Infection de mon ordinateur Résolu/Fermé

Question

Bonjour, 

J'ai reçu ce matin un mail d'"UPS" et comme je travaille parfois avec cette société je n'ai pas fait attention et j'ai ouvert la pièce jointe, un fichier .rar dans lequel il devait y avoir un virus.
Depuis, mon antivirus Avira n'arrête pas de me signaler que des virus sont présents sur l'ordi (plusieurs fenêtres Avira s'ouvrent à la suite). Je viens de lancer Malwarebytes et il a déjà détecté 2 éléments infectés.
Quelqu'un peut-il m'aider à supprimer ce ou ces virus ?
Merci d'avance.

loumax91 · Answer

Bonjour ELAZ5777

Poste le rapport Malwarebytes, stp.

ELAZ5777 · Answer

Bonjour,

On a déjà "collaboré" il me semble !!
Malawerbytes est en train de faire son analyse, je te l'envoie dès que c'est fini.
Merci de ton aide.

ELAZ5777 · Answer

Bonjour,

Ci-dessous le rapport 

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.14.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19222
Emmanuelle Lazko :: PC-ELAZKO [administrateur]

14/05/2012 10:47:37
mbam-log-2012-05-14 (14-14-33).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 370160
Temps écoulé: 3 heure(s), 26 minute(s), 5 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|urlmon (Trojan.Downloader) -> Données: "C:\Users\Emmanuelle Lazko\AppData\Local\urlmon.exe" -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Users\Emmanuelle Lazko\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DHBZLMJG\mmm[1].exe (Spyware.Agent) -> Aucune action effectuée.
C:\Users\Emmanuelle Lazko\AppData\Local	emp\2893ghd14h.tmp (Spyware.Agent) -> Aucune action effectuée.
C:\Users\Emmanuelle Lazko\AppData\Local\urlmon.exe (Trojan.Downloader) -> Aucune action effectuée.
C:\Users\Emmanuelle Lazko\Local Settings\Application Data\urlmon.exe (Trojan.Downloader) -> Aucune action effectuée.

(fin)

loumax91 · Answer

-Relance Malwarebytes, à la fin de l'analyse clique clique sur Afficher les résultats et ensuite sur supprimer la sélection
-Fais redémarrer l'ordinateur
-Poste le rapport dans ta prochaine réponse

A suivre :
Peux-tu utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

ELAZ5777 · Answer

J'avais déjà fait "supprimer la sélection" dans Malwarebytes lors du 1er scan, du coup j'ai fait un scan rapide dont tu trouveras le rapport ci-dessous.

Le lien du rapport de ZHPdiag  est 
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120514_g13c79d10c14

Rapport Malwarbytes :
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.14.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19222
Emmanuelle Lazko :: PC-ELAZKO [administrateur]

14/05/2012 14:37
mbam-log-2012-05-14 (14-37-03).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 191291
Temps écoulé: 5 minute(s), 11 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


Pour info, Malwerbytes ne trouve plus rien et pourtant les fenêtres Avira n'arrêtent pas de s'ouvrir.

ELAZ5777 · Answer

Le virus détecté par Avira est EXP/CVE-2010-4452"

!!

loumax91 · Answer

Ne panique pas, fais ZHPDiag et poste le lien du rapport ;)

ELAZ5777 · Answer

Voilà le rapport ZHPdiag
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120514_n9g7b12z6r6

loumax91 · Answer

Ok, fais ceci :
1) Utilise cet outil de désinfection spécifique aux logiciels publicitaires : 

¶ Télécharge AdwCleaner (de Xplode) sur ton Bureau.
¶ Lance le, clique sur Suppression puis patiente le temps du scan (voir).
¶ Une fois le scan terminé, un rapport s'ouvrira : poste le dans ta prochaine réponse.
Pour t'aider


A suivre :

. 2) Lance Malwarebytes,
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. A la fin de l'analyse, clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc redémarre ton pc.
. Poste le rapport dans ta prochaine réponse

ELAZ5777 · Answer

Bonjour,

Ci-dessous les rapports. Malwarebytes n'a rien détecté et pourtant les fenêtres Avira continuent de s'ouvrir.

