Sujet Précédent Sujet Suivant

Trojan virulent

Résolu/Fermé
mouatan Messages postés 44 Date d'inscription mardi 17 avril 2012 Statut Membre Dernière intervention 9 octobre 2017 - 18 déc. 2012 à 11:45
 mouatan - 4 janv. 2013 à 11:36
Bonjour,



je n'arrive pas à me débarrasser de deux TROJANs ; " oleup.dll " et " oleup.exe " un fichier et une application dans le dossier System32 du dossier Windows.

Est-ce que quelqu'un pourrait-il m'aider .... Merci à vous. Mouatan.

48 réponses

Précédent
Réponse 21 / 48
mouatan
25 déc. 2012 à 15:28
J'ai bien vérifié et Trend Micro est encore là.

1) Il est demandé de chercher le fichier PCCTOOL.EXE que je ne trouve pas-j'ai pourtant fouillé tous les dossiers.

Les seuls cinq fichiers trouvé sont : PccNT, PccNTMon, PccNTRes.dll, PccNTUpd et PccWFWMo.dll.

2) Si je tâche de le désinstaller par le fichier NTRmv (Désinstaller le client OfficeScan), il me demande un code client. Or, je ne l'ai pas car ce logiciel fait partie d'un pack inclus à l'achat. Et c'est l'éducation nationale qui nous a donné ces machines. Ce sont eux qui doivent avoir le code.

Sinon je vire Avast et je garde Trend. Sur mon autre portable j'ai toujours mon Avast.
0
Réponse 22 / 48
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
25 déc. 2012 à 18:05
Salut,
On va virer Trend Micro autrement!
Tu vas suivre : ces procédures la paragraphe : Windows Vista or Windows 7
-------------------------------
1. Télécharge : ce fichier

Tu termines les procédures jusqu'au 7.

0
Réponse 23 / 48
mouatan
26 déc. 2012 à 01:29
Bonsoir,

c'est ce que je te disais au message précédent, et je viens de le refaire une deuxième fois. Ca ne marche pas, Trend micro est toujours là ... !

Que faire alors ?
0
Réponse 24 / 48
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
26 déc. 2012 à 06:13
Bonjour, 
c'est ce que je te disais au message précédent, et je viens de le refaire une deuxième fois. Ca ne marche pas, Trend micro est toujours là ... !

Ce ne sont pas les mêmes procédures!
Clique sur ce lien : https://helpcenter.trendmicro.com/en-us/
Sachant que tu as vista 32 bits tu suis les procédures (en anglais) de 1. à 7.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 48
mouatan
26 déc. 2012 à 10:49
Par deux fois, j'ai suivi la procédure (en anglais effectivement) de 1 à 7 ( pour Windows Vista or Windows 7) en téléchargeant "32bit.exe", et comme je te l'ai dit, ce sacré TREND persiste.
0
Réponse 26 / 48
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
26 déc. 2012 à 11:00
D'accord!
Télécharge SEAF


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape Trend Micro dans cette fenêtre

confirme la recherche "aussi" dans le registre et informations complementaires , puis [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.
0
Réponse 27 / 48
mouatan
26 déc. 2012 à 11:55
Voici, Fish :

