Analyse d'un rapport Hijackthis [Résolu/Fermé]

Signaler
-
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
-
Bonjour,

Désolé si ce message n'a pas sa place ici, je suis un peu perdu...

Mon antivirus (kaspersky 2011) a trouvé plusieurs virus sur ma machine hier, bien qu'il n'en trouve plus aujourd'hui, je ne peux m'empêcher de penser que je suis toujours infecté.

Après avoir parcouru plusieurs forums, je vois que le rapport Hijackthis revient souvent, ne sachant pas trop comment l'analyser, je m'en remet à vous ! Quelqu'un pourrait-il me décortiquer ce résultat ? :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:01:09, on 13/04/2012
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

<ital>Running processes:
C:\Windows\PixArt\Pac207\Monitor.exe
C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\Dofus 2\app\DofusMod.exe
C:\Program Files (x86)\Steam\Steam.exe
C:\Users\Nicolas\Desktop\hijackthis_telechargement_01net.exe
C:\Users\Nicolas\AppData\Local\Temp\01net\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddrnw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O3 - Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - (no file)
O3 - Toolbar: (no name) - !{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\RunOnce: [EasyTuneVI] C:\Program Files (x86)\Gigabyte\ET6\ETCall.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Ajouter à l'Anti-bannière - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: AppleChargerSrv - Unknown owner - C:\Windows\system32\AppleChargerSrv.exe (file missing)
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: JMB36X - Unknown owner - C:\Windows\SysWOW64\XSrvSetup.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: WireHelpSvc - Unknown owner - C:\Program Files\Common Files\WireHelpSvc.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

15 réponses

Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 222
Bonjour,

Si Kaspersky ne les trouve plus c'est qu'il les a surement supprimés.
Pour te rassurer on va faire un diagnostic de ton PC.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe en haut à gauche pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.

Smart
Merci beaucoup pour ta réponse si rapide et complète :-)

Voici le lien : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120413_y14j6e13q5e14
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 222
Il restes encore qulques traces et des barres d'outils inutiles. Lis bien le dossier ci-dessous:
Les Toolbars ce n'est pas obligatoires

Ensuite tu vas faire ceci:

- Télécharge sur ton bureau AdwCleaner de Xplode
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt

Tu peux poster le rapport directement dans ta réponse

Smart
Ok, merci bien !

Je suis déjà bien soulagé qu'il n'y ait plus de keylogger, c'est ce que l'antivirus avait éliminé et c'est ce qui m'embêtait le plus :-)

Merci pour l'article sur les Toolbars, c'est vrai qu'on a tendance a aller trop vite !

Voila le rapport AdwCleaner :

# AdwCleaner v1.505 - Rapport créé le 13/04/2012 à 02:27:51
# Mis à jour le 07/04/2012 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : Nicolas - NICOLAS-PC
# Exécuté depuis : C:\Users\Nicolas\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\Nicolas\AppData\Roaming\GetRightToGo
Dossier Présent : C:\Users\Nicolas\AppData\Local\Conduit
Dossier Présent : C:\Users\Nicolas\AppData\LocalLow\Conduit
Dossier Présent : C:\Program Files (x86)\Conduit
Fichier Présent : C:\Program Files (x86)\Mozilla Firefox\searchplugins\fcmdSrch.xml
Fichier Présent : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml

***** [H. Navipromo] *****


***** [Registre] *****

[*] Clé Présente : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Présente : HKCU\Software\DataMngr
Clé Présente : HKLM\SOFTWARE\Conduit
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Présente : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]

***** [Registre (x64)] *****

Clé Présente : HKCU\Software\DataMngr
Clé Présente : HKLM\SOFTWARE\DataMngr
Clé Présente : HKLM\SOFTWARE\Software
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Présente : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.facemoods.com/?a=ddrnw
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

-\\ Mozilla Firefox v11.0 (fr)