# AdwCleaner v1.606 - Rapport créé le 14/05/2012 à 18:54:23
# Mis à jour le 10/05/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Emmanuelle Lazko - PC-ELAZKO
# Exécuté depuis : C:\Users\Emmanuelle Lazko\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Emmanuelle Lazko\AppData\Local\Babylon
Dossier Supprimé : C:\Users\Emmanuelle Lazko\AppData\Roaming\Babylon
Dossier Supprimé : C:\ProgramData\Babylon
Fichier Supprimé : C:\Windows\Uninstall.exe

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Babylon

***** [Registre - GUID] *****


***** [Navigateurs] *****

#NOM?

[OK] Le registre ne contient aucune entrée illégitime.

#NOM?

Nom du profil : default 
Fichier : C:\Users\Emmanuelle Lazko\AppData\Roaming\Mozilla\Firefox\Profiles\k123yybe.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1111 octets] - [14/05/2012 18:54:23]

########## EOF - C:\AdwCleaner[S1].txt - [1239 octets] ##########



Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.14.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19222
Emmanuelle Lazko :: PC-ELAZKO [administrateur]

14/05/2012 18:59
mbam-log-2012-05-14 (18-59-16).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 369752
Temps écoulé: 3 heure(s), 27 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

loumax91 · Answer

Bonjour

Refais une analyse ZHPDiag stp (héberge le rapport sur pjjoint)

ELAZ5777 · Answer

Ci-dessous le rapport
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120515_b69u7n14y8

loumax91 · Answer

Ce script va cibler certains éléments à supprimer : 
------------------------------------------------------------------------------------------- 
[MD5.00000000000000000000000000000000] [APT] [{2D0875F9-C7F2-4D07-92A6-DE9A9C384C83}] (...) -- C:\Users\Emmanuelle Lazko\Desktop\Envois colissimo\install_compagnon_1416.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [{C3DF6DD5-60CB-4B02-97D2-A271AB852ED7}] (...) -- C:\Users\Emmanuelle Lazko\Desktop\Envois colissimo\install_inet_2.700.exe (.not file.)  
[MD5.132E1C3A27E824EB6B120226AC368593] [SPRF][20/04/2012] (.Conduit - Pas de description.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\conduitinstaller.exe   [211032]  
[MD5.0BF369C8765A03092F0337D80BA519C6] [SPRF][29/03/2012] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\MyBabylonTB.exe   [862832]  
[MD5.48B667CCAE6FFCF407BB3CD8A90B37E2] [SPRF][20/02/2012] (.SweetIM Technologies Ltd. - SweetIM Installer by SweetPacks.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\Shortcut_SweetImSetup[1].exe   [375600]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}]      
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}  
[MD5.885E9EB42889CA547F4E3515DCDE5D3D] [SPRF][14/05/2006] (...) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\7za.exe [476672]
[MD5.8A4AF3B0695F29186AD02E2FD766FA3B] [SPRF][20/02/2012] (.SweetIM Technologies Ltd. - SQLite DLL.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\mgsqlite3.dll [393016]
[MD5.514B4609AD18D73CC06AF6F00E08E9C8] [SPRF][10/05/2012] (.Adobe Systems, Inc. - Adobe Flash Player 10.1 r52.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\push.exe [5203150]    
FirewallRAZ 
EmptyFlash 
EmptyTemp 
SysRestore 
------------------------------------------------------------------------------------------- 
¶ Sélectionne le script en entier (lignes en gras) et copie le (Edition --> Copier) 
¶ Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur" 
¶ Clique sur l'icône représentant la lettre H (« coller les lignes Helper ») 
¶ Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
¶ Clique sur le bouton « GO » pour lancer le nettoyage, 
¶ Copie/colle la totalité du rapport dans ta prochaine réponse 
Pour t'aider 

Poste le rapport et dis moi comment va le PC. 
"Celui qui aime à apprendre est bien près du savoir" (Confucius)

ELAZ5777 · Answer

Voilà le rapport :

Rapport de ZHPFix 1.2.05 par Nicolas Coolman, Update du 30/04/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-15-05-2012-17-27-23.txt
Run by Emmanuelle Lazko at 15/05/2012 17:27:23
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Emmanuelle Lazko\AppData\Local\Temp\conduitinstaller.exe
SUPPRIME Memory Process: C:\Users\Emmanuelle Lazko\AppData\Local\Temp\MyBabylonTB.exe