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 11:45:58 le 26/12/2012
4.
5. Valeur(s) recherchée(s):
6. Trend Micro
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Informations supplémentaires
11. (!) --- Recherche registre
12.
13. ====== Fichier(s) ======
14.
15. Aucun fichier trouvé
16.
17.
18. ====== Entrée(s) du registre ======
19.
20.
21. [HKLM\Software\Classes\TypeLib\{A00B957E-3315-46CB-B090-9EF2187641E2}\1.0\0\win32]
22. ""="C:\Program Files\Trend Micro\OfficeScan Client\perfiCrcPerfMonMgr.dll" (REG_SZ)
23.
24. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
25. "OfficeScanNT Monitor"=""C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow" (REG_SZ)
26.
27. [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT]
28. "DisplayName"="Trend Micro OfficeScan Client" (REG_SZ)
29.
30. [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT]
31. "UninstallString"=""C:\Program Files\Trend Micro\OfficeScan Client\ntrmv.exe"" (REG_SZ)
32.
33. [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT]
34. "DisplayIcon"="C:\Program Files\Trend Micro\OfficeScan Client\Pccntmon.exe" (REG_SZ)
35.
36. [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT]
37. "Publisher"="Trend Micro" (REG_SZ)
38.
39. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
40. "C:\Program Files\Trend Micro\OfficeScan Client\NTRmv.exe"="VISTARTM" (REG_SZ)
41.
42. [HKLM\Software\Policies\Microsoft\WindowsFirewall\FirewallRules]
43. "{B716CDAB-5A3F-4B39-933A-989205D472C1}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=2088|Name=Trend Micro OfficeScan Listener|" (REG_SZ)
44.
45. [HKLM\Software\TrendMicro\AEGIS]
46. "TMBMServicePath"="C:\Program Files\Trend Micro\BM\TMBMSRV.exe" (REG_EXPAND_SZ)
47.
48. [HKLM\Software\TrendMicro\NSC\TmProxy]
49. "TempPath"="C:\Program Files\Trend Micro\OfficeScan Client\Temp\TmpxTmp\" (REG_SZ)
50.
51. [HKLM\Software\TrendMicro\NSC\TmProxy]
52. "InstallPath"="C:\Program Files\Trend Micro\OfficeScan Client\" (REG_SZ)
53.
54. [HKLM\Software\TrendMicro\NSC\TmProxy]
55. "LogPath"="C:\Program Files\Trend Micro\OfficeScan Client\Temp\TmpxTmp\Log\" (REG_SZ)
56.
57. [HKLM\Software\TrendMicro\NSC\TmProxy]
58. "ErrTitle"="Installation du service proxy de Trend Micro" (REG_SZ)
59.
60. [HKLM\Software\TrendMicro\NSC\TmProxy\Scan\Common\AntiSpam\config]
61. "RulePath"="C:\Program Files\Trend Micro\Client Server Security Agent\AspmData\" (REG_SZ)
62.
63. [HKLM\Software\TrendMicro\NSC\TmProxy\Scan\Common\MailManager\config]
64. "DisclaimerSubject"="Trend Micro OfficeScan detected and took action on a malicious email" (REG_SZ)
65.
66. [HKLM\Software\TrendMicro\NSC\TmProxy\Scan\Common\MailManager\config]
67. "DisclaimerAddress"="Trend Micro" (REG_SZ)
68.
69. [HKLM\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion]
70. "Application Path"="C:\Program Files\Trend Micro\OfficeScan Client\" (REG_SZ)
71.
72. [HKLM\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.]
73. "ProductName"="Trend Micro OfficeScan" (REG_SZ)
74.
75. [HKLM\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\Real Time Scan Configuration]
76. "VSApiNTHome"="C:\Program Files\Trend Micro\OfficeScan Client\" (REG_SZ)
77.
78. [HKLM\System\ControlSet001\Enum\Root\LEGACY_TMFILTER\0000]
79. "DeviceDesc"="Trend Micro Filter" (REG_SZ)
80.
81. [HKLM\System\ControlSet001\Enum\Root\LEGACY_TMPREFILTER\0000]
82. "DeviceDesc"="Trend Micro PreFilter" (REG_SZ)
83.
84. [HKLM\System\ControlSet001\Enum\Root\LEGACY_TMTDI\0000]
85. "DeviceDesc"="Trend Micro TDI Driver" (REG_SZ)
86.
87. [HKLM\System\ControlSet001\Enum\Root\LEGACY_VSAPINT\0000]
88. "DeviceDesc"="Trend Micro VSAPI NT" (REG_SZ)
89.
90. [HKLM\System\ControlSet001\services\ntrtscan]
91. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe"" (REG_EXPAND_SZ)
92.