Nom du profil : default
Fichier : C:\Users\Nicolas\AppData\Roaming\Mozilla\FireFox\Profiles\4ljmz36m.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Nicolas\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [4696 octets] - [13/04/2012 02:27:51]

########## EOF - C:\AdwCleaner[R1].txt - [4824 octets] ##########
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 222
Relance AdwCleaner, choisis "Suppression" et poste le rapport

Smart
Bonjour,

Rapport AdwCleaner :

# AdwCleaner v1.505 - Rapport créé le 13/04/2012 à 13:42:18
# Mis à jour le 07/04/2012 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : Nicolas - NICOLAS-PC
# Exécuté depuis : C:\Users\Nicolas\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Nicolas\AppData\Roaming\GetRightToGo
Dossier Supprimé : C:\Users\Nicolas\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Nicolas\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Program Files (x86)\Conduit
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\fcmdSrch.xml
Fichier Supprimé : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml

***** [H. Navipromo] *****


***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]

***** [Registre (x64)] *****

Clé Supprimée : HKLM\SOFTWARE\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Software
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.facemoods.com/?a=ddrnw --> hxxp://www.google.fr
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 --> hxxp://www.google.fr

-\\ Mozilla Firefox v11.0 (fr)

Nom du profil : default
Fichier : C:\Users\Nicolas\AppData\Roaming\Mozilla\FireFox\Profiles\4ljmz36m.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Nicolas\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [4793 octets] - [13/04/2012 02:27:51]
AdwCleaner[S1].txt - [302 octets] - [13/04/2012 02:32:17]
AdwCleaner[S2].txt - [3942 octets] - [13/04/2012 13:42:18]

########## EOF - C:\AdwCleaner[S2].txt - [4070 octets] ##########


Merci encore :-)
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 222
Refais un scan ZHPDiag et poste le rapport vi pjjoint

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120415_p12u8t7z12s5
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 222
Bon il y a encore des traces. On va s'en occuper manuellement
Avant tout chose je voudrais que tu fasses ceci:

- Télécharge RegToolExport de Xplode sur ton bureau
- Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur")

- Copie- la ou les clés en gras ci-dessous
---------------------------------------------------
HKLM\SYSTEM\CurrentControlSet\Services

---------------------------------------------------

- Colle-la dans la zone de saisie

- Puis clique sur Exporter
- Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement
- A "nom de fichier", indique : Export_Date_heure.reg
- Clique sur Enregistrer
- Un message de bonne fin va apparaître "Clé exportée avec succès"
- La clé ainsi exportée Export_Date_heure.reg Export_Date_heure.reg se trouvera sur le bureau
- Poste ce fichier via cijoint

Ensuite;

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[HKCU\Software\DC3_FEXEC]
[MD5.710A92AA515AEE7ECF3833C89871CA86] [SPRF][9/10/2011] (...) -- C:\Users\Nicolas\AppData\Roaming\logs.dat [30903]



----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Et redémarre ton PC

Smart
Bonjour,

tout d'abord, merci encore pour le temps que tu m'accordes. Quand tu dis qu'il reste des traces, cela veut-il dire qu'il y a encore un risque ? Jouant a plusieurs jeux en ligne c'est vraiment le keylogger qui me fait peur ^^, voici les rapports :

fichier Regtool : http://cjoint.com/?3DpljFISGwq

Rapport ZHPFix :

Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre :
Run by Nicolas at 15/04/2012 11:12:05
Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\DC3_FEXEC

========== Fichier(s) ==========
SUPPRIME File: C:\Users\Nicolas\AppData\Roaming\logs.dat


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 15/04/2012 11:12:05 [613]



Merci pour tout !
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 222
Refait un dernier scan ZHPDiag, poste le rapport via pjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart
Ok ! , voici voila : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120415_s14c9x9d11z13
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 222
OK.