========== Clé(s) du Registre ==========
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}

========== Valeur(s) du Registre ==========
ABSENT [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 

========== Dossier(s) ==========
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME File***: c:\users\emmanuelle lazko\appdata\local	emp\conduitinstaller.exe
SUPPRIME File***: c:\users\emmanuelle lazko\appdata\local	emp\mybabylontb.exe
ABSENT Folder/File: c:\users\emmanuelle lazko\appdata\local	emp\shortcut_sweetimsetup
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {2D0875F9-C7F2-4D07-92A6-DE9A9C384C83}
SUPPRIME Task: {C3DF6DD5-60CB-4B02-97D2-A271AB852ED7}

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
2 : Processus mémoire
1 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Dossier(s)
5 : Fichier(s)
2 : Tache planifiée
1 : Restauration Système


End of clean in 00mn 24s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 15/05/2012 17:27:23 [1938]

loumax91 · Answer

Pour le PC, comment va t-il surf etc... ?

ELAZ5777 · Answer

Il va bien si ce n'est ces fenêtres Avira qui s'ouvrent à chaque fois que je lance un truc (pages internet, word, excel...)
Toujours pour me dire qu'un virus a été détecté...

loumax91 · Answer

-Fais une capture d'une alerte d'Avira 

-Fais une analyse Avira et poste le rapport sur pjjoint

ELAZ5777 · Answer

Comment j'envoie la capture d'écran ?

ELAZ5777 · Answer

Voilà pour la capture
https://www.cjoint.com/?3EpsCglhvC8

ELAZ5777 · Answer

Voilà pour le scan Avira
 https://pjjoint.malekal.com/files.php?id=20120515_o10k14w10b14v6

loumax91 · Answer

Rien dans le rapport Avira, refais une analyse ZHPDiag stp.

ELAZ5777 · Answer

Ci-dessous le rapport de ZHPdiag (en ouvrant ZHPdiag la petite fenêtre Avira s'est encore ouverte !!)
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120515_f14c9o13t11y9

Bonne soirée !

loumax91 · Answer

Ce script va cibler certains éléments à supprimer :
------------------------------------------------------------------------------------------- 
[MD5.885E9EB42889CA547F4E3515DCDE5D3D] [SPRF][14/05/2006] (...) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\7za.exe   [476672] 
[MD5.8A4AF3B0695F29186AD02E2FD766FA3B] [SPRF][20/02/2012] (.SweetIM Technologies Ltd. - SQLite DLL.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\mgsqlite3.dll   [393016] 
[MD5.514B4609AD18D73CC06AF6F00E08E9C8] [SPRF][10/05/2012] (.Adobe Systems, Inc. - Adobe Flash Player 10.1 r52.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\push.exe   [5203150] 
[MD5.48B667CCAE6FFCF407BB3CD8A90B37E2] [SPRF][20/02/2012] (.SweetIM Technologies Ltd. - SweetIM Installer by SweetPacks.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\Shortcut_SweetImSetup[1].exe   [375600] 
------------------------------------------------------------------------------------------- 
¶ Sélectionne le script en entier et copie le (Édition --> Copier)
¶ Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
¶ Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
¶ Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
¶ Clique sur le bouton « GO » pour lancer le nettoyage,
¶ Copie/colle la totalité du rapport dans ta prochaine réponse
Pour t'aider

ELAZ5777 · Answer

Bonjour,

Ci-dessous le rapport 
Rapport de ZHPFix 1.2.05 par Nicolas Coolman, Update du 30/04/2012
Fichier d'export Registre : 
Run by Emmanuelle Lazko at 16/05/2012 09:26:45
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Emmanuelle Lazko\AppData\Local\Temp\7za.exe
SUPPRIME Memory Process: C:\Users\Emmanuelle Lazko\AppData\Local\Temp\push.exe

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\Emmanuelle Lazko\AppData\Local\Temp\mgsqlite3.dll

