Ordi infesté par un trojan ?Fermé

Question

Bonjour, 

voilà, je pense avoir un souci avec mon ordi. Ce qui m'a alerté c'est qu'il fait un petit bruit "bip-bip" qui ressemble à un bruit d'antivirus, et je n'arrive pas à voir d'où ça vient... Depuis hier.
Aujourd'hui, j'ai voulu ouvrir le centre de sécurité Windows et il me dit qu'il est impossible de l'ouvrir... Si je vais sur mon antivirus (Avira) il me dit qu'il est activé... je suis en train de relancer un scan en ce moment.
Par contre, dans le dossier de quarantaine, il y a des fichiers datant du 4 juin et intitulés TR/Crypt.ZPACK.Gen7

Est-ce que quelqu'un peut m'aider à résoudre ce problème ?
D'avance un grand merci !

Configuration: Windows Vista / Firefox 13.0.1

ptitecam · Answer

Bon le scan est encore en cours, mais a priori il y a bien des choses pas très clean sur mon ordi...
J'essaie de copier une partie du rapport...

N° Nom Type Dommages potentiels Date Détection 
1 Adware/MediaG.B.1.D Malware Level 1 20 juin 2012 18 juin 2012 
2 Adware/MediaG.B.1.C Malware Level 1 20 juin 2012 18 juin 2012 
3 Adware/PCMeg.C Malware Level 3 20 juin 2012 18 juin 2012 
4 EXP/2012-0507.AW.2 Exploit Level 3 19 juin 2012 18 juin 2012 
5 TR/Agent.smtu Trojan Level 1 19 juin 2012 17 juin 2012 
6 JS/Blackhole.B Malware Level 1 19 juin 2012 18 juin 2012 
7 TR/Rogue.kdv.651763 Trojan Level 1 18 juin 2012 17 juin 2012 
8 TR/Rogue.kdv.651759 Trojan Level 1 18 juin 2012 16 juin 2012 
9 TR/Gendal.4919608 Trojan Level 2 18 juin 2012 14 juil. 2011 
10 APPL/Yabector.Gen5 Malware Level 1 16 juin 2012 voir ci 
11 Adware/Multplug.A.1 Malware Level 1 16 juin 2012 14 juin 2012 
12 EXP/CVE-2012-1889 Exploit Level 2 15 juin 2012 voir ci 
13 Adware/Zugo.G Malware Level 1 15 juin 2012 12 avr. 2012 
14 EXP/Pidief.dcj Exploit Level 2 15 juin 2012 13 juin 2012 
15 EXP/10-0840.CH.1 Exploit Level 3 15 juin 2012 18 avr. 2012 
16 EXP/CVE-2012-0507.BK Exploit Level 3 15 juin 2012 13 juin 2012 
17 EXP/2012-0507.DT Exploit Level 3 15 juin 2012 8 juin 2012 
18 EXP/2012-0507.DO Exploit Level 3 15 juin 2012 8 juin 2012 
19 EXP/CVE-2012-0507.BL Exploit Level 3 15 juin 2012 13 juin 2012 
20 HTML/Rce.Gen3 Malware Level 1 13 juin 2012 voir ci 
21 SPR/Depanlock.A Security Privacy Risk Level 1 13 juin 2012 12 juin 2012 
22 EXP/12-0507.CJ.1 Exploit Level 3 13 juin 2012 31 mai 2012 
23 EXP/12-0507.DE Exploit Level 3 13 juin 2012 12 juin 2012 
24 EXP/12-0507.CK.1 Exploit Level 3 13 juin 2012 31 mai 2012 
25 EXP/12-0507.BV.1 Exploit Level 3 13 juin 2012 30 mai 2012 

Ce que je comprend pas, c'est que l'antivirus ne m'a jamais rien signalé...

