Cheval de troie

Question

Bonjour, 

Mon antivirus Avira m'a indiqué à plusieurs reprises que mon pc était infecté par un cheval de troie.
J'ai testé la mise en quarantaine ou la suppression, mais le message revient toujours ...
Que faire? 
Merci d'avance


Configuration: Windows 7 / Internet Explorer 9.0

Fish66 · Answer

Salut, 1/ Poste le rapport Avira stp 2/ * Télécharge puis enregistre sur le bureau de ton PC ZHPDiag (de Nicolas Coolman) à partir : ce lien * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7) * Clique sur l'icône en forme de loupe pour lancer le diagnostique * Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com * Fais copier/coller le lien fourni dans ta prochaine réponse * Aide ZHPDiag : <<< ICI >>>

Alexiia · Answer

Merci pour ta réponse!

Voila le rapport d'Avira : 

Avira AntiVir Personal
Date de création du fichier de rapport : samedi 1 décembre 2012  18:05

La recherche porte sur 4467838 souches de virus.

Détenteur de la licence : Avira Free Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows Vista 64 Bit
Version de Windows      : (plain)  [6.1.7600]
Mode Boot               : Démarré normalement
Identifiant             : Système
Nom de l'ordinateur     : ALEXIA-PC

Informations de version :
BUILD.DAT               : 9.0.0.81      21698 Bytes  22/10/2010 12:02:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  13/10/2009 10:25:46
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 06:35:52
VBASE001.VDF            : 7.11.0.0   13342208 Bytes  14/12/2010 12:05:20
VBASE002.VDF            : 7.11.19.170  14374912 Bytes  20/12/2011 16:06:39
VBASE003.VDF            : 7.11.21.238   4472832 Bytes  01/02/2012 17:45:52
VBASE004.VDF            : 7.11.26.44   4329472 Bytes  28/03/2012 16:26:50
VBASE005.VDF            : 7.11.34.116   4034048 Bytes  29/06/2012 23:27:44
VBASE006.VDF            : 7.11.41.250   4902400 Bytes  06/09/2012 20:48:29
VBASE007.VDF            : 7.11.50.230   3904512 Bytes  22/11/2012 08:11:51
VBASE008.VDF            : 7.11.50.231      2048 Bytes  22/11/2012 08:11:53
VBASE009.VDF            : 7.11.50.232      2048 Bytes  22/11/2012 08:11:54
VBASE010.VDF            : 7.11.50.233      2048 Bytes  22/11/2012 08:11:54
VBASE011.VDF            : 7.11.50.234      2048 Bytes  22/11/2012 08:11:54
VBASE012.VDF            : 7.11.50.235      2048 Bytes  22/11/2012 08:11:54
VBASE013.VDF            : 7.11.50.236      2048 Bytes  22/11/2012 08:11:54
VBASE014.VDF            : 7.11.51.27    133632 Bytes  23/11/2012 08:11:54
VBASE015.VDF            : 7.11.51.95    140288 Bytes  26/11/2012 19:11:31
VBASE016.VDF            : 7.11.51.221    164352 Bytes  29/11/2012 19:11:32
VBASE017.VDF            : 7.11.51.222      2048 Bytes  29/11/2012 19:11:32
VBASE018.VDF            : 7.11.51.223      2048 Bytes  29/11/2012 19:11:32
VBASE019.VDF            : 7.11.51.224      2048 Bytes  29/11/2012 19:11:32
VBASE020.VDF            : 7.11.51.225      2048 Bytes  29/11/2012 19:11:32
VBASE021.VDF            : 7.11.51.226      2048 Bytes  29/11/2012 19:11:32
VBASE022.VDF            : 7.11.51.227      2048 Bytes  29/11/2012 19:11:32
VBASE023.VDF            : 7.11.51.228      2048 Bytes  29/11/2012 19:11:32
VBASE024.VDF            : 7.11.51.229      2048 Bytes  29/11/2012 19:11:32
VBASE025.VDF            : 7.11.51.230      2048 Bytes  29/11/2012 19:11:33
VBASE026.VDF            : 7.11.51.231      2048 Bytes  29/11/2012 19:11:33
VBASE027.VDF            : 7.11.51.232      2048 Bytes  29/11/2012 19:11:33
VBASE028.VDF            : 7.11.51.233      2048 Bytes  29/11/2012 19:11:33
VBASE029.VDF            : 7.11.51.234      2048 Bytes  29/11/2012 19:11:33
VBASE030.VDF            : 7.11.51.235      2048 Bytes  29/11/2012 19:11:33
VBASE031.VDF            : 7.11.52.20    127488 Bytes  30/11/2012 19:11:34
Version du moteur       : 8.2.10.214
AEVDF.DLL               : 8.1.2.10     102772 Bytes  14/07/2012 07:14:10
AESCRIPT.DLL            : 8.1.4.70     467323 Bytes  30/11/2012 19:11:40
AESCN.DLL               : 8.1.9.4      131445 Bytes  15/11/2012 18:09:11
AESBX.DLL               : 8.2.5.12     606578 Bytes  16/06/2012 11:48:13
AERDL.DLL               : 8.2.0.74     643445 Bytes  10/11/2012 00:28:22
AEPACK.DLL              : 8.3.0.40     815479 Bytes  15/11/2012 18:09:11
AEOFFICE.DLL            : 8.1.2.50     201084 Bytes  10/11/2012 00:28:22
AEHEUR.DLL              : 8.1.4.156   5579128 Bytes  30/11/2012 19:11:39
AEHELP.DLL              : 8.1.25.2     258423 Bytes  19/10/2012 20:55:25
AEGEN.DLL               : 8.1.6.10     438646 Bytes  15/11/2012 18:09:07
AEEXP.DLL               : 8.2.0.16     119157 Bytes  30/11/2012 19:11:40
AEEMU.DLL               : 8.1.3.2      393587 Bytes  14/07/2012 07:14:00
AECORE.DLL              : 8.1.29.2     201079 Bytes  10/11/2012 00:28:16
AEBB.DLL                : 8.1.1.4       53619 Bytes  10/11/2012 00:28:16
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  26/08/2009 14:13:31
AVREP.DLL               : 10.0.0.9     174120 Bytes  06/03/2011 09:51:46
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files (x86)\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: marche
Recherche optimisée...........................: marche
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : samedi 1 décembre 2012  18:05