========== Fichier(s) ==========
SUPPRIME File: c:\users\emmanuelle lazko\appdata\local	emp\7za.exe
SUPPRIME File: c:\users\emmanuelle lazko\appdata\local	emp\mgsqlite3.dll
SUPPRIME File: c:\users\emmanuelle lazko\appdata\local	emp\push.exe
ABSENT Folder/File: c:\users\emmanuelle lazko\appdata\local	emp\shortcut_sweetimsetup


========== Récapitulatif ==========
2 : Processus mémoire
1 : Module(s) mémoire
4 : Fichier(s)


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 15/05/2012 16:27:23 [1990]
C:\ZHP\ZHPFix[R2].txt - 16/05/2012 09:26:45 [1238]

loumax91 · Answer

Bonjour

Ouvre Avira et vide la quarantaine, tu feras de même avec Malwarebytes.
Ensuite dis moi si tu as toujours ces alertes.

ELAZ5777 · Answer

J'ai vidé les quarantaines et les messages d'alerte sont toujours là.
J'ai même l'impression qu'ils sont de plus en plus fréquents !!

loumax91 · Answer

Ok, désactive ton antivirus Avira et fais ce qui suis :

Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.

¶ Télécharge ComboFix (de sUBs) sur ton Bureau.
¶ Double-clique sur ComboFix.exe afin de le lancer.
¶ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¶ Ne touche à rien pendant le scan.
¶ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

ELAZ5777 · Answer

Voilà le rapport de combofix
ComboFix 12-05-16.01 - Emmanuelle Lazko 16/05/2012  12:21:14.1.2 - x86			
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3070.1747 [GMT 2:00]			
Lancé depuis: C:\Users\Emmanuelle Lazko\Desktop\ComboFix.exe			
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}			
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}			
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}			
			
			
(((((((((((((((((((((((((((((   Fichiers créés du 2012-04-16 au 2012-05-16  ))))))))))))))))))))))))))))))))))))			
			
			
2012-05-16 10:30:30 . 2012-05-16 10:30:30	--------	d-----w-	C:\Users\Public\AppData\Local	emp
2012-05-16 10:30:30 . 2012-05-16 10:30:30	--------	d-----w-	C:\Users\Default\AppData\Local	emp
2012-05-14 12:48:07 . 2012-05-16 07:26:45	--------	d-----w-	C:\ZHP
2012-05-14 12:47:19 . 2012-05-15 19:29:09	--------	d-----w-	C:\Program Files\ZHPDiag
.			
			
			
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))			
			
2012-05-16 11:50:39 . 2008-12-25 17:23:57	45056	----a-w-	C:\Windows\system32\acovcnt.exe
2012-04-04 13:56:40 . 2012-02-11 10:49:32	22344	----a-w-	C:\Windows\system32\drivers\mbam.sys
2012-03-23 07:42:23 . 2011-01-02 15:35:37	472808	----a-w-	C:\Windows\system32\deployJava1.dll
2012-02-29 15:11:45 . 2012-04-14 01:08:59	5120	----a-w-	C:\Windows\system32\wmi.dll
2012-02-29 15:11:42 . 2012-04-14 01:08:59	172032	----a-w-	C:\Windows\system32\wintrust.dll
2012-02-29 15:09:53 . 2012-04-14 01:08:59	157696	----a-w-	C:\Windows\system32\imagehlp.dll
2012-02-29 13:32:37 . 2012-04-14 01:08:59	12800	----a-w-	C:\Windows\system32\drivers\fs_rec.sys
2012-02-28 11:30:48 . 2012-04-13 07:15:08	916992	----a-w-	C:\Windows\system32\wininet.dll
2012-02-28 11:25:41 . 2012-04-13 07:15:04	43520	----a-w-	C:\Windows\system32\licmgr10.dll
2012-02-28 11:25:17 . 2012-04-13 07:15:04	1469440	----a-w-	C:\Windows\system32\inetcpl.cpl
2012-02-28 11:25:03 . 2012-04-13 07:15:04	71680	----a-w-	C:\Windows\system32\iesetup.dll
2012-02-28 11:25:03 . 2012-04-13 07:15:04	109056	----a-w-	C:\Windows\system32\iesysprep.dll
2012-02-28 10:07:57 . 2012-04-13 07:15:04	385024	----a-w-	C:\Windows\system32\html.iec
2012-02-28 08:12:52 . 2012-04-13 07:15:04	133632	----a-w-	C:\Windows\system32\ieUnatt.exe
2012-02-28 08:08:30 . 2012-04-13 07:15:03	1638912	----a-w-	C:\Windows\system32\mshtml.tlb
2012-02-27 08:48:36 . 2011-10-06 07:00:00	414368	----a-w-	C:\Windows\system32\FlashPlayerCPLApp.cpl
2008-07-02 02:28:38 . 2008-07-02 02:28:38	61440	----a-w-	C:\Program Files\Common Files\CPInstallAction.dll
			