ptitecam · Answer

Voilà, le scan est terminé, je poste le résultat ici à tout hasard, si quelqu'un peut m'éclairer :) J'ai également lancé un scan Malware bytes, j'attend les résultats. Merci en tout cas ! Avira AntiVir Personal Date de création du fichier de rapport : jeudi 21 juin 2012 12:08 La recherche porte sur 3857201 souches de virus. Le programme fonctionne en version intégrale illimitée. Les services en ligne sont disponibles. Détenteur de la licence : Avira AntiVir Personal - Free Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (Service Pack 2) [6.0.6002] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : PC-DE-ADDEAR38 Informations de version : BUILD.DAT : 10.2.0.165 35934 Bytes 30/01/2012 15:45:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 08/09/2011 07:25:56 AVSCAN.DLL : 10.0.5.0 56680 Bytes 08/09/2011 07:25:56 LUKE.DLL : 10.3.0.5 45416 Bytes 08/09/2011 07:25:56 LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 08/09/2011 07:25:56 AVREG.DLL : 10.3.0.9 88833 Bytes 08/09/2011 07:25:56 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 13:29:37 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 09:25:12 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 08:10:04 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 12:43:09 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 07:02:59 VBASE005.VDF : 7.11.29.136 2166272 Bytes 10/05/2012 10:23:22 VBASE006.VDF : 7.11.29.137 2048 Bytes 10/05/2012 10:23:22 VBASE007.VDF : 7.11.29.138 2048 Bytes 10/05/2012 10:23:22 VBASE008.VDF : 7.11.29.139 2048 Bytes 10/05/2012 10:23:22 VBASE009.VDF : 7.11.29.140 2048 Bytes 10/05/2012 10:23:22 VBASE010.VDF : 7.11.29.141 2048 Bytes 10/05/2012 10:23:22 VBASE011.VDF : 7.11.29.142 2048 Bytes 10/05/2012 10:23:23 VBASE012.VDF : 7.11.29.143 2048 Bytes 10/05/2012 10:23:23 VBASE013.VDF : 7.11.29.144 2048 Bytes 10/05/2012 10:23:23 VBASE014.VDF : 7.11.30.3 198144 Bytes 14/05/2012 07:20:25 VBASE015.VDF : 7.11.30.69 186368 Bytes 17/05/2012 07:20:26 VBASE016.VDF : 7.11.30.143 223744 Bytes 21/05/2012 07:14:15 VBASE017.VDF : 7.11.30.207 287744 Bytes 23/05/2012 07:14:17 VBASE018.VDF : 7.11.31.57 188416 Bytes 28/05/2012 07:09:31 VBASE019.VDF : 7.11.31.111 214528 Bytes 30/05/2012 07:43:57 VBASE020.VDF : 7.11.31.151 116736 Bytes 31/05/2012 07:43:57 VBASE021.VDF : 7.11.31.205 134144 Bytes 03/06/2012 07:43:57 VBASE022.VDF : 7.11.32.9 169472 Bytes 05/06/2012 07:05:07 VBASE023.VDF : 7.11.32.85 155648 Bytes 08/06/2012 07:05:00 VBASE024.VDF : 7.11.32.133 127488 Bytes 11/06/2012 07:04:07 VBASE025.VDF : 7.11.32.171 182784 Bytes 12/06/2012 13:05:26 VBASE026.VDF : 7.11.32.251 119296 Bytes 14/06/2012 07:03:22 VBASE027.VDF : 7.11.33.83 159232 Bytes 18/06/2012 07:13:44 VBASE028.VDF : 7.11.33.84 2048 Bytes 18/06/2012 07:13:45 VBASE029.VDF : 7.11.33.85 2048 Bytes 18/06/2012 07:13:45 VBASE030.VDF : 7.11.33.86 2048 Bytes 18/06/2012 07:13:45 VBASE031.VDF : 7.11.33.150 132096 Bytes 21/06/2012 07:13:49 Version du moteur : 8.2.10.94 AEVDF.DLL : 8.1.2.8 106867 Bytes 07/06/2012 07:05:10 AESCRIPT.DLL : 8.1.4.26 450939 Bytes 14/06/2012 13:05:31 AESCN.DLL : 8.1.8.2 131444 Bytes 27/01/2012 17:30:18 AESBX.DLL : 8.2.5.12 606578 Bytes 14/06/2012 13:05:31 AERDL.DLL : 8.1.9.15 639348 Bytes 12/09/2011 07:09:38 AEPACK.DLL : 8.2.16.18 807287 Bytes 14/06/2012 13:05:30 AEOFFICE.DLL : 8.1.2.36 201082 Bytes 14/06/2012 13:05:30 AEHEUR.DLL : 8.1.4.50 4911479 Bytes 21/06/2012 07:14:46 AEHELP.DLL : 8.1.21.0 254326 Bytes 11/05/2012 10:23:24 AEGEN.DLL : 8.1.5.30 422261 Bytes 14/06/2012 13:05:27 AEEXP.DLL : 8.1.0.52 82293 Bytes 14/06/2012 13:05:31 AEEMU.DLL : 8.1.3.0 393589 Bytes 30/11/2010 08:24:13 AECORE.DLL : 8.1.25.10 201080 Bytes 07/06/2012 07:05:08 AEBB.DLL : 8.1.1.0 53618 Bytes 27/04/2010 06:38:25 AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56 AVPREF.DLL : 10.0.3.2 44904 Bytes 08/09/2011 07:25:56 AVREP.DLL : 10.0.0.10 174120 Bytes 19/05/2011 07:13:01 AVARKT.DLL : 10.0.26.1 255336 Bytes 08/09/2011 07:25:56 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 08/09/2011 07:25:56 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56 NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 08/09/2011 07:25:55 RCTEXT.DLL : 10.0.64.0 100712 Bytes 08/09/2011 07:25:55 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp Documentation.................................: par défaut Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Programmes en cours étendus...................: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: avancé Début de la recherche : jeudi 21 juin 2012 12:08 La recherche d'objets cachés commence. La recherche sur les processus démarrés commence : Processus de recherche 'avcenter.exe' - '75' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '30' module(s) sont contrôlés Processus de recherche 'vssvc.exe' - '49' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '80' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '28' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '56' module(s) sont contrôlés Processus de recherche 'PDFXCview.exe' - '48' module(s) sont contrôlés Processus de recherche 'WINWORD.EXE' - '97' module(s) sont contrôlés Processus de recherche 'hphc_service.exe' - '39' module(s) sont contrôlés Processus de recherche 'plugin-container.exe' - '80' module(s) sont contrôlés Processus de recherche 'thunderbird.exe' - '107' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '21' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '97' module(s) sont contrôlés Processus de recherche 'wmpnetwk.exe' - '66' module(s) sont contrôlés Processus de recherche 'soffice.bin' - '89' module(s) sont contrôlés Processus de recherche 'unsecapp.exe' - '28' module(s) sont contrôlés Processus de recherche 'soffice.exe' - '17' module(s) sont contrôlés Processus de recherche 'ONENOTEM.EXE' - '18' module(s) sont contrôlés Processus de recherche 'WZQKPICK.EXE' - '20' module(s) sont contrôlés Processus de recherche 'SSScheduler.exe' - '24' module(s) sont contrôlés Processus de recherche 'StickyPad.exe' - '39' module(s) sont contrôlés Processus de recherche 'wmpnscfg.exe' - '29' module(s) sont contrôlés Processus de recherche 'p2phost.exe' - '67' module(s) sont contrôlés Processus de recherche 'Skype.exe' - '90' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '107' module(s) sont contrôlés Processus de recherche 'TeaTimer.exe' - '38' module(s) sont contrôlés Processus de recherche 'sidebar.exe' - '53' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '29' module(s) sont contrôlés Processus de recherche 'wmiprvse.exe' - '34' module(s) sont contrôlés Processus de recherche 'hpwuSchd2.exe' - '16' module(s) sont contrôlés Processus de recherche 'PMVService.exe' - '45' module(s) sont contrôlés Processus de recherche 'CLMLSvc.exe' - '49' module(s) sont contrôlés Processus de recherche 'PCMAgent.exe' - '49' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '31' module(s) sont contrôlés Processus de recherche 'nvraidservice.exe' - '34' module(s) sont contrôlés Processus de recherche 'hpsysdrv.exe' - '13' module(s) sont contrôlés Processus de recherche 'Explorer.EXE' - '164' module(s) sont contrôlés Processus de recherche 'Dwm.exe' - '35' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '80' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '49' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '63' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '33' module(s) sont contrôlés Processus de recherche 'avshadow.exe' - '33' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '47' module(s) sont contrôlés Processus de recherche 'LSSrvc.exe' - '23' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '28' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '75' module(s) sont contrôlés Processus de recherche 'sched.exe' - '55' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '91' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '96' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '46' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '101' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '23' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '37' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '149' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '103' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '63' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '40' module(s) sont contrôlés Processus de recherche 'nvvsvc.exe' - '26' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '40' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '37' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '22' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '59' module(s) sont contrôlés Processus de recherche 'services.exe' - '35' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '26' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '1247' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\Users\addear38\AppData\Local\Temp\22123219.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen C:\Windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\U\00000001.@ [RESULTAT] Contient le cheval de Troie TR/Small.FI C:\Windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\U\80000000.@ [RESULTAT] Contient le cheval de Troie TR/Sirefef.AG.35 C:\Windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\U\800000cb.@ [RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2 C:\Windows\SoftwareDistribution\Download\69bea2bed5a5ee2ff732854dbfa0e304ee96e020 [0] Type d'archive: Portable Executable Resource --> object [1] Type d'archive: CAB (Microsoft) --> WriterProdLang.7z [2] Type d'archive: 7-Zip --> WriterProdLang.cab [3] Type d'archive: CAB (Microsoft) --> writerprodlang.msi [AVERTISSEMENT] Impossible de lire le fichier ! --> object [1] Type d'archive: CAB (Microsoft) --> LanguageSelector64.7z [2] Type d'archive: 7-Zip --> LanguageSelector64.cab [3] Type d'archive: CAB (Microsoft) --> LanguageSelector64.msi [AVERTISSEMENT] Impossible de lire le fichier ! Recherche débutant dans 'D:\' Début de la désinfection : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA C:\Windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\U\800000cb.@ [RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '551283b7.qua' ! C:\Windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\U\80000000.@ [RESULTAT] Contient le cheval de Troie TR/Sirefef.AG.35 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d85ac11.qua' ! C:\Windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\U\00000001.@ [RESULTAT] Contient le cheval de Troie TR/Small.FI [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '1fdaf6f9.qua' ! C:\Users\addear38\AppData\Local\Temp\22123219.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '79eab939.qua' ! Fin de la recherche : jeudi 21 juin 2012 15:35 Temps nécessaire: 3:26:44 Heure(s) La recherche a été effectuée intégralement 36193 Les répertoires ont été contrôlés 1069991 Des fichiers ont été contrôlés 4 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 4 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 0 Impossible de scanner des fichiers 1069987 Fichiers non infectés 10580 Les archives ont été contrôlées 2 Avertissements 4 Consignes 705090 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