Fais la mise à jour suivante:
Mise à jour vers Adobe Reader 10.1.2
Lance Adobe Reader > Clique sur Aide puis recherche des mises à jour

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]
[MD5.00000000000000000000000000000000] [APT] [{146491BB-4DD8-47F7-BE53-209DBF7EFBA5}] (...) -- C:\Users\Nicolas\Downloads\UrbanTerror411.exe (.not file.)
O43 - CFD: 22/09/2011 - 18:19:20 - [0] ----D C:\Users\Nicolas\AppData\Local\{00ABC6D8-0DCC-4F11-974A-0A54FBCB141A}
O43 - CFD: 1/04/2012 - 02:53:53 - [0] ----D C:\Users\Nicolas\AppData\Local\{08E34090-74E7-4DA0-B6D0-DED95FA91919}
O43 - CFD: 6/10/2011 - 21:29:06 - [0] ----D C:\Users\Nicolas\AppData\Local\{0BF589AE-50B9-4B9F-9072-C2CC5F9E68FC}
O43 - CFD: 23/02/2012 - 22:33:25 - [0] ----D C:\Users\Nicolas\AppData\Local\{109BDE47-15BD-420E-AF9D-D8BBDA55A50F}
O43 - CFD: 4/10/2011 - 16:37:00 - [0] ----D C:\Users\Nicolas\AppData\Local\{1283E3BD-AFAB-45E8-A0C1-32D13A6FB66A}
O43 - CFD: 25/09/2011 - 00:41:26 - [0] ----D C:\Users\Nicolas\AppData\Local\{13E6FDAA-2135-4E2B-B3D3-413A16513DF5}
O43 - CFD: 23/09/2011 - 17:59:27 - [0] ----D C:\Users\Nicolas\AppData\Local\{21F9CCF5-8133-4D80-BBE1-64F682FAAB7E}
O43 - CFD: 13/10/2011 - 21:08:13 - [0] ----D C:\Users\Nicolas\AppData\Local\{2AFF5851-5A24-4463-974F-0AF3A3186523}
O43 - CFD: 5/10/2011 - 19:37:18 - [0] ----D C:\Users\Nicolas\AppData\Local\{332FBE5B-29C9-48DC-B0C4-C4ABD906984B}
O43 - CFD: 11/04/2012 - 02:30:56 - [0] ----D C:\Users\Nicolas\AppData\Local\{34A2D249-4C3B-45D0-81F4-6EEB07D2788F}
O43 - CFD: 23/09/2011 - 17:59:15 - [0] ----D C:\Users\Nicolas\AppData\Local\{34CEE7A5-31DF-4696-8836-A93C8FA5D64B}
O43 - CFD: 21/09/2011 - 14:31:10 - [0] ----D C:\Users\Nicolas\AppData\Local\{3A218A9F-E413-4E7D-BD1F-890BA3BBE796}
O43 - CFD: 28/09/2011 - 12:11:41 - [0] ----D C:\Users\Nicolas\AppData\Local\{3B088E47-BD31-46B9-B9D7-C4C1EE445AD7}
O43 - CFD: 21/09/2011 - 14:31:11 - [0] ----D C:\Users\Nicolas\AppData\Local\{3EC576FF-1273-40CB-92C6-2CB6165A7BE6}
O43 - CFD: 21/09/2011 - 14:31:21 - [0] ----D C:\Users\Nicolas\AppData\Local\{555AA803-F9F3-4D20-96A8-FD04930A3700}
O43 - CFD: 13/10/2011 - 21:08:24 - [0] ----D C:\Users\Nicolas\AppData\Local\{5B8931B9-38C5-4C4D-B9F5-E8F36E8D6C97}
O43 - CFD: 24/09/2011 - 22:01:31 - [0] ----D C:\Users\Nicolas\AppData\Local\{6054BCDF-C426-4D45-9A9E-8141BBB5C715}
O43 - CFD: 1/04/2012 - 14:54:17 - [0] ----D C:\Users\Nicolas\AppData\Local\{78890E3D-5115-4345-8B3F-20E6D8BC1AD2}
O43 - CFD: 4/04/2012 - 16:19:51 - [0] ----D C:\Users\Nicolas\AppData\Local\{87535094-34B9-49F0-BA33-135799BA4834}
O43 - CFD: 19/09/2011 - 16:14:25 - [0] ----D C:\Users\Nicolas\AppData\Local\{9C81624F-8F30-4899-AB22-CA5B54551925}
O43 - CFD: 3/04/2012 - 22:35:20 - [0] ----D C:\Users\Nicolas\AppData\Local\{9ED6ECB7-7591-418A-ACC2-9EA9CB93FD83}
O43 - CFD: 5/10/2011 - 19:37:29 - [0] ----D C:\Users\Nicolas\AppData\Local\{A6710F89-84FE-4329-A322-6A489C069DB8}
O43 - CFD: 28/09/2011 - 12:11:29 - [0] ----D C:\Users\Nicolas\AppData\Local\{B7EC0839-2876-4DEC-8F26-C534EFFAED1F}
O43 - CFD: 19/09/2011 - 16:13:54 - [0] ----D C:\Users\Nicolas\AppData\Local\{BDEB0368-E1DC-4232-AF0C-A9F35D68F004}
O43 - CFD: 23/02/2012 - 22:33:37 - [0] ----D C:\Users\Nicolas\AppData\Local\{C0B3829B-4A95-4343-BE71-2D3E1AADDB10}
O43 - CFD: 6/10/2011 - 21:29:17 - [0] ----D C:\Users\Nicolas\AppData\Local\{DD21BE73-705D-43C9-BEEF-EC2956F0929A}
O43 - CFD: 8/04/2012 - 04:10:11 - [0] ----D C:\Users\Nicolas\AppData\Local\{EF3D4BFA-3049-48E6-87C7-E4FF63F623C2}
O43 - CFD: 25/09/2011 - 00:41:15 - [0] ----D C:\Users\Nicolas\AppData\Local\{F637AE65-2EA6-459B-BD17-91DFF2016749}
O43 - CFD: 4/10/2011 - 16:36:48 - [0] ----D C:\Users\Nicolas\AppData\Local\{F74DD715-6076-4262-9C9D-E36448A81836}
O43 - CFD: 24/09/2011 - 22:01:32 - [0] ----D C:\Users\Nicolas\AppData\Local\{FBC65D7E-779D-4F8E-9120-D3197CDF3A64}