			
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))			
			
			
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 			
REGEDIT4			
			
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]			
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"			
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]			
02/06/2007 00:08	143360	----a-w-	C:\Program Files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll
			
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]			
LightScribe Control Panel="C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 17:16:32 2363392]			
XSC SIP Client="C:\Program Files\Keyyo X-PRO\KeyyoXPRO.exe" [2004-11-30 16:58:18 3530752]			
ehTray.exe="C:\Windows\ehome\ehTray.exe" [2008-01-21 02:25:11 125952]			
swg="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-25 18:16:16 39408]			
			
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]			
CLMLServer="C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe" [2008-07-19 02:52:16 104936]			
P2Go_Menu="C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-06-14 01:11:32 210216]			
HControlUser="C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe" [2008-01-12 05:40:10 98304]			
ATKOSD2="C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe" [2008-07-15 18:29:00 7651328]			
NvCplDaemon="C:\Windows\system32\NvCpl.dll" [2008-07-25 08:30:59 13548064]			
NvMediaCenter="C:\Windows\system32\NvMcTray.dll" [2008-07-25 08:30:59 92704]			
RtHDVCpl="RtHDVCpl.exe" [2008-06-13 05:52:51 6183456]			
ATKMEDIA="C:\Program Files\ASUS\ATK Media\DMedia.exe" [2008-08-19 17:34:04 159744]		
ASUS Screen Saver Protector="C:\Windows\AsScrPro.exe" [2008-10-20 22:12:55 3054136]		
SynTPEnh="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-11-16 05:09:43 1029416]		
avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 11:08:11 209153]		
Adobe ARM="C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 07:37:53 843712]		
SunJavaUpdateSched="C:\Program Files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 13:02:04 254696]		
		
C:\Users\Emmanuelle Lazko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\		
Notification de cadeaux MSN.lnk - C:\Users\Emmanuelle Lazko\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2011-1-2 135680]		
		
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]		
EnableUIADesktopToggle= 0 (0x0)		
		
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]		
DisableMonitoring=dword:00000001		
		
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]			
DisableMonitoring=dword:00000001			
			
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]			
DisableMonitoring=dword:00000001			
			
S2 AdobeARMservice;Adobe Acrobat Update Service;C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 13:10:42 63928]			
			
			
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]			
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache	
			
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]			
09/06/2008 17:14	451872	----a-w-	C:\Program Files\Common Files\LightScribe\LSRunOnce.exe
			
Contenu du dossier 'Tâches planifiées'			
		
2012-05-16 C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job		
- C:\Program Files\Google\Update\GoogleUpdate.exe [2010-02-03 08:18:29 . 2010-02-02 21:25:26]		
		
2012-05-16 C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job		
- C:\Program Files\Google\Update\GoogleUpdate.exe [2010-02-03 08:18:29 . 2010-02-02 21:25:26]		
		
		
------- Examen supplémentaire -------		
		
uStart Page = hxxp://www.google.fr/		
IE: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000		
IE: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000		
TCP: DhcpNameServer = 192.168.1.1		
FF - ProfilePath - C:\Users\Emmanuelle Lazko\AppData\Roaming\Mozilla\Firefox\Profiles\k123yybe.default\		
FF - prefs.js: browser.search.selectedEngine - DAEMON Search		
FF - prefs.js: browser.startup.homepage - hxxp://www.daemon-search.com/startpage|https://www.msn.com/fr-fr		
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIAWB1&q=		
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}		
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension		
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}		
		
- - - - ORPHELINS SUPPRIMES - - - -		
		
AddRemove-USB2.0 1.3M UVC WebCam - C:\Windows\Uninstall.exe

loumax91 · Answer

*Télécharger SFT.exe (de Pierre13)

*Enregistrer le fichier sur le bureau.