juju666 · Answer

Salut, Stoppe le scanne Malwarebytes pour le moment, il sera inefficace contre l'infection Sirefef que tu as. On le relancera après. /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur A+

ptitecam · Answer

Merci de ton aide !
Voici donc le rapport de Combofix :

ComboFix 12-06-21.01 - addear38 21/06/2012  16:07:04.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Basique   6.0.6002.2.1252.33.1036.18.1790.895 [GMT 2:00]
Lancé depuis: c:\users\addear38\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\addear38\2000.jpg
c:\users\addear38\AppData\Local\{b2961d79-2751-f37f-b784-e6f324b67153}
c:\users\addear38\AppData\Local\{b2961d79-2751-f37f-b784-e6f324b67153}\@
c:\users\addear38\AppData\Local\{b2961d79-2751-f37f-b784-e6f324b67153}

c:\windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}
c:\windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\@
c:\windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}

c:\windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\U\00000001.@
c:\windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\U\80000000.@
c:\windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\U\800000cb.@
.
Une copie infectée de c:\windows\system32\services.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\32788r22fwjfw\HarddiskVolumeShadowCopy9_!Windows!System32!services.exe 
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-05-21 au 2012-06-21  ))))))))))))))))))))))))))))))))))))
.
.
2012-06-21 14:17 . 2012-06-21 14:22	--------	d-----w-	c:\users\addear38\AppData\Local	emp
2012-06-21 14:17 . 2012-06-21 14:17	--------	d-----w-	c:\users\Laure\AppData\Local	emp
2012-06-21 14:17 . 2012-06-21 14:17	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-06-21 09:58 . 2012-06-21 10:02	--------	d-----w-	c:\users\addear38\AppData\Roaming\U3
2012-06-21 07:06 . 2012-06-21 07:06	770384	----a-w-	c:\program files\Mozilla Firefox\msvcr100.dll
2012-06-21 07:06 . 2012-06-21 07:06	421200	----a-w-	c:\program files\Mozilla Firefox\msvcp100.dll
2012-06-19 07:21 . 2012-05-31 03:41	6762896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{8B67ED82-E2E6-482C-A9C1-C2E07B251CB2}\mpengine.dll
2012-06-19 07:01 . 2012-06-19 07:02	--------	d-----w-	C:\d325abdcac6dd44b823dae99
2012-06-04 14:25 . 2012-06-04 14:25	--------	d-----w-	c:\programdata\INRAtion 4.0
2012-06-04 14:25 . 2012-06-04 14:25	--------	d-----w-	c:\program files\Common Files\PC SOFT
2012-06-04 14:24 . 2012-06-04 14:24	--------	d-----w-	c:\users\addear38\AppData\Local\WDSetup
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-14 07:01 . 2012-05-14 07:01	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-14 07:01 . 2011-11-22 08:06	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-04 13:56 . 2011-05-19 07:14	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-04-03 08:16 . 2012-05-14 07:08	3602816	----a-w-	c:\windows\system32
tkrnlpa.exe
2012-04-03 08:16 . 2012-05-14 07:08	3550080	----a-w-	c:\windows\system32
toskrnl.exe
2012-03-30 12:39 . 2012-05-14 07:09	905600	----a-w-	c:\windows\system32\drivers	cpip.sys
2012-06-21 07:06 . 2012-02-27 14:43	85472	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-02-22 26101032]
"CollaborationHost"="c:\windows\system32\p2phost.exe" [2008-01-21 192000]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Sticky Pad"="c:\program files\StickyPad\StickyPad.exe" [2010-10-17 516153]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\program files\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
"NVRaidService"="c:\windows\system32
vraidservice.exe" [2008-10-03 203296]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-18 13683232]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-18 92704]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-12-04 75016]
"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]
"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePSTShortCut"="c:\program files\CyberLink\CyberLink DVD Suite Deluxe\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]
"PCMAgent"="c:\program files\CyberLink\PowerCinema\PCMAgent.exe" [2008-09-19 148712]
"CLMLServer"="c:\program files\Cyberlink\PowerCinema\Kernel\CLML\CLMLSvc.exe" [2008-09-19 196608]
"PlayMovie"="c:\program files\CyberLink\PlayMovie\PMVService.exe" [2008-10-09 177384]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
.
c:\users\addear38\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2010-4-5 494920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-14 257696]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'
.
2012-06-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-14 07:01]
.
2012-06-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-30 12:02]
.
2012-06-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-30 12:02]
.
2009-05-11 c:\windows\Tasks\PCDRScheduledMaintenance.job
- c:\program files\PC-Doctor for Windows\pcdr5cuiw32.exe [2008-11-05 17:33]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/firefox
uDefault_Search_URL = hxxp://fr.udark.com
uSearchMigratedDefaultURL = hxxp://www.udark.com/searchindex.php?q={searchTerms}&chercher=Rechercher&type=web
mStart Page = hxxp://fr.udark.com
uSearchAssistant = hxxp://fr.udark.com
uSearchURL,(Default) = hxxp://fr.udark.com
IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbaresources\fr-FR\local\search.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\addear38\AppData\Roaming\Mozilla\Firefox\Profiles\w9w551zb.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.udark.com/searchindex.php?q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=f8f80f2900000000000000248c135fe6&tlver=1.4.35.10&affID=101283
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-HPAdvisor - c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe
AddRemove-sp41121 - c:\hp\Softpaq\sp41121\sp41121.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-21 16:21
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MpsSvc]
"ImagePath"="."
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{BD6912E3-AC9D80E8-05040000}]
"ImagePath"="\??\c:\progra~1\PC-DOC~1\PCD5SRVC.pkms"
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32
vvsvc.exe
c:\windows\system32undll32.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Spybot - Search & Destroy\SDWinSec.exe
c:\windows\system32\WUDFHost.exe
c:\windows\System32undll32.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2012-06-21  16:29:23 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-06-21 14:29
.
Avant-CF: 200 616 710 144 octets libres
Après-CF: 201 260 417 024 octets libres
.
- - End Of File - - BD4190CEDCD44915EE820E14E9F41A6A