Début du contrôle des fichiers système :
Signé -> 'C:\Windows\system32\svchost.exe'
Signé -> 'C:\Windows\system32\winlogon.exe'
Signé -> 'C:\Windows\explorer.exe'
Signé -> 'C:\Windows\system32\smss.exe'
Signé -> 'C:\Windows\system32\wininet.DLL'
Signé -> 'C:\Windows\system32\wsock32.DLL'
Signé -> 'C:\Windows\system32\ws2_32.DLL'
Signé -> 'C:\Windows\system32\services.exe'
Signé -> 'C:\Windows\system32\lsass.exe'
Signé -> 'C:\Windows\system32\csrss.exe'
Signé -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signé -> 'C:\Windows\system32\spoolsv.exe'
Signé -> 'C:\Windows\system32\alg.exe'
Signé -> 'C:\Windows\system32\wuauclt.exe'
Signé -> 'C:\Windows\system32\advapi32.DLL'
Signé -> 'C:\Windows\system32\user32.DLL'
Signé -> 'C:\Windows\system32\gdi32.DLL'
Signé -> 'C:\Windows\system32\kernel32.DLL'
Signé -> 'C:\Windows\system32
tdll.DLL'
Signé -> 'C:\Windows\system32
toskrnl.exe'
Signé -> 'C:\Windows\system32\ctfmon.exe'
Les fichiers système ont été contrôlés ('21' fichiers)

La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchFilterHost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'SearchProtocolHost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'wmplayer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FlashUtil32_11_4_402_287_ActiveX.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'VC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPHelper.exe' - '0' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jucheck.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '0' module(s) sont contrôlés
Processus de recherche 'UNS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAStorDataMgrSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'LMworker.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ePowerEvent.exe' - '0' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '0' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '0' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '0' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '0' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'UpdaterService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'RS_Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ODDPWRSvc.exe' - '0' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '0' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '0' module(s) sont contrôlés
Processus de recherche 'mbamgui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SchedulerSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IScheduleSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcsacore.exe' - '0' module(s) sont contrôlés
Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamscheduler.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxdvcoms.exe' - '0' module(s) sont contrôlés
Processus de recherche 'LMS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GREGsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ePowerTray.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'ePowerSvc.exe' - '0' module(s) sont contrôlés
Processus de recherche 'dsiwmis.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DevSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '0' module(s) sont contrôlés
Processus de recherche 'taskmgr.exe' - '1' module(s) sont contrôlés
  Module infecté -> 'C:\Users\Alexia\AppData\Roaming\Microsoft	askmgr.exe'
Processus de recherche 'MMDx64Fx.exe' - '0' module(s) sont contrôlés
Processus de recherche 'EgisUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sCWDF27.exe' - '1' module(s) sont contrôlés
Processus de recherche 'crss.exe' - '1' module(s) sont contrôlés
  Module infecté -> 'C:\Users\Alexia\crss.exe'
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ArcadeMovieService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BackupManagerTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PmmUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAStorIcon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AcerVCM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'StikyNot.exe' - '0' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxdvamon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxdvmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PLFSetI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '0' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '0' module(s) sont contrôlés
Processus de recherche 'taskhost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'RAVBg64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'RAVCpl64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'mwlDaemon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ODDPWR.exe' - '0' module(s) sont contrôlés
Processus de recherche 'AmIcoSinglun64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '0' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés
Processus de recherche 'atieclxx.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'atiesrxx.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés
Processus de recherche 'services.exe' - '0' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '0' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés
Le processus 'taskmgr.exe' est arrêté
Le processus 'crss.exe' est arrêté
C:\Users\Alexia\AppData\Roaming\Microsoft	askmgr.exe
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen8
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '512d41a3.qua' !
C:\Users\Alexia\crss.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.KD.794405.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '512d41b4.qua' !

