43 - CFD: 12/03/2011 - 22:45:20 - [0,001] ----D C:\ProgramData\Trymedia [MD5.E89BE3E0FC7042AF676C7203CA325A2C] [SPRF][07/04/2012] (...) -- C:\Users\Lazmbron\AppData\Roaming\dxkdst.exe [135168] [MD5.A15E2A3D17C6A65223FEFC51E2A1D79D] [SPRF][06/04/2012] (...) -- C:\Users\Lazmbron\AppData\Roaming\rdeogz.exe [1232520] [MD5.A15E2A3D17C6A65223FEFC51E2A1D79D] [SPRF][07/04/2012] (...) -- C:\Users\Lazmbron\AppData\Roaming\rexjzv.exe [1232520] [HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}] [HKLM\Software\Trymedia Systems] C:\ProgramData\Trymedia OPT:O4 - Global Startup: C:\Users\Lazmbron\Desktop\GameExplorer.lnk - Clé orpheline [MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (...) -- C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.) => Lavasoft AB Ad-Aware O43 - CFD: 13/04/2012 - 19:50:49 - [0] ----D C:\Users\Lazmbron\AppData\Local\{22134296-01D9-46CD-84DC-2FB539FEC3B4} O43 - CFD: 11/04/2012 - 20:01:30 - [0] ----D C:\Users\Lazmbron\AppData\Local\{601E1E08-9973-4AC4-A487-A13576512396} O43 - CFD: 15/04/2012 - 14:58:27 - [0] ----D C:\Users\Lazmbron\AppData\Local\{612AA7B9-3529-44C8-A087-CFB8468BD859} O43 - CFD: 14/04/2012 - 20:41:01 - [0] ----D C:\Users\Lazmbron\AppData\Local\{63A160C5-1CE4-4BD4-8CE3-76718E1745B1} O43 - CFD: 14/04/2012 - 20:40:49 - [0] ----D C:\Users\Lazmbron\AppData\Local\{7FC6B38F-E7E2-449B-864E-8FF02C404717} O43 - CFD: 13/04/2012 - 19:51:00 - [0] ----D C:\Users\Lazmbron\AppData\Local\{C8E3CD3A-3F3A-4B17-B76B-43151A81D055} O43 - CFD: 15/04/2012 - 14:58:38 - [0] ----D C:\Users\Lazmbron\AppData\Local\{D60F5DD1-610D-4E8C-89BC-6647FA2E2CEA} O43 - CFD: 12/04/2012 - 21:57:35 - [0] ----D C:\Users\Lazmbron\AppData\Local\{D87E8E75-F945-4859-A569-B5AE2C8B6B01} O43 - CFD: 12/04/2012 - 21:57:24 - [0] ----D C:\Users\Lazmbron\AppData\Local\{DC276170-8A5B-4C8F-A739-C837411EF5BB} O43 - CFD: 11/04/2012 - 20:01:18 - [0] ----D C:\Users\Lazmbron\AppData\Local\{E6C45732-42F7-4D36-BFA3-7CE0F7218D6F} OPT:O4 - Global Startup: C:\Users\Lazmbron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Readon TV Movie Radio Player.lnk . (...) -- C:\Users\Lazmbron\AppData\Roaming\Microsoft\Installer\{03840E8D-A75E-4C49-ADFC-09A867C7F943}\_A290953C7595C4E6A1FDBA O87 - FAEL: "{27BF8095-E258-474B-8327-42F7CD326E39}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe (.not file.) => Network Associates®McAfee VirusScan O87 - FAEL: "{7A4FFA15-CB55-4FF2-9765-E83750A3BAAB}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe (.not file.) => Network Associates®McAfee VirusScan FirewallRAZ EmptyTemp EmptyFlash Puis Lance ZHPFix depuis le raccourci du bureau . * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. Clique sur le bouton GO Copie/Colle le rapport à l'écran dans ton prochain message. 2/ Mise à jour Firefox : *Désinstalle ta version de Firefox *Télécharge Firefox <<

NMD · Answer

re, 
rapport ZHPFix: 

Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre : 
Run by Lazmbron at 4/15/2012 6:25:44 PM
Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Lazmbron\AppData\Roaming\dxkdst.exe
SUPPRIME Memory Process: C:\Users\Lazmbron\AppData\Roamingdeogz.exe
SUPPRIME Memory Process: C:\Users\Lazmbron\AppData\Roamingexjzv.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Trymedia Systems
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