juju666 · Answer

OK.

Sirefef 0 - 1 combofix 

:P

~~

Désinstalle Spybot il vaut rien 

~~

Attention à ce que tu installes et où tu télécharge !
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Lors de l'installation, attention à ce que tu installes, lire et décocher les programmes additionnels.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

Tu as installé la toolbar babylon qui sert à rien.

Désinstalle si tu la vois dans ton panneau de configuration -> programmes et fonctionnalités.

Ensuite :

&#9654 Télécharge sur cette page : AdwCleaner (de Xplode) 

&#9654 Une fois téléchargé, clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

A+

ptitecam · Answer

Merci beaucoup !!
Oui pour ces logiciels/barres d'outil additionnelles etc, j'essaie de faire attention, mais je sais que la Babylon était passée au travers un coup et j'ai jamais vraiment réussi à la désinstaller entièrement...

Donc voici le rapport de Adw Cleaner :

# AdwCleaner v1.609 - Rapport créé le 21/06/2012 à 16:44:59
# Mis à jour le 10/06/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
# Nom d'utilisateur : addear38 - PC-DE-ADDEAR38
# Exécuté depuis : C:\Users\addear38\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\addear38\AppData\Local\Babylon
Dossier Supprimé : C:\Users\addear38\AppData\Roaming\Babylon
Dossier Supprimé : C:\ProgramData\Babylon
Fichier Supprimé : C:\Users\addear38\AppData\Roaming\Mozilla\Firefox\Profiles\w9w551zb.default\searchplugins\Askcom.xml
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\Ask.com.tmp
Clé Supprimée : HKCU\Software\pdfforge.org
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\pdfforge.org
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.19272

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?babsrc=NT_ss&affID=101283&mntrId=f8f80f2900000000000000248c135fe6 --> hxxp://www.google.com

-\ Mozilla Firefox v13.0.1 (fr)

Nom du profil : default 
Fichier : C:\Users\addear38\AppData\Roaming\Mozilla\Firefox\Profiles\w9w551zb.default\prefs.js

Supprimée : user_pref("browser.search.defaultengine", "Ask.com");
Supprimée : user_pref("browser.search.defaultenginename", "Ask.com");
Supprimée : user_pref("browser.search.order.1", "Ask.com");
Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar.babTrack", "affID=101283");
Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 20);
Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Supprimée : user_pref("extensions.BabylonToolbar.dfltSrch", true);
Supprimée : user_pref("extensions.BabylonToolbar.hmpg", true);
Supprimée : user_pref("extensions.BabylonToolbar.id", "f8f80f2900000000000000248c135fe6");
Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15236");
Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar.keyWordUrl", "hxxp://search.babylon.com/?babsrc=SP_ss&q={search[...]
Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 20);
Supprimée : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.4.35.1015:52:48");
Supprimée : user_pref("extensions.BabylonToolbar.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_ss&affID=1012[...]
Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar.srchPrvdr", "Search the web (Babylon)");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "tb9");
Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.4.35.10");
Supprimée : user_pref("extensions.BabylonToolbar.vrsnTs", "1.4.35.1015:52:48");
Supprimée : user_pref("keyword.URL", "hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=f8f80f29000[...]

Nom du profil : default 
Fichier : C:\Users\Laure\AppData\Roaming\Mozilla\Firefox\Profiles\6bs0ufue.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v19.0.1084.56

Fichier : C:\Users\addear38\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [4546 octets] - [21/06/2012 16:44:59]

########## EOF - C:\AdwCleaner[S1].txt - [4674 octets] ##########

ptitecam · Answer

Par contre, mon ordi ne veut pas réactiver le pare-feu Windows, et je ne sais pas comment faire... Est-ce que je dois en installer un autre ?

juju666 · Answer

T'inquiète, ça va arriver :)

Déjà babylon est parti.

Relance Malwarebytes et fais un scan complet, poste le rapport.

ptitecam · Answer

Ok merci !
Bon par contre, j'ai l'impression que le scan total va être un peu long. C'est mon ordi du boulot en fait, et là il va falloir que je parte d'ici pas très longtemps... Donc en cas je laisse tourner le scan et je te poste les résultats demain matin...

juju666 · Answer

Ah ouais OK ! 
Pas de soucis, laisse tourner tranquillement de la nuit, demain matin quand tu arriveras si tous les éléments détectés ne sont pas cochés, coches-le ... puis clique sur Supprimer la sélection.

Bonne soirée :)

ptitecam · Answer

Bonjour !

Voilà le rapport de Malwarebytes :

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.21.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19272
addear38 :: PC-DE-ADDEAR38 [administrateur]

21/06/2012 17:06:55
mbam-log-2012-06-21 (17-06-55).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 420147
Temps écoulé: 2 heure(s), 21 minute(s), 19 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Qoobox\Quarantine\C\Users\addear38\AppData\Local\{b2961d79-2751-f37f-b784-e6f324b67153}
.vir (Trojan.Dropper.PE4) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}
.vir (Trojan.Dropper.PE4) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\U\80000000.@.vir (Trojan.Sirefef) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{b2961d79-2751-f37f-b784-e6f324b67153}\U\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\addear38\Downloads\SoftonicDownloader_pour_stickypad.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.

(fin)

Par contre, ce matin, j'ai un message d'Avira qui me dit qu'il a détecté 3 virus ou programmes indésirables hier soir à 18h... ça veut dire qu'il reste des choses à nettoyer ?

Petite question subsidiaire : mon ordi est en réseau avec deux autres ordi. Est-ce qu'il y a des chances que les autres aient choppé le même virus ? Est-ce que je dois faire quelque chose ?