'50' processus ont été contrôlés avec '48' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '27' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <Acer>
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\config.bin\9A052F91BBC.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.5
C:\Users\Alexia\wgsdgsdgdsgsd.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.KD.794405.1
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8G1W23CZ\10min2[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.4
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8G1W23CZ\10minsxxx[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.6
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8G1W23CZ\androxelectric[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Injector.AXC.3
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98G78N7H\crypted[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.5
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98G78N7H\minchrxxx[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795136.1
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98G78N7H\spyxxxxx[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.5
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DLFPHJT5\h6x77[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen8
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DLFPHJT5\stats-reader1[1].exe
  [0] Type d'archive: NSIS
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    --> [PluginsDir]/ExecDos.dll
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DLFPHJT5	estmin[1].exe
    [RESULTAT]  Contient le modèle de détection du dropper DR/Delphi.Gen8
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UYFZBBQ7\androxxx[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.4
C:\Users\Alexia\AppData\Local\Temp\00421e98.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.797339.3
C:\Users\Alexia\AppData\Local\Temp\00456a28.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.797339.5
C:\Users\Alexia\AppData\Local\Temp\00cdca92.exe
    [RESULTAT]  Contient le cheval de Troie TR/Scarsi.ka
C:\Users\Alexia\AppData\Local\Temp\05cf160d.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Hoptto.A.34
C:\Users\Alexia\AppData\Local\Temp\0726b687.exe
    [RESULTAT]  Contient le modèle de détection du dropper DR/Delphi.Gen8
C:\Users\Alexia\AppData\Local\Temp\0726cfb2.exe
    [RESULTAT]  Contient le cheval de Troie TR/Injector.AXC.1
C:\Users\Alexia\AppData\Local\Temp\0a22bea2.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.6
C:\Users\Alexia\AppData\Local\Temp\0a64cda1.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795136.1
C:\Users\Alexia\AppData\Local\Temp\0d35a883.exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.4
C:\Users\Alexia\AppData\Local\Temp\14721.exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.5
C:\Users\Alexia\AppData\Local\Temp\28814.exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.4
C:\Users\Alexia\AppData\Local\Temp\29546.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.5
C:\Users\Alexia\AppData\Local\Temp\59944.exe
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen8
C:\Users\Alexia\AppData\Local\Temp\67935.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Hoptto.A.34
C:\Users\Alexia\AppData\Local\Temp\80067.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795136.1
C:\Users\Alexia\AppData\Local\Temp\83113.exe
    [RESULTAT]  Contient le cheval de Troie TR/Injector.AXC.1
C:\Users\Alexia\AppData\Local\Temp\86267.exe
  [0] Type d'archive: NSIS
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    --> [PluginsDir]/ExecDos.dll
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\Users\Alexia\AppData\Local\Temp\88703.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.6
C:\Users\Alexia\AppData\Local\Temp\93898.exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.4
C:\Users\Alexia\AppData\Local\Temp\94455.exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.5
C:\Users\Alexia\AppData\Local\Temp\95495.exe
    [RESULTAT]  Contient le modèle de détection du dropper DR/Delphi.Gen8
C:\Users\Alexia\AppData\Local\Temp\jar_cache3014621358444401469.tmp
  [0] Type d'archive: ZIP
    --> WLjJXXF.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Dldr.Karam.BL
    --> wog.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Dldr.Lamar.JV
    --> meVYzUtCbX.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Dldr.Karam.BM
    --> CSAGTCzRn.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Dldr.Lamar.JW
    --> dfielKbhUE.class
      [RESULTAT]  Contient le modèle de détection de l'exploit EXP/2012-4681.AD
    --> hasMiuDddn.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Dldr.Pesur.G
    --> InAYSU.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Dldr.Lamar.JX
    --> LFDXVqPBMt.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Dldr.Pesur.J
    --> mbdIHC.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Dldr.Dermit.AJ
    --> radeK.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Dldr.Themod.AN
    --> RlF.class
      [RESULTAT]  Contient le modèle de détection de l'exploit EXP/2012-0507.AW
C:\Users\Alexia\AppData\Local\Temp\msvccz.cmd
    [RESULTAT]  Contient le cheval de Troie TR/Injector.AXC.3
C:\Users\Alexia\AppData\Local\Temp\mswqfita.scr
    [RESULTAT]  Contient le cheval de Troie TR/Injector.AXC.3
C:\Users\Alexia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\2844951e-789a6b7e
  [0] Type d'archive: ZIP
    --> hw.class
      [RESULTAT]  Contient le modèle de détection de l'exploit EXP/2012-5076.B
    --> test.class
      [RESULTAT]  Contient le modèle de détection de l'exploit EXP/2012-5076.D
C:\Users\Alexia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\2844951e-7d939298
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.KD.794405.1
C:\Users\Alexia\Documents\crss.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.KD.794405.1
C:\Users\Alexia\Documents\Windows\winsvcs.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795136.1
C:\Users\Alexia\downloads\crss.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.KD.794405.1