========== Valeur(s) du Registre ==========
SUPPRIME {27BF8095-E258-474B-8327-42F7CD326E39}
SUPPRIME {7A4FFA15-CB55-4FF2-9765-E83750A3BAAB}
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIME FirewallRaz (None) : {BC47ADE4-0FB5-428A-9E89-73443B6F983F}
SUPPRIME FirewallRaz (Private) : TCP Query User{364E8199-9722-446D-9BF5-F7C1C5159F0A}E:\counter-strike 1.6\hl.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{F9D96C8F-96AD-42FC-A0FC-26137BF27E23}E:\counter-strike 1.6\hl.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{4EB7BF89-6AC7-446C-98A5-7536F2E4E7B7}D:\counter-strike 1.6\hltv.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{9C068746-E73B-4BA5-AAC7-1A08CA08EDC6}D:\counter-strike 1.6\hltv.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{887E5754-BDFE-4FA8-94BF-3C866A5AA715}D:\counter-strike 1.6\hl.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{173113B4-CE5D-4DB2-B718-195A72902C10}D:\counter-strike 1.6\hl.exe
SUPPRIME FirewallRaz (Private) : TCP Query User{6E0E46AA-AB37-427A-BB76-72248F2F0BFD}D:\counter-strike 1.6\hl.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{E271CD6D-7441-416F-8D21-789F639271A2}D:\counter-strike 1.6\hl.exe
SUPPRIME FirewallRaz (Private) : {9046450C-CB0B-4A06-A2DE-AED64BE42A95}
SUPPRIME FirewallRaz (Private) : {1FF9CBB0-3046-4965-973A-E83A0FD7C981}
SUPPRIME FirewallRaz (Private) : TCP Query User{F5866629-1715-4665-9C3C-95F31C55BEEC}C:\program files\mirc\mirc.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{1DEC40A6-11F3-4E44-81D1-B1904B8335C9}C:\program files\mirc\mirc.exe
SUPPRIME FirewallRaz (Private) : TCP Query User{326C6235-43F0-4B50-A449-15E410F5C17F}C:\program files\google\chrome\application\chrome.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{124E9CFD-415A-413C-9689-DADD2BB0AA79}C:\program files\google\chrome\application\chrome.exe
SUPPRIME FirewallRaz (Private) : TCP Query User{426C0C6D-1DC5-47E5-B37F-C7A2AD52B171}C:\users\lazmbron\appdataoaming\macromedia\flash player\www.macromedia.com\bin\octoshape\octoshape.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{385C4451-D4DB-46AB-B337-5CF0429C419F}C:\users\lazmbron\appdataoaming\macromedia\flash player\www.macromedia.com\bin\octoshape\octoshape.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{7A114A30-AF40-4A6B-A538-1894EE06C58F}E:\hlds.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{344DE31E-4BDC-436F-AFF6-F073271A1488}E:\hlds.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{B344AFCE-41D7-423A-B00F-9E2BF8130DD5}E:\hl.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{5428E4E2-4DB3-4F45-88CC-92F797A19F8C}E:\hl.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{25AB8B2A-486F-4FB8-BC30-58C0AF646274}C:\users\lazmbron\desktop\half life\hltv.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{CE35D268-F0C1-42F5-85D5-A31FBB1DAA35}C:\users\lazmbron\desktop\half life\hltv.exe
SUPPRIME FirewallRaz (Private) : TCP Query User{FF140049-334B-440D-B93F-E25CD07D5DDD}C:\program fileseadon technologyeadon tv movie radio player 7.4.0.0\internettv.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{D0489BB9-DCF1-40B3-B5F4-7E7EDC2E5599}C:\program fileseadon technologyeadon tv movie radio player 7.4.0.0\internettv.exe
SUPPRIME FirewallRaz (Private) : TCP Query User{B30F24F4-19C3-4935-B08A-4EF52A6A2E69}H:\counter-strike 1.6\hl.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{775237C2-EF92-4512-A7A3-58C00FAB23A8}H:\counter-strike 1.6\hl.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{462C29DD-54D0-4080-A372-E807D128786E}H:\counter-strike 1.6\hl.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{405B6109-2805-4343-9CFC-276D2A76C5D7}H:\counter-strike 1.6\hl.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{F872D5D6-D20F-42CF-A410-01B7932B1FB1}E:\counter-strike 1.6\hl.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{A165B821-DD0E-456C-A443-8A72D37A6972}E:\counter-strike 1.6\hl.exe