Merci !

juju666 · Answer

Hello !

Par contre, ce matin, j'ai un message d'Avira qui me dit qu'il a détecté 3 virus ou programmes indésirables hier soir à 18h... ça veut dire qu'il reste des choses à nettoyer ?

Ouais c'est normal, quand Malwarebytes a scanné les fichiers, Antivir a pas du aimer et les as supprimés avant Malwarebytes :p

Petite question subsidiaire : mon ordi est en réseau avec deux autres ordi. Est-ce qu'il y a des chances que les autres aient choppé le même virus ? Est-ce que je dois faire quelque chose ? 

Je ne crois pas que Sirefef s'incruste sur le réseau ...

======================================================

On va vérifier qu'il n'y a rien d'autre sur ton PC :-)

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 Installe et lance ZHPDiag.exe 

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 Pour me transmettre ton rapport utilise le site http://pjjoint.malekal.com 

&#9654 Clique sur Parcourir et cherche le fichier C:\ZHP\ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Envoyer le fichier".

Un lien de cette forme :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

A+

ptitecam · Answer

Voici le lien du rapport :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120622_h14q9q11x14z10

Là je dois m'absenter et je ne suis pas sûre de repasser au bureau dans l'aprem. Si je ne repasse pas, je te recontacte quand je reviens lundi si ça ne t'embête pas, si mon message est trop loin dans les pages ;)
En tout cas, merci pour ton aide et passe un bon WE si je ne reviens pas par là !

juju666 · Answer

Pas de soucis t'inquiète pas ;)

Tu es inscrit sur CCM.net, donc tu verras ma réponse ! 

Bon week end, j'analyse ton rapport, je vais mettre un autre message après ;)

juju666 · Answer

Voilà les instructions :p

Désinstalle ça :

PC-Doctor

C'est une arnaque ce logiciel ...

Désinstalle aussi ces logiciels obsolètes (failles de sécurités !!)

Adobe Reader 9.1 
Java 6 Update 20 

On les réinstallera après

Désinstalle Spybot - Search & Destroy il ne sert strictement à rien ....

Désinstalle Mac à fric security scan machin bidon poubelle ....

====================================

Copie ces lignes :

SS - | Demand 06/01/2009 22896 | C:\Program Files\PC-DOC~1\PCD5SRVC.pkms (PCD5SRVC{BD6912E3-AC9D80E8-05040000}) . (.PC-Doctor, Inc..) - C:\Program Files\PC-Doctor for Windows\pcd5srvc.pkms
O43 - CFD: 21/06/2012 - 16:46:39 - [2,214] ----D C:\Program Files\Spybot - Search & Destroy    
O43 - CFD: 21/06/2012 - 16:43:16 - [0,115] ----D C:\ProgramData\Spybot - Search & Destroy     
C:\Program Files\PC-Doctor for Windows
SS - | Demand 15/01/2010 227232 |  (McComponentHostService) . (.McAfee, Inc..) - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe    => McAfee%Security Scan
C:\Program Files\McAfee Security Scan
EMPTYTEMP
EMPTYFLASH

Ouvre ZHPFIX
Clique sur le H
Clique sur GO
Accepte le nettoyage
Poste le rapport

===============================================

Redémarre le PC !!

===============================================

Réinstalle Adobe Reader X : https://get2.adobe.com/fr/reader/otherversions/
Décoche le scan de mac à fric cette fois ....

Réinstalle Java : https://sdlc-esd.oracle.com/ESD6/JSCDL/jdk/7u5-b05/jre-7u5-windows-i586.exe?GroupName=JSC&FilePath=/ESD6/JSCDL/jdk/7u5-b05/jre-7u5-windows-i586.exe&BHost=javadl.sun.com&File=jre-7u5-windows-i586.exe&AuthParam=1581071622_96d43c39967f8052b8661bca393b1cc7&ext=.exe

A+

ptitecam · Answer

Bonjour !
Me voilà de retour, j'espère qu le WE a été bon de ton côté !

Voici donc le rapport après avoir désinstallé ce que tu m'as dit et fait le ZHPfix :

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : 
Run by addear38 at 25/06/2012 09:44:48
Windows Vista Home Basic Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
ABSENT Key: Service: PCD5SRVC{BD6912E3-AC9D80E8-05040000}
ABSENT Key: Service: McComponentHostService

========== Dossier(s) ==========
ABSENT C:\Program Files\Spybot - Search & Destroy
SUPPRIME Folder: C:\ProgramData\Spybot - Search & Destroy
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
ABSENT File: c:\program files\pc-doc~1\pcd5srvc.pkms (pcd5srvc{bd6912e3-ac9d80e8-05040000}) . (.pc-doctor, inc..) - c:\program files\pc-doctor for windows\pcd5srvc.pkms
ABSENT Folder/File: c:\program files\pc-doctor for windows
ABSENT File: c:\program files\mcafee security scan\2.0.181\mcchsvc.exe
ABSENT Folder/File: c:\program files\mcafee security scan
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
2 : Clé(s) du Registre
4 : Dossier(s)
6 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 25/06/2012 09:44:48 [1306]


Je vais redémarrer le PC. par contre, pour le Adobe Reader, en fait j'ai sur mon ordi le Foxit reader. C'est peut-être pas la peine que j'en réinstalle un autre du coup ?

juju666 · Answer

Hello ! Oui, dommage que le temps n'était pas de la partie par contre :(

OK, ne remet pas Reader dans ce cas ;)

ptitecam · Answer

Ok ! Et du coup a priori c'est tout bon ?
Parce que je ne peux toujours pas réactiver mon pare-feu, je ne sais pas si c'est normal ...

juju666 · Answer

Mmmmh ...
C'est quoi ? Le pare-feu windaube ?

ptitecam · Answer

Oui c'est ça ! :)

juju666 · Answer

OK et sur Vist'daube de Micros'daube :p

Il est vraiment désactivé ou c'est le centre de sécurité qui te dit que ... ?
Fais-moi une capture d'écran :-)

ptitecam · Answer

Oui c'est ça !
En fait oui, le centre de sécurité me dit qu'il est désactivé.
Si je clique sur "Activer maintenant", il me dit que le centre de sécurité n'a pas pu activer le pare-feu.
Il me propose de l'activer manuellement. Si j'essaie, il me dit que le service pare-feu ne s'exécute pas, et que le pare-feu n'utilise pas les paramètres recommandés pour protéger mon ordi... 
Il me propose de mettre ces paramètres à jour, mais si je clique, il me dit que le pare-feu n'a pas pu effectuer les mises à jour demandées...