Début de la désinfection :
C:\config.bin\9A052F91BBC.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.5
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50ea62a3.qua' !
C:\Users\Alexia\wgsdgsdgdsgsd.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.KD.794405.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '512d62c9.qua' !
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8G1W23CZ\10min2[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.4
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '51276292.qua' !
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8G1W23CZ\10minsxxx[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.6
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '55a51fab.qua' !
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8G1W23CZ\androxelectric[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Injector.AXC.3
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '511e62d0.qua' !
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98G78N7H\crypted[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.5
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '513362d4.qua' !
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98G78N7H\minchrxxx[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795136.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '512862cb.qua' !
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98G78N7H\spyxxxxx[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.5
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '513362d2.qua' !
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DLFPHJT5\h6x77[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen8
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '51326298.qua' !
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DLFPHJT5	estmin[1].exe
    [RESULTAT]  Contient le modèle de détection du dropper DR/Delphi.Gen8
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '512d62c7.qua' !
C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UYFZBBQ7\androxxx[1].exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.4
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '511e62d1.qua' !
C:\Users\Alexia\AppData\Local\Temp\00421e98.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.797339.3
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50ee6293.qua' !
C:\Users\Alexia\AppData\Local\Temp\00456a28.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.797339.5
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '592e5144.qua' !
C:\Users\Alexia\AppData\Local\Temp\00cdca92.exe
    [RESULTAT]  Contient le cheval de Troie TR/Scarsi.ka
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '511d6293.qua' !
C:\Users\Alexia\AppData\Local\Temp\05cf160d.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Hoptto.A.34
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '511d6298.qua' !
C:\Users\Alexia\AppData\Local\Temp\0726b687.exe
    [RESULTAT]  Contient le modèle de détection du dropper DR/Delphi.Gen8
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50ec629a.qua' !
C:\Users\Alexia\AppData\Local\Temp\0726cfb2.exe
    [RESULTAT]  Contient le cheval de Troie TR/Injector.AXC.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '59064f0b.qua' !
C:\Users\Alexia\AppData\Local\Temp\0a22bea2.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.6
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50ec62c4.qua' !
C:\Users\Alexia\AppData\Local\Temp\0a64cda1.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795136.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50f062c4.qua' !
C:\Users\Alexia\AppData\Local\Temp\0d35a883.exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.4
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50ed62c7.qua' !
C:\Users\Alexia\AppData\Local\Temp\14721.exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.5
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50f16297.qua' !
C:\Users\Alexia\AppData\Local\Temp\28814.exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.4
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50f2629b.qua' !
C:\Users\Alexia\AppData\Local\Temp\29546.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.5
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50ef629c.qua' !
C:\Users\Alexia\AppData\Local\Temp\59944.exe
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen8
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50f3629c.qua' !
C:\Users\Alexia\AppData\Local\Temp\67935.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Hoptto.A.34
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50f3629a.qua' !
C:\Users\Alexia\AppData\Local\Temp\80067.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795136.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50ea6293.qua' !
C:\Users\Alexia\AppData\Local\Temp\83113.exe
    [RESULTAT]  Contient le cheval de Troie TR/Injector.AXC.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50eb6296.qua' !
C:\Users\Alexia\AppData\Local\Temp\88703.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795108.6
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50f1629b.qua' !
C:\Users\Alexia\AppData\Local\Temp\93898.exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.4
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50f26296.qua' !
C:\Users\Alexia\AppData\Local\Temp\94455.exe
    [RESULTAT]  Contient le cheval de Troie TR/JorikQX.A.5
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50ee6297.qua' !
C:\Users\Alexia\AppData\Local\Temp\95495.exe
    [RESULTAT]  Contient le modèle de détection du dropper DR/Delphi.Gen8
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50ee6298.qua' !
C:\Users\Alexia\AppData\Local\Temp\jar_cache3014621358444401469.tmp
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '512c62c4.qua' !
C:\Users\Alexia\AppData\Local\Temp\msvccz.cmd
    [RESULTAT]  Contient le cheval de Troie TR/Injector.AXC.3
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
    [AVERTISSEMENT] Impossible de supprimer le fichier !
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Impossible d'initialiser le pilote.
    [REMARQUE]  Le fichier a été repéré pour une suppression après un redémarrage.
C:\Users\Alexia\AppData\Local\Temp\mswqfita.scr
    [RESULTAT]  Contient le cheval de Troie TR/Injector.AXC.3
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5131630f.qua' !
C:\Users\Alexia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\2844951e-789a6b7e
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '50ee62d4.qua' !
C:\Users\Alexia\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\2844951e-7d939298
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.KD.794405.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5fc454dd.qua' !
C:\Users\Alexia\Documents\crss.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.KD.794405.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '512d630e.qua' !
C:\Users\Alexia\Documents\Windows\winsvcs.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.kdv.795136.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '51286305.qua' !
C:\Users\Alexia\downloads\crss.exe
    [RESULTAT]  Contient le cheval de Troie TR/Rogue.KD.794405.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5e6e9b9f.qua' !


Fin de la recherche : samedi 1 décembre 2012  21:03
Temps nécessaire:  2:56:12 Heure(s)

La recherche a été effectuée intégralement

  34934 Les répertoires ont été contrôlés
 687910 Des fichiers ont été contrôlés
     54 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
     40 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 687854 Fichiers non infectés
   4815 Les archives ont été contrôlées
      7 Avertissements
     43 Consignes


J'envoi l'analyse de ZHPDiag, et je poste ça dès que possible!
Merci

Fish66 · Answer

Bonsoir,
Tu peux laisser ZHPDiag après ! :-)
------------------------------------------------------
 * Télécharge sur le bureau RogueKiller (par tigzy)    
https://www.luanagames.com/index.fr.html    
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )    
* Quitte tous tes programmes en cours    
* Lance RogueKiller.exe   
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe   
* Laisse le prescan se terminer, clique sur Scan   
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message

Alexiia · Answer

Voila pour ZHPDiag!

http://cjoint.com/data3/3LbvFVrCc68.htm

Je continues les instructions!