========== Dossier(s) ==========
SUPPRIME Folder: C:\ProgramData\Trymedia
SUPPRIME Folder: C:\Users\Lazmbron\AppData\Local\{22134296-01D9-46CD-84DC-2FB539FEC3B4}
SUPPRIME Folder: C:\Users\Lazmbron\AppData\Local\{601E1E08-9973-4AC4-A487-A13576512396}
SUPPRIME Folder: C:\Users\Lazmbron\AppData\Local\{612AA7B9-3529-44C8-A087-CFB8468BD859}
SUPPRIME Folder: C:\Users\Lazmbron\AppData\Local\{63A160C5-1CE4-4BD4-8CE3-76718E1745B1}
SUPPRIME Folder: C:\Users\Lazmbron\AppData\Local\{7FC6B38F-E7E2-449B-864E-8FF02C404717}
SUPPRIME Folder: C:\Users\Lazmbron\AppData\Local\{C8E3CD3A-3F3A-4B17-B76B-43151A81D055}
SUPPRIME Folder: C:\Users\Lazmbron\AppData\Local\{D60F5DD1-610D-4E8C-89BC-6647FA2E2CEA}
SUPPRIME Folder: C:\Users\Lazmbron\AppData\Local\{D87E8E75-F945-4859-A569-B5AE2C8B6B01}
SUPPRIME Folder: C:\Users\Lazmbron\AppData\Local\{DC276170-8A5B-4C8F-A739-C837411EF5BB}
SUPPRIME Folder: C:\Users\Lazmbron\AppData\Local\{E6C45732-42F7-4D36-BFA3-7CE0F7218D6F}
SUPPRIME Temporaires Windows: : 174
SUPPRIME Flash Cookies: 146

========== Fichier(s) ==========
SUPPRIME File: c:\users\lazmbron\appdataoaming\dxkdst.exe
SUPPRIME File: c:\users\lazmbron\appdataoamingdeogz.exe
SUPPRIME File: c:\users\lazmbron\appdataoamingexjzv.exe
ABSENT Folder/File: c:\programdata	rymedia
SUPPRIME File: c:\users\lazmbron\desktop\gameexplorer.lnk
SUPPRIME File: c:\users\lazmbron\appdataoaming\microsoft\windows\start menu\programseadon tv movie radio player.lnk
SUPPRIME Temporaires Windows: : 495
SUPPRIME Flash Cookies: 108

========== Tache planifiée ==========
SUPPRIME Task: Ad-Aware Update (Weekly)


========== Récapitulatif ==========
3 : Processus mémoire
2 : Clé(s) du Registre
35 : Valeur(s) du Registre
13 : Dossier(s)
8 : Fichier(s)
1 : Tache planifiée


End of clean in 31mn AMs

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 4/15/2012 2:40:50 PM [73794]
C:\ZHP\ZHPFix[R2].txt - 4/15/2012 6:25:44 PM [6584]

Fish66 · Answer

Re,

Il me faut un autre rapport ZHPDiag (à héberger) après redémarrage 

de ton PC, merci

@+

NMD · Answer

re, 

rapport ZHPDiag : 
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120415_g12j14v15s9v9

++

Fish66 · Answer

Re,

* Est ce que ton antivirus MSE détecte encore le virus ?

* comment se comporte ton PC maintenant ?

@+

NMD · Answer

Re, 

Non bah depuis la combinaison mbam/roguekiller, il ne me détecte plus rien et les applications intempestives du démarrage ont disparu

le pc fonctionne sans problème.

un grand merci à toi Fish66.

++

Fish66 · Answer

Re,

De rien  :-)

Pour finir :


 Updatechecker :
Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour              
=========================================== 
**Nettoyage 

Suppression des outils de désinfections:
* Télécharge  Delfix   sur ton bureau.          
* Lance le, tape suppression puis valide          
* Patiente pendant le scan jusqu'à l'ouverture du rapport.          
* Copie/Colle le contenu du rapport dans ta prochaine réponse.          
Note : Le rapport se trouve également sous C:\DelFix.txt          
* Tu peux le desinstaller          

===========================================         
<code>Défragmentation : :
Défragmente tes disques dur par defraggler      
===========================================    

Nettoyage des fichiers et des clés de registre :
* Télécharge et installe CCleaner version Slim               
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis         
* Avancé et décoche la case Effacer uniquement les fichiers etc....         
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.         
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .         
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/         
Tu peux utiliser Ccleaner une fois par semaine        

===========================================    
Purger les points de restauration système:   

* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :   

Windows XP    

Windows Vista    

Windows 7    

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...   

===========================================    
Conseils :       
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules          
complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...         

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.          

3/ Un peu de lecture :        
* Les dangers du Peer-To-Peer, Emule etc..         
* Comment Sécuriser son ordinateur...        
*Pourquoi et comment je me fais infecter     

@+

Trojan Win32/comroki

22 réponses

Discussions similaires