EN haut à gauche dans la fenêtre du centre de sécurité, il est aussi indiqué "Activer ou désactiver le pare-feu" et si je clique dessus, il me dit que "les paramètres du pare-feu ne peuvent pas être affichés car le service associé n'est pas en cours d'execution" et me demande si je veux démarrer le service MpsSvc.
Si je clique sur oui, il me dit qu'il ne peut pas démarrer ce service...

Pour la copie d'écran, j'arrive  pas à l'insérer dans le message... :p

juju666 · Answer

Ok j'ai pigé !
C'est le service qui a été désactivé !

Passe un coup de Pre_Scan : https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan#q=prescan&cur=4&url=%2F

ça va remettre les services d'aplomb :-)

ptitecam · Answer

Voilà la copie d'écran :
https://www.cjoint.com/?BFzlrTmKx0a
:)

ptitecam · Answer

Et voilà !
https://pjjoint.malekal.com/files.php?id=20120625_j9r12o15w7m6

juju666 · Answer

Nickel :)

Au redémarrage le service du pare feu a du être réactivé :-)
Pareil pour le service de surveillance de la batterie de ton PC portable qui était désactivé ;)

@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[UpdateP2GoShortCut] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[PlayMovie]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[HP Software Update]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[QuickTime Task]

Folder::     
C:\d325abdcac6dd44b823dae99 
    

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

ptitecam · Answer

Voilà le pré-script :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.624 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

addear38 : Windows Vista (TM) Home Basic (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 12:19:39

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Suppression registre

Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[UpdateP2GoShortCut]
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[PlayMovie]
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[HP Software Update]
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[QuickTime Task]

¤

Supprimé : C:\d325abdcac6dd44b823dae99

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows Vista Home Basic Edition
Windows Information:		Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:	PEGATRON CORPORATION
BIOS Manufacturer:		American Megatrends Inc.
System Manufacturer:		Compaq-Presario
System Product Name:		NM827AA-ABF CQ5003FR
Logical Drives Mask:		0x0000005c

Analysis of file "C:\Pre_Scan\MBR.bin":
Hewlett-Packard MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 12:21:04

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤


Et pour le moment, non, je ne peux toujours pas lancer mon pare-feu Windows... Peut-être qu'il vaut mieux que j'en installe un autre ?

juju666 · Answer

Non, sinon ils vont rentrer en conflit !

Fait ceci pour voir ? http://www.vista-xp.fr/forum/topic346.html#p929

le sfc /verifyonly

ptitecam · Answer

J'ai l'impression que ça ne marche pas...
Il me donne des infos sur cette manip mais ne l'effectue pas, ou alors j'ai pas compris un truc...
Attend je te fais voir...

ptitecam · Answer

Voilà une copie de l'écran
https://www.cjoint.com/?0FznTmbNtjX

juju666 · Answer

normal t'as tapé sfc /verifonly au lieu de sfc /verifyonly ^^ 
lol

ptitecam · Answer

Ok ! :D Oui du coup ça a marché, et il dit qu'il a trouvé des violations d'intégrité je sais pas trop quoi...
Est-ce qu'il te faut le rapport ? C'est un truc super long apparemment...

juju666 · Answer

bon, tu as des fichiers systèmes endommagés, il ne me faut pas le rapport, passe à l'étape suivante du lien, à savoir la méthode sfc /scannow

ptitecam · Answer

Bon ben j'l'ai fait, il me dit qu'il a trouvé des fichiers endommagés mais qu'ils ont pas réussi à tous les réparer...
Est-ce que tu veux le rapport ?

ptitecam · Answer

Voilà le rapport pour le scannow https://pjjoint.malekal.com/presentation.php 
Par contre c'est quoi le findstr je sais pas quoi...? Une autre commande que je dois rentrer dans la boîte noire ?

juju666 · Answer

On va faire mieux :D

Redémarre le PC, tapote F8, dis moi ce qu'il te propose comme options ?

ptitecam · Answer

Et bien soit de réparer l'ordinateur, soit de démarrer en mode sans échec ou des trucs comme ça, soit de démarrer normalement..., ce que j'ai fait là.

ptitecam · Answer

Bon j'ai redémarré en faisant réparer... 
Mais quand je rentre la commande dans l'invite, il me sort la même chose que ce que je t'avais mis en copie d'écran tout à l'heure...
Ya une truc qui a changé par contre, avant dans l'invit de commande, c'était C:\users\addear38> si je me souviens bien, là c'est C:\windows\system32>

Je sais pas si ça a une importance... 

En tout cas j'ai bien revérifié, j'ai saisi exactement ce que tu m'as dit :p

juju666 · Answer

tu as du mal taper la commande :-)

    sfcESPACE/scannowESPACE/OFFBOOTDIR=C:\ESPACE/OFFWINDIR=C:\windows

ptitecam · Answer

Effectivement j'avais pas mis d'espace entre \ et / ...
Par contre, il me dit que les arguments passés à sfc ne sont valides et et que le répertoire windows hors connexion spécifié pointe vers le système en ligne...

Un petit changement par rapport à avant aussi, quand je clique droit sur invite de commande pour faire exécuter en tant qu'administrateur il me demande de confirmer que je suis bien à l'origine de la commande pour continuer, avant ça le faisait pas.

juju666 · Answer

mouais bon .... m'énerve ce sfc /scannow \o/

oui, la boite "exécuter en tant qu'admin" c'est l'User Account Control (UAC) 

on va sortir le grand jeu !


&#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres  de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

Si tu es sur Windows XP, laisse-le installer la console de récupération.

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654 n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

ptitecam · Answer

Voilà le rapport :