Alexiia · Answer

Voici : RogueKiller V8.3.1 [Nov 29 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode normal Utilisateur : Alexia [Droits d'admin] Mode : Recherche -- Date : 01/12/2012 21:35:51 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] PLFSetI.exe -- C:\Windows\PLFSetI.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 14 ¤¤¤ [RUN][BLACKLIST] HKCU\[...]\Run : Profile Manager2 (C:\Users\Alexia\crss.exe) -> TROUVÉ [RUN][BLACKLIST] HKCU\[...]\Run : Document Explorer2 (C:\Users\Alexia\Documents\crss.exe) -> TROUVÉ [RUN][BLACKLIST] HKCU\[...]\Run : Download Manager2 (C:\Users\Alexia\Downloads\crss.exe) -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\Run : TaskMgr (C:\Users\Alexia\AppData\Roaming\Microsoft\taskmgr.exe) -> TROUVÉ [RUN][SUSP PATH] HKLM\[...]\Run : PLFSetI (C:\Windows\PLFSetI.exe) -> TROUVÉ [RUN][BLACKLIST] HKUS\S-1-5-21-497740774-3692684925-3353961306-1001[...]\Run : Profile Manager2 (C:\Users\Alexia\crss.exe) -> TROUVÉ [RUN][BLACKLIST] HKUS\S-1-5-21-497740774-3692684925-3353961306-1001[...]\Run : Document Explorer2 (C:\Users\Alexia\Documents\crss.exe) -> TROUVÉ [RUN][BLACKLIST] HKUS\S-1-5-21-497740774-3692684925-3353961306-1001[...]\Run : Download Manager2 (C:\Users\Alexia\Downloads\crss.exe) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-497740774-3692684925-3353961306-1001[...]\Run : TaskMgr (C:\Users\Alexia\AppData\Roaming\Microsoft\taskmgr.exe) -> TROUVÉ [SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Alexia\LOCALS~1\Temp\msvccz.cmd) -> TROUVÉ [SHELL][SUSP PATH] HKUS\S-1-5-21-497740774-3692684925-3353961306-1001[...]\Windows : Load (C:\Users\Alexia\LOCALS~1\Temp\msvccz.cmd) -> TROUVÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++ --- User --- [MBR] 879b23b00b0791e5f89caa02aaf94c0e [BSP] f7914c800297aa70bb397a3d843290c2 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 291831 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_01122012_213551.txt >> RKreport[1]_S_01122012_213551.txt

Fish66 · Answer

Re,
Suivant l'ordre fais ceci stp :
1/
Relance RogueKiller puis choisis " Suppression" et poste le rapport 

2/
Lance Malwarebytes, fais la mise à jour, choisis une analyse complète, supprime tout ce qu'il trouve puis poste le rapport stp

3/
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ] 
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

A demain

Bonne nuit

Alexiia · Answer

Alors : Rapport RogueKiller : RogueKiller V8.3.1 [Nov 29 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode normal Utilisateur : Alexia [Droits d'admin] Mode : Suppression -- Date : 01/12/2012 21:43:51 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] PLFSetI.exe -- C:\Windows\PLFSetI.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 1 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NON SUPPRIMÉ, UTILISER PROXY RAZ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++ --- User --- [MBR] 879b23b00b0791e5f89caa02aaf94c0e [BSP] f7914c800297aa70bb397a3d843290c2 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 291831 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3]_D_01122012_214351.txt >> RKreport[1]_S_01122012_213551.txt ; RKreport[2]_D_01122012_214342.txt ; RKreport[3]_D_01122012_214351.txt Rapport Malware : Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Version de la base de données: v2012.12.01.09 Windows 7 x64 NTFS Internet Explorer 9.0.8112.16421 Alexia :: ALEXIA-PC [administrateur] 01/12/2012 21:46:08 mbam-log-2012-12-01 (21-46-08).txt Type d'examen: Examen complet (C:\|) Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 409305 Temps écoulé: 1 heure(s), 30 minute(s), 36 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ZXWHXC5I0HVWXU3EAUGUHKJB (Trojan.SpyEyes.Gen) -> Données: C:\config.bin\9A052F91BBC.exe /q -> Mis en quarantaine et supprimé avec succès. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|1H3HYEWX0HVWXU3EUCSGSVJDHK (Trojan.SpyEyes.Gen) -> Données: C:\config.bin\9A052F91BBC.exe /q -> Mis en quarantaine et supprimé avec succès. Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 6 C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8G1W23CZ\usft_ext[1].txt (Trojan.BCMiner) -> Mis en quarantaine et supprimé avec succès. C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98G78N7H\hubby[1].exe (Backdoor.Agent.RS) -> Mis en quarantaine et supprimé avec succès. C:\Users\Alexia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UYFZBBQ7\main[1].txt (Trojan.BitMiner) -> Mis en quarantaine et supprimé avec succès. C:\Users\Alexia\AppData\Local\Temp\65546.exe (Backdoor.Agent.RS) -> Mis en quarantaine et supprimé avec succès. C:\Users\Alexia\Documents\Windows\usft_ext.dll (Trojan.BCMiner) -> Mis en quarantaine et supprimé avec succès. C:\Users\Alexia\Documents\Windows\win32dll.exe (Trojan.BitMiner) -> Mis en quarantaine et supprimé avec succès. (fin) Et enfin, rapport Cleaner : # AdwCleaner v2.003 - Rapport créé le 01/12/2012 à 23:31:47 # Mis à jour le 23/09/2012 par Xplode # Système d'exploitation : Windows 7 Home Premium (64 bits) # Nom d'utilisateur : Alexia - ALEXIA-PC # Mode de démarrage : Normal # Exécuté depuis : C:\Users\Alexia\Documents\Downloads\adwcleaner.exe # Option [Suppression] ***** [Services] ***** ***** [Fichiers / Dossiers] ***** Dossier Supprimé : C:\Program Files (x86)\Conduit Dossier Supprimé : C:\Program Files (x86)\Vuze_Remote Dossier Supprimé : C:\ProgramData\boost_interprocess Dossier Supprimé : C:\Users\Alexia\AppData\Local\Conduit Dossier Supprimé : C:\Users\Alexia\AppData\Local\Temp\boost_interprocess Dossier Supprimé : C:\Users\Alexia\AppData\LocalLow\Conduit Dossier Supprimé : C:\Users\Alexia\AppData\LocalLow\PriceGong Dossier Supprimé : C:\Users\Alexia\AppData\LocalLow\Vuze_Remote ***** [Registre] ***** Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar Clé Supprimée : HKCU\Software\AppDataLow\Software\Vuze_Remote Clé Supprimée : HKCU\Software\AppDataLow\Toolbar Clé Supprimée : HKCU\Software\Conduit Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BA14329E-9550-4989-B3F2-9732E92D17CC} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA14329E-9550-4989-B3F2-9732E92D17CC} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E30ED111-BD63-48C2-A6CB-AB3C9FFFB07C} Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2504091 Clé Supprimée : HKLM\Software\Conduit Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E30ED111-BD63-48C2-A6CB-AB3C9FFFB07C} Clé Supprimée : HKLM\Software\Vuze_Remote Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{BA14329E-9550-4989-B3F2-9732E92D17CC} Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E30ED111-BD63-48C2-A6CB-AB3C9FFFB07C} Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{49D74342-5227-41AA-B18B-DFD8360C10DC} Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{6A3D02F0-1D4B-4668-B6BE-B5E43B883A30} Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA14329E-9550-4989-B3F2-9732E92D17CC} Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Vuze_Remote Toolbar Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{BA14329E-9550-4989-B3F2-9732E92D17CC}] Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{BA14329E-9550-4989-B3F2-9732E92D17CC}] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{BA14329E-9550-4989-B3F2-9732E92D17CC}] Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{BA14329E-9550-4989-B3F2-9732E92D17CC}] ***** [Navigateurs] ***** -\ Internet Explorer v9.0.8112.16421 Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope] ************************* AdwCleaner[S1].txt - [45175 octets] - [28/09/2012 22:56:11] AdwCleaner[R1].txt - [3543 octets] - [01/12/2012 23:31:24] AdwCleaner[S3].txt - [3420 octets] - [01/12/2012 23:31:47] ########## EOF - C:\AdwCleaner[S3].txt - [3480 octets] ########## Merci en tout cas!