*Sous Windows Vista/7:
    *Clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.
*Sous Windows XP:
    *Double cliquer sur le fichier.
   *Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer.

    http://tinypic.com/images/goodbye.jpg

    *Un rapport va s'ouvrir à la fin.
      *Héberger ce rapport sur cjoint.
    *Coller le lien sur le forum.
    *Le rapport se trouve sur le bureau (SFT.txt)

A suivre :
ESET ONLINE SCANNER

Télécharge  ESET Online Scanner sur ton Bureau en cliquant sur le logo :
http://download.eset.com/special/eos/esetsmartinstaller_enu.exe
    Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
    Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
    Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."

    Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
    Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":

    Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
    Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"

    Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
    Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse



Nota : ce scan peut être très long et prendre plusieurs heures.

ELAZ5777 · Answer

Bonjour,

Ci-dessous les 2 scans demandés hier :

https://www.cjoint.com/?BErl3fnVLrc

C:\ZHP\Quarantine\mybabylontb.exe.VIR

loumax91 · Answer

Bonjour

1) * Désinstalle Java via :
menu démarrer > panneau de configuration > programme et fonctionnalités 

2) * Lance CCleaner
* Clique sur Nettoyeur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
* Enfin, clique sur Registre > corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs. 

3) Télécharge et installe la dernière version de Java 
(à l'installation s'il t'es proposé la barre d'outils Ask, pense à la décocher)

Quand ce sera fait, dis moi si le problème persiste.

ELAZ5777 · Answer

Bonjour,

Désolée de ne pas avoir répondu avant, j'étais absente !
On dirait que depuis les dernières manipulations, les messages Avira ont disparu.
Je vais désinstaller Java et faire le nettoyage Ccleaner. Je laisse tourner jusqu'à demain et te dis ce qu'il en est lundi matin (ou avant si cela revient !)
Bon week-end !!

ELAZ5777 · Answer

Bonjour,

depuis les dernières manipulations, plus de messages d'alerte Avira.
Que dois-je faire maintenant ?

loumax91 · Answer

Bonjour

Fais une dernière analyse ZHPDiag et on finalise ;)
(pense à héberger le rapport sur pjjoint)

ELAZ5777 · Answer

Voilà le rapport 
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120521_y8u10w8e6g13

loumax91 · Answer

1) Mises à jour : 

-Vérifier si tu dispose de la dernière version d'Adobe Reader 10.1.3 ICI
Avant installation : panneau de configuration --> programmes et fonctionnalités --> cliques sur "Adobe Reader" et sur "supprimer"
Lorsque la désinstallation sera terminée installe la dernière version. 

-Ta version d'Internet Explorer est obsolète, télécharge la dernière version (IE9) ICI 

2) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.
Pour t'aider 

3) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel. 

Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitées par un programme malveillant.

4) Mise à jour des logiciels

> Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
> Télécharge le Ici
> Un tutoriel pour son utilisation est disponible Ici.

5) Vacciner les supports amovibles

*Télécharge MKV (créé par El Desaparecido) sur ton Bureau. 
    *Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement. 
    *Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir. 
    *Double clique sur MKV.exe. 
    *Clique sur Vacciner.

6) Vérification des disques

> Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
> Clique sur [Propriété] puis sur l'onglet [Outils]
> Clique sur [Vérifier maintenant] puis coche les deux cases présentes.
> Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage )

7) UAC ( Uniquement pour Vista/Seven )

Si tu as désactivé l'UAC, il est important de la réactiver.

-> Pourquoi garder l'UAC activée?

Liens utiles

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire

Bon surf  ;) 
(je te conseille de garder Malwarebyte's et de passer des scans complet de temps en temps, ne pas oublier de le mettre à jour avant un scan ;)
Et n'oublies pas de passer ton sujet en RÉSOLU.

ELAZ5777 · Answer

Bonjour,

Je viens de finir les mises à jour et tout est OK.
Encore merci pour ton aide !! :)

Infection de mon ordinateur

37 réponses

Discussions similaires