ComboFix 12-06-25.03 - addear38 25/06/2012  18:10:45.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Basique   6.0.6002.2.1252.33.1036.18.1790.863 [GMT 2:00]
Lancé depuis: c:\users\addear38\Desktop\Camille.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-05-25 au 2012-06-25  ))))))))))))))))))))))))))))))))))))
.
.
2012-06-25 16:17 . 2012-06-25 16:22	--------	d-----w-	c:\users\addear38\AppData\Local	emp
2012-06-25 16:17 . 2012-06-25 16:17	--------	d-----w-	c:\users\Laure\AppData\Local	emp
2012-06-25 16:17 . 2012-06-25 16:17	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-06-25 09:22 . 2012-06-25 10:21	--------	d-----w-	C:\Pre_Scan
2012-06-25 08:46 . 2012-06-25 08:46	--------	d-----w-	c:\program files\Common Files\Java
2012-06-25 08:45 . 2012-06-25 08:45	--------	d-----w-	c:\program files\Java
2012-06-25 08:02 . 2012-06-25 08:02	--------	d-----w-	c:\users\addear38\AppData\Local\Macromedia
2012-06-22 09:38 . 2012-06-22 09:38	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2012-06-22 09:28 . 2012-06-25 07:44	--------	d-----w-	C:\ZHP
2012-06-22 09:28 . 2012-06-22 09:38	--------	d-----w-	c:\program files\ZHPDiag
2012-06-22 07:46 . 2012-05-31 03:41	6762896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{941B7BA7-1C29-46D1-8AD2-EF9A46D9AFB7}\mpengine.dll
2012-06-21 09:58 . 2012-06-21 10:02	--------	d-----w-	c:\users\addear38\AppData\Roaming\U3
2012-06-21 07:06 . 2012-06-21 07:06	770384	----a-w-	c:\program files\Mozilla Firefox\msvcr100.dll
2012-06-21 07:06 . 2012-06-21 07:06	421200	----a-w-	c:\program files\Mozilla Firefox\msvcp100.dll
2012-06-19 07:01 . 2012-06-26 01:21	--------	d-----w-	C:\d325abdcac6dd44b823dae99
2012-06-04 14:25 . 2012-06-04 14:25	--------	d-----w-	c:\programdata\INRAtion 4.0
2012-06-04 14:25 . 2012-06-04 14:25	--------	d-----w-	c:\program files\Common Files\PC SOFT
2012-06-04 14:24 . 2012-06-04 14:24	--------	d-----w-	c:\users\addear38\AppData\Local\WDSetup
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-25 07:58 . 2012-05-14 07:01	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-25 07:58 . 2011-11-22 08:06	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-02 22:19 . 2012-06-22 07:30	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-22 07:30	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-22 07:29	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-22 07:29	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-22 07:30	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:12 . 2012-06-22 07:30	2422272	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:12 . 2012-06-22 07:29	88576	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-22 07:29	171904	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:12 . 2012-06-22 07:29	33792	----a-w-	c:\windows\system32\wuapp.exe
2012-05-15 19:51 . 2012-06-14 13:13	2045440	----a-w-	c:\windows\system32\win32k.sys
2012-05-15 06:37 . 2012-06-14 13:13	916992	----a-w-	c:\windows\system32\wininet.dll
2012-04-04 13:56 . 2011-05-19 07:14	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-04-03 08:16 . 2012-05-14 07:08	3602816	----a-w-	c:\windows\system32
tkrnlpa.exe
2012-04-03 08:16 . 2012-05-14 07:08	3550080	----a-w-	c:\windows\system32
toskrnl.exe
2012-03-30 12:39 . 2012-05-14 07:09	905600	----a-w-	c:\windows\system32\drivers	cpip.sys
2012-06-21 07:06 . 2012-02-27 14:43	85472	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-02-22 26101032]
"CollaborationHost"="c:\windows\system32\p2phost.exe" [2008-01-21 192000]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Sticky Pad"="c:\program files\StickyPad\StickyPad.exe" [2010-10-17 516153]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\program files\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
"NVRaidService"="c:\windows\system32
vraidservice.exe" [2008-10-03 203296]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-18 13683232]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-18 92704]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-12-04 75016]
"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]
"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePSTShortCut"="c:\program files\CyberLink\CyberLink DVD Suite Deluxe\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]
"PCMAgent"="c:\program files\CyberLink\PowerCinema\PCMAgent.exe" [2008-09-19 148712]
"CLMLServer"="c:\program files\Cyberlink\PowerCinema\Kernel\CLML\CLMLSvc.exe" [2008-09-19 196608]
"PlayMovie"="c:\program files\CyberLink\PlayMovie\PMVService.exe" [2008-10-09 177384]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
.
c:\users\addear38\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2010-4-5 494920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-25 250056]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'
.
2012-06-25 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-14 07:58]
.
2012-06-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-30 12:02]
.
2012-06-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-30 12:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/firefox
uDefault_Search_URL = hxxp://fr.udark.com
uSearchMigratedDefaultURL = hxxp://www.udark.com/searchindex.php?q={searchTerms}&chercher=Rechercher&type=web
mStart Page = hxxp://fr.udark.com
uSearchAssistant = hxxp://fr.udark.com
uSearchURL,(Default) = hxxp://fr.udark.com
IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbaresources\fr-FR\local\search.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\addear38\AppData\Roaming\Mozilla\Firefox\Profiles\w9w551zb.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.udark.com/searchindex.php?q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-25 18:21
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
.
c:\users\addear38\AppData\Local\Temp\catchme.dll 53248 bytes executable
.
Scan terminé avec succès
Fichiers cachés: 1
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BFE]
"ImagePath"="."
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MpsSvc]
"ImagePath"="."
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32
vvsvc.exe
c:\windows\system32undll32.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2012-06-25  18:27:35 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-06-25 16:27
ComboFix2.txt  2012-06-21 14:29
.
Avant-CF: 199 963 455 488 octets libres
Après-CF: 199 910 903 808 octets libres
.
- - End Of File - - 5B5894BD44400A26834896082F0F0B48

ptitecam · Answer

Là va falloir que j'y aille par contre, mais on continue ça demain si tu es par là, ou plus tard quand tu es dispo ! ;)
En tout cas, encore un grand merci pour ton aide et ta dispo !

juju666 · Answer

Re, OK pas de soucis. Je risque d'être au jardin demain matin donc je te met déjà la procédure à suivre. Pas grand chose. .. __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: DDS:: uSearchMigratedDefaultURL = hxxp://www.udark.com/searchindex.php?q={searchTerms}&chercher=Rechercher&type=web FireFox:: FF - prefs.js: browser.search.defaulturl - hxxp://www.udark.com/searchindex.php?q= Reboot:: ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

ptitecam · Answer

Et voilà le rapport :