Fish66 · Answer

Bonjour,

Lance ZHPDiag depuis le bureau, lance l'analyse et héberge le rapport. colle le lien dans  ta prochaine réponse 

@+

Alexiia · Answer

http://cjoint.com/data3/3Lckk2mXmG9.htm

(Je ne sais pas comment je m'en sortirais avec mon ordi sans ce forum ^^)

Fish66 · Answer

Re,
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

Alexiia · Answer

Re, 

J'ai eu un problème avec PreScan. 
L'analyse s'est arrêté après environ 1h .. Que faire? 
Je relance normalement ou j'utilise la version avec extension ...?

Fish66 · Answer

Re,
Redémarre ton PC.
1/
Désinstalle :  Logiciel: searchweb 

2/
=> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").



[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified     
O20 - AppInit_DLLs: . (...) - C:\Program Files (x86)\WI3C8A~1\Datamngr\x64\datamngr.dll (.not file.)    => Infection BT (Adware.Bandoo)
[MD5.00000000000000000000000000000000] [APT] [{50F95C74-A33A-47E5-A33A-70601CC2EE62}] (...) -- C:\Users\Alexia\AppData\Roaming\FissaSearch\FissaUninstaller.exe (.not file.)    => Infection BT (PUP.OfferBox)
O42 - Logiciel: searchweb - (.searchweb.) [HKLM][64Bits] -- searchweb    => Infection BT (Adware.SocialSkinz)
O43 - CFD: 23/01/2012 - 16:49:52 - [3,651] ----D C:\Program Files (x86)\searchweb    => Infection BT (Adware.SocialSkinz)
O43 - CFD: 23/01/2012 - 16:49:52 - [3,651] ----D C:\Program Files (x86)\searchweb    => Infection BT (Adware.SocialSkinz)
O69 - SBI: SearchScopes [HKCU] {7BA51DDB-2D76-44F3-B965-FE27036B97F7} - (Web Search) - http://search.conduit.com    => Infection BT (Adware.Bandoo)
[MD5.29090B6B4D6605A97AC760D06436AC2D] [SPRF][23/11/2012] (.Microsoft Corporation - Systray .exe stub.) -- C:\Users\Alexia\AppData\Local\Temp\BXJ10B7.exe   [3072]
[MD5.29090B6B4D6605A97AC760D06436AC2D] [SPRF][29/11/2012] (.Microsoft Corporation - Systray .exe stub.) -- C:\Users\Alexia\AppData\Local\Temp\K5o9990.exe   [3072]
[MD5.29090B6B4D6605A97AC760D06436AC2D] [SPRF][27/11/2012] (.Microsoft Corporation - Systray .exe stub.) -- C:\Users\Alexia\AppData\Local\Temp\M5K53BA.exe   [3072]
[MD5.0BF369C8765A03092F0337D80BA519C6] [SPRF][29/03/2012] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\Alexia\AppData\Local\Temp\MyBabylonTB.exe   [862832]    => Infection BT (Toolbar.Babylon)
[MD5.29090B6B4D6605A97AC760D06436AC2D] [SPRF][30/11/2012] (.Microsoft Corporation - Systray .exe stub.) -- C:\Users\Alexia\AppData\Local\Temp\sCWDF27.exe   [3072]
C:\Program Files (x86)\searchweb    => Infection BT (Adware.SocialSkinz)
[MD5.00000000000000000000000000000000] [APT] [{BCB03726-0F5E-4AD6-91C3-1D9901DF77BB}] (...) -- G:\setup.exe (.not file.)    => Existe aussi en malware DELF-CA.Troj
[MD5.6ACBD475647D7A160657CB3E460F0F35] [SPRF][27/01/2010] (...) -- C:\ProgramData\FullRemove.exe   [131472]

EmptyCLSID
EmptyFlash
EmptyTemp


=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

=> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".

=> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

=> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

=> Une fois terminé, copie-colle le rapport dans ton prochain message. 

3/
 * Télécharge sur le bureau RogueKiller (par tigzy)    
https://www.luanagames.com/index.fr.html    
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )    
* Quitte tous tes programmes en cours    
* Lance RogueKiller.exe   
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe   
* Laisse le prescan se terminer, clique sur Scan   
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message

Alexiia · Answer

Voici le rapport ZHPFix : 
Rapport de ZHPFix 1.3.02 par Nicolas Coolman, Update du 26/09/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-02-12-2012-16-54-52.txt
Run by Alexia at 02/12/2012 16:54:52
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://nicolascoolman.skyrock.com/



========== Logiciel(s) ==========
ABSENT Software Key: searchweb

========== Clé(s) du Registre ==========
SUPPRIME Key: SearchScopes :{7BA51DDB-2D76-44F3-B965-FE27036B97F7}

========== Elément(s) de donnée du Registre ==========
REMPLACE Value NoActiveDesktopChanges :   Good (0) - Bad (1)
SUPPRIME AppInit: \Program Files (x86)\WI3C8A~1\Datamngr\x64\datamngr.dll

========== Dossier(s) ==========
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
ABSENT File: \program files (x86)\wi3c8a~1\datamngr\x64\datamngr.dll
ABSENT Folder/File: c:\users\alexia\appdata\local	emp\bxj10b7.exe
ABSENT Folder/File: c:\users\alexia\appdata\local	emp\k5o9990.exe
ABSENT Folder/File: c:\users\alexia\appdata\local	emp\m5k53ba.exe
ABSENT Folder/File: c:\users\alexia\appdata\local	emp\mybabylontb.exe
ABSENT Folder/File: c:\users\alexia\appdata\local	emp\scwdf27.exe
ABSENT Folder/File: c:\program files (x86)\searchweb
ABSENT Folder/File: c:\programdata\fullremove.exe
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {50F95C74-A33A-47E5-A33A-70601CC2EE62}
SUPPRIME Task: {BCB03726-0F5E-4AD6-91C3-1D9901DF77BB}


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Elément(s) de donnée du Registre
2 : Dossier(s)
10 : Fichier(s)
1 : Logiciel(s)
2 : Tache planifiée


End of clean in 00mn 11s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 02/12/2012 16:54:52 [1726]


Rapport Rogue Killer à venir

(Juste, j'avais relancé Pre_Scan avant de voir ton message, ça m'a fait planté mon ordi, l'écran est devenu noir comme s'il était en veille, et impossible de faire quoi que ce soit. 
Du coup, j'ai forcé l'arrêt, et au redemarrage, j'ai eu une page bleu qui disait Error sytem, your system shut down, qqchose comme ça, du coup j'ai redemarré selon une ancienne configuration. 
Je sais pas si ça change qqchose à tous le processus que tu me fais faire, du coup je préfère te le préciser!)

Alexiia · Answer

RogueKiller V8.3.1 [Nov 29 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode normal Utilisateur : Alexia [Droits d'admin] Mode : Recherche -- Date : 02/12/2012 17:01:44 ¤¤¤ Processus malicieux : 1 ¤¤¤ [Microsoft][HJNAME] winlogon.exe -- C:\Users\Alexia\Desktop\winlogon.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++ --- User --- [MBR] 879b23b00b0791e5f89caa02aaf94c0e [BSP] f7914c800297aa70bb397a3d843290c2 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 291831 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[4]_S_02122012_170144.txt >> RKreport[1]_S_01122012_213551.txt ; RKreport[2]_D_01122012_214342.txt ; RKreport[3]_D_01122012_214351.txt ; RKreport[4]_S_02122012_170144.txt

Fish66 · Answer

Bonsoir,
1/
Relance RogueKiller puis choisis "Suppression"  et poste le rapport stp!

2/
Du coup, j'ai forcé l'arrêt, et au redemarrage, j'ai eu une page bleu qui disait Error sytem, your system shut down, qqchose comme ça, du coup j'ai redemarré selon une ancienne configuration.
Je sais pas si ça change qqchose à tous le processus que tu me fais faire, du coup je préfère te le préciser!)
D'accord, pour voir ce qu'il y'a de nouveau :
Lance ZHPDiag depuis le bureau, lance l'analyse et héberge le rapport. colle le lien dans  ta prochaine réponse

Alexiia · Answer

RogueKiller V8.3.1 [Nov 29 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode normal Utilisateur : Alexia [Droits d'admin] Mode : Suppression -- Date : 02/12/2012 19:27:18 ¤¤¤ Processus malicieux : 1 ¤¤¤ [Microsoft][HJNAME] winlogon.exe -- C:\Users\Alexia\Desktop\winlogon.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++ --- User --- [MBR] 879b23b00b0791e5f89caa02aaf94c0e [BSP] f7914c800297aa70bb397a3d843290c2 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 291831 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[5]_D_02122012_192718.txt >> RKreport[1]_S_01122012_213551.txt ; RKreport[2]_D_01122012_214342.txt ; RKreport[3]_D_01122012_214351.txt ; RKreport[4]_S_02122012_170144.txt ; RKreport[5]_D_02122012_192718.txt Ok je fais ça, merci :)

Fish66 · Answer

Le rapport est incomplet, héberge le stp!