----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Il est nécessaire de désactiver puis réactiver la restauration système de Windows 7 pour la purger

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait.

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

Installe l'extension de sécurité adblock plus pour bloquer les publicités
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent des adwares HOSTS Anti-PUPs/Adware
Voici un tuto pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites désinstaller HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu peux aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commande.

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up publicitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart
Ok merci :-)

Bête comme je suis, j'ai fais la démarche avec ZHPFix, puis celle avec DelFix, qui a malheureusement supprimé le rapport que je ne peux donc plus te coller :/

mais voici le rapport DelFix :

# DelFix v8.8 - Rapport créé le 15/04/2012 à 14:53:55
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : Nicolas - NICOLAS-PC (Administrateur)
# Exécuté depuis : C:\Users\Nicolas\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Nicolas\Desktop\adwcleaner.exe
Supprimé : C:\Users\Nicolas\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Nicolas\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Nicolas\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1271 octets] - [15/04/2012 14:53:55]

########## EOF - C:\DelFix[S1].txt - [1395 octets] ##########

Merci beaucoup, j'ai fais les mises à jours, j'ai installé les extensions firefox que tu as cité, et ccleaner cela fait un bail que je l'utilise :-) Merci pour tous les conseils et le temps que tu passes pour aider tout le monde !
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 222
Heureux de t'avoir aidé

Smart