ComboFix 12-06-25.03 - addear38 26/06/2012  11:19:07.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Basique   6.0.6002.2.1252.33.1036.18.1790.1022 [GMT 2:00]
Lancé depuis: c:\users\addear38\Desktop\Camille.exe
Commutateurs utilisés :: c:\users\addear38\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-05-26 au 2012-06-26  ))))))))))))))))))))))))))))))))))))
.
.
2012-06-26 09:25 . 2012-06-26 09:29	--------	d-----w-	c:\users\addear38\AppData\Local	emp
2012-06-26 09:25 . 2012-06-26 09:25	--------	d-----w-	c:\users\Laure\AppData\Local	emp
2012-06-26 09:25 . 2012-06-26 09:25	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-06-25 16:08 . 2012-06-25 16:27	--------	d-----w-	C:\Camille
2012-06-25 09:22 . 2012-06-25 10:21	--------	d-----w-	C:\Pre_Scan
2012-06-25 08:46 . 2012-06-25 08:46	--------	d-----w-	c:\program files\Common Files\Java
2012-06-25 08:45 . 2012-06-25 08:45	--------	d-----w-	c:\program files\Java
2012-06-25 08:02 . 2012-06-25 08:02	--------	d-----w-	c:\users\addear38\AppData\Local\Macromedia
2012-06-22 09:38 . 2012-06-22 09:38	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2012-06-22 09:28 . 2012-06-25 07:44	--------	d-----w-	C:\ZHP
2012-06-22 09:28 . 2012-06-22 09:38	--------	d-----w-	c:\program files\ZHPDiag
2012-06-22 07:46 . 2012-05-31 03:41	6762896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{941B7BA7-1C29-46D1-8AD2-EF9A46D9AFB7}\mpengine.dll
2012-06-22 07:30 . 2012-06-02 22:19	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-22 07:30 . 2012-06-02 22:19	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-22 07:30 . 2012-06-02 22:12	2422272	----a-w-	c:\windows\system32\wucltux.dll
2012-06-22 07:30 . 2012-06-02 22:19	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-22 07:29 . 2012-06-02 22:19	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-22 07:29 . 2012-06-02 22:19	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-22 07:29 . 2012-06-02 22:12	88576	----a-w-	c:\windows\system32\wudriver.dll
2012-06-22 07:29 . 2012-06-02 13:19	171904	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-22 07:29 . 2012-06-02 13:12	33792	----a-w-	c:\windows\system32\wuapp.exe
2012-06-21 09:58 . 2012-06-21 10:02	--------	d-----w-	c:\users\addear38\AppData\Roaming\U3
2012-06-21 07:06 . 2012-06-21 07:06	770384	----a-w-	c:\program files\Mozilla Firefox\msvcr100.dll
2012-06-21 07:06 . 2012-06-21 07:06	421200	----a-w-	c:\program files\Mozilla Firefox\msvcp100.dll
2012-06-19 07:01 . 2012-06-26 01:21	--------	d-----w-	C:\d325abdcac6dd44b823dae99
2012-06-04 14:25 . 2012-06-04 14:25	--------	d-----w-	c:\programdata\INRAtion 4.0
2012-06-04 14:25 . 2012-06-04 14:25	--------	d-----w-	c:\program files\Common Files\PC SOFT
2012-06-04 14:24 . 2012-06-04 14:24	--------	d-----w-	c:\users\addear38\AppData\Local\WDSetup
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-25 07:58 . 2012-05-14 07:01	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-25 07:58 . 2011-11-22 08:06	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-04 13:56 . 2011-05-19 07:14	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-04-03 08:16 . 2012-05-14 07:08	3602816	----a-w-	c:\windows\system32
tkrnlpa.exe
2012-04-03 08:16 . 2012-05-14 07:08	3550080	----a-w-	c:\windows\system32
toskrnl.exe
2012-03-30 12:39 . 2012-05-14 07:09	905600	----a-w-	c:\windows\system32\drivers	cpip.sys
2012-06-21 07:06 . 2012-02-27 14:43	85472	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-02-22 26101032]
"CollaborationHost"="c:\windows\system32\p2phost.exe" [2008-01-21 192000]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Sticky Pad"="c:\program files\StickyPad\StickyPad.exe" [2010-10-17 516153]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\program files\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
"NVRaidService"="c:\windows\system32
vraidservice.exe" [2008-10-03 203296]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-18 13683232]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-18 92704]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-12-04 75016]
"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]
"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePSTShortCut"="c:\program files\CyberLink\CyberLink DVD Suite Deluxe\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]
"PCMAgent"="c:\program files\CyberLink\PowerCinema\PCMAgent.exe" [2008-09-19 148712]
"CLMLServer"="c:\program files\Cyberlink\PowerCinema\Kernel\CLML\CLMLSvc.exe" [2008-09-19 196608]
"PlayMovie"="c:\program files\CyberLink\PlayMovie\PMVService.exe" [2008-10-09 177384]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
.
c:\users\addear38\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2010-4-5 494920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-25 250056]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'
.
2012-06-25 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-14 07:58]
.
2012-06-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-30 12:02]
.
2012-06-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-30 12:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/firefox
uDefault_Search_URL = hxxp://fr.udark.com
mStart Page = hxxp://fr.udark.com
uSearchAssistant = hxxp://fr.udark.com
uSearchURL,(Default) = hxxp://fr.udark.com
IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbaresources\fr-FR\local\search.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\addear38\AppData\Roaming\Mozilla\Firefox\Profiles\w9w551zb.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.udark.com/searchindex.php?q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-26 11:29
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MpsSvc]
"ImagePath"="."
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32
vvsvc.exe
c:\windows\system32undll32.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\windows\System32undll32.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2012-06-26  11:35:15 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-06-26 09:35
ComboFix2.txt  2012-06-25 16:27
ComboFix3.txt  2012-06-21 14:29
.
Avant-CF: 199 839 256 576 octets libres
Après-CF: 199 707 275 264 octets libres
.
- - End Of File - - 96CB6EB534D5513C21416E9E1683CB94


Je sais pas comment tu fais pour comprendre quelque chose à toutes ces lignes ! Pour moi c'est du chinois ! :p

juju666 · Answer

ahah :p

ça donne quoi le parefeu ? :-)

ptitecam · Answer

Ben c'est toujours pareil...
Mais en plus, il me dit que la protection antivirus est désactivée... enfin si je passe par le centre de sécurité. Parce que si je regarde directement dans Avira, il dit qu'il est activé. Mais je ne peux pas lancer les mises à jour... !?
Et il refuse aussi de lancer avira quand je double clique sur la petite icone en bas à droite... il faut que je passe par le menu démarrer...

ptitecam · Answer

Bon j'ai l'impression qu'il y a pas mal de petits trucs qui merdouillent... PDF creator ne marche plus.
Je l'ai désinstallé et quand je veux le réinstaller, quand je clique sur le fichier téléchargé, il me dit qu'il y a une erreur de répertoire... Pareil si j'essaie de télécharger les mises à jour d'Avira sur le site...

Je sais pas si tout ça a un lien, mais comme ça tu as toutes les infos ! :)

juju666 · Answer

Re,

As-tu le CD de windows ?

ptitecam · Answer

Hello,

alors a priori, non, je crois pas.
On avais acheté l'ordi neuf avec Windows déjà installé... Et j'crois pas qu'ils nous filent le CD en plus ?
Mais bon si le souci vient de Windows, c'est p'têt l'occas de changer de système... !

Ordi infesté par un trojan ?

50 réponses

Discussions similaires

Newsletters