Alexiia · Answer

Ah mince, je pensais pas le message avait été publié! J'y ai pensé après! 
Par contre, je comprend pas pk, mais j'arrive pas l'héberger! J'ai essayé sur cijoint et sur l'autre site, mais ça veut pas ... c'est étonnant!
Je vais encore essayer!

Alexiia · Answer

Voila, j'ai réussi! 

http://www.petit-fichier.fr/2012/12/02/zhpdiag-2/

Fish66 · Answer

* Rends toi sur pjjoint.malekal.com
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
* Clique sur le bouton Envoyer
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015

* Copie le lien dans ta prochaine réponse.

Fish66 · Answer

WOT a indiqué que le site OÙ tu as hébergé le rapport ZHPDiag est mauvais, héberge le ailleurs stp!

Alexiia · Answer

C'est bon, ça a marché cette fois! 

http://cjoint.com/data3/3LcuYaJdi6H.htm

Fish66 · Answer

D'accord!
1/
=> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").



R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs,Tabs = http://webplayersearch.com 
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe     
OPT:O4 - HKUS\S-1-5-21-497740774-3692684925-3353961306-1001\..\Run: [win32dll] C:\Users\Alexia\Documents\Windows\winsvcs.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (...) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [{0EAE5E37-BAED-4269-9CCE-EC5F83FEE2D8}] (...) -- C:\Users\Alexia\Downloads\avira_antivir_personal_free.exe (.not file.) 
[HKLM\Software\BrowserChoice]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]     
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]     
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] 
[HKLM\Software\Wow6432Node\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] 
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] 
[HKLM\Software\Wow6432Node\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] 
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ef79f67a-6ad7-4715-a0f8-932fca442023}]     
[HKLM\Software\Wow6432Node\Google\Chrome\Extensions\elhjaoldnkkbifioodjndkijecdeinld] 
O43 - CFD: 09/09/2010 - 18:28:16 - [0,055] ----D C:\Users\Alexia\AppData\Roaming\98EB0DC79301B126601481D47F620C49
O43 - CFD: 02/12/2012 - 13:19:40 - [0,889] ----D C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
O43 - CFD: 09/09/2010 - 18:27:24 - [0] ----D C:\Users\Alexia\AppData\Local\swureiwsg
O43 - CFD: 02/12/2012 - 13:16:32 - [0] ----D C:\Users\Alexia\AppData\Local\Windows Server

C:\Users\Alexia\AppData\Roaming\WebPlayerBdd 



=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

=> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".

=> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

=> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

=> Une fois terminé, copie-colle le rapport dans ton prochain message. 

2/
Télécharge, enregistre puis exécute : l'utilitaire de désinstallation de McAfee en suivant les instructions

3/
Lance Malwarebytes, supprime tout ce qu'il trouve puis poste le rapport
Lance Avira puis poste le rapport

A demain

Bonne nuit

Alexiia · Answer

Rapport ZHPFix : 

Rapport de ZHPFix 1.3.02 par Nicolas Coolman, Update du 26/09/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-02-12-2012-21-18-03.txt
Run by Alexia at 02/12/2012 21:18:03
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://nicolascoolman.skyrock.com/



========== Clé(s) du Registre ==========
SUPPRIME Key*: HKLM\Software\BrowserChoice
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SUPPRIME Key*: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
ABSENT Key: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
SUPPRIME Key: HKLM\Software\Wow6432Node\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
SUPPRIME Key: HKLM\Software\Wow6432Node\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ef79f67a-6ad7-4715-a0f8-932fca442023}
SUPPRIME Key: HKLM\Software\Wow6432Node\Google\Chrome\Extensions\elhjaoldnkkbifioodjndkijecdeinld

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: win32dll

========== Elément(s) de donnée du Registre ==========
SUPPRIME R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs,Tabs

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Alexia\AppData\Roaming\98EB0DC79301B126601481D47F620C49
SUPPRIME Folder: C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
SUPPRIME Folder: C:\Users\Alexia\AppData\Local\swureiwsg
SUPPRIME Folder: C:\Users\Alexia\AppData\Local\Windows Server
SUPPRIME Folder: c:\users\alexia\appdata\roaming\webplayerbdd

========== Tache planifiée ==========
SUPPRIME Task: Ad-Aware Update (Weekly)
SUPPRIME Task: {0EAE5E37-BAED-4269-9CCE-EC5F83FEE2D8}


========== Récapitulatif ==========
13 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
5 : Dossier(s)
2 : Tache planifiée


End of clean in 00mn 09s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 02/12/2012 16:54:52 [1778]
C:\ZHP\ZHPFix[R2].txt - 02/12/2012 21:18:03 [2733]


Rapport MBAM : 

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.01.09

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Alexia :: ALEXIA-PC [administrateur]

02/12/2012 21:23:51
mbam-log-2012-12-02 (21-23-51).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 404801
Temps écoulé: 1 heure(s), 17 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Alexia\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)


Je poste celui d'Avira dès que possible!
Merci!

Cheval de troie

24 réponses

Votre réponse

Discussions similaires

Newsletters