93. [HKLM\System\ControlSet001\services\Perf_iCrcPerfMonMgr\Performance]
94. "Library"="C:\Program Files\Trend Micro\OfficeScan Client\perfiCrcPerfMonMgr.dll" (REG_SZ)
95.
96. [HKLM\System\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
97. "{15A81E3E-F333-4C65-AEB1-5BAC9E6AC132}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=2088|Name=Trend Micro OfficeScan Listener|" (REG_SZ)
98.
99. [HKLM\System\ControlSet001\services\tmactmon]
100. "Description"="Trend Micro Activity Monitor Driver" (REG_SZ)
101.
102. [HKLM\System\ControlSet001\services\TMBMServer]
103. "ImagePath"=""C:\Program Files\Trend Micro\BM\TMBMSRV.exe" /service" (REG_EXPAND_SZ)
104.
105. [HKLM\System\ControlSet001\services\TMBMServer]
106. "DisplayName"="Trend Micro Unauthorized Change Prevention Service" (REG_SZ)
107.
108. [HKLM\System\ControlSet001\services\TMBMServer]
109. "Description"="Manages the Trend Micro unauthorized change prevention feature" (REG_SZ)
110.
111. [HKLM\System\ControlSet001\services\TMBMServer]
112. "HomeDir"="C:\Program Files\Trend Micro\BM" (REG_EXPAND_SZ)
113.
114. [HKLM\System\ControlSet001\services\tmcomm]
115. "Description"="Trend Micro Common Engine Driver" (REG_SZ)
116.
117. [HKLM\System\ControlSet001\services\tmevtmgr]
118. "Description"="Trend Micro Event Manager Driver" (REG_SZ)
119.
120. [HKLM\System\ControlSet001\services\TmFilter]
121. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmXPFlt.sys" (REG_EXPAND_SZ)
122.
123. [HKLM\System\ControlSet001\services\TmFilter]
124. "DisplayName"="Trend Micro Filter" (REG_SZ)
125.
126. [HKLM\System\ControlSet001\services\TmFilter]
127. "CurrentPatternName"="C:\Program Files\Trend Micro\OfficeScan Client\ssaptn.355" (REG_SZ)
128.
129. [HKLM\System\ControlSet001\services\tmlisten]
130. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe"" (REG_EXPAND_SZ)
131.
132. [HKLM\System\ControlSet001\services\TmPreFilter]
133. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmPreFlt.sys" (REG_EXPAND_SZ)
134.
135. [HKLM\System\ControlSet001\services\TmPreFilter]
136. "DisplayName"="Trend Micro PreFilter" (REG_SZ)
137.
138. [HKLM\System\ControlSet001\services\VSApiNt]
139. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\VSApiNt.sys" (REG_EXPAND_SZ)
140.
141. [HKLM\System\ControlSet001\services\VSApiNt]
142. "DisplayName"="Trend Micro VSAPI NT" (REG_SZ)
143.
144. [HKLM\System\ControlSet002\Enum\Root\LEGACY_TMFILTER\0000]
145. "DeviceDesc"="Trend Micro Filter" (REG_SZ)
146.
147. [HKLM\System\ControlSet002\Enum\Root\LEGACY_TMPREFILTER\0000]
148. "DeviceDesc"="Trend Micro PreFilter" (REG_SZ)
149.
150. [HKLM\System\ControlSet002\Enum\Root\LEGACY_TMTDI\0000]
151. "DeviceDesc"="Trend Micro TDI Driver" (REG_SZ)
152.
153. [HKLM\System\ControlSet002\Enum\Root\LEGACY_VSAPINT\0000]
154. "DeviceDesc"="Trend Micro VSAPI NT" (REG_SZ)
155.
156. [HKLM\System\ControlSet002\services\ntrtscan]
157. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe"" (REG_EXPAND_SZ)
158.
159. [HKLM\System\ControlSet002\services\Perf_iCrcPerfMonMgr\Performance]
160. "Library"="C:\Program Files\Trend Micro\OfficeScan Client\perfiCrcPerfMonMgr.dll" (REG_SZ)
161.
162. [HKLM\System\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
163. "{15A81E3E-F333-4C65-AEB1-5BAC9E6AC132}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=2088|Name=Trend Micro OfficeScan Listener|" (REG_SZ)
164.
165. [HKLM\System\ControlSet002\services\tmactmon]
166. "Description"="Trend Micro Activity Monitor Driver" (REG_SZ)
167.
168. [HKLM\System\ControlSet002\services\TMBMServer]
169. "ImagePath"=""C:\Program Files\Trend Micro\BM\TMBMSRV.exe" /service" (REG_EXPAND_SZ)
170.
171. [HKLM\System\ControlSet002\services\TMBMServer]
172. "DisplayName"="Trend Micro Unauthorized Change Prevention Service" (REG_SZ)
173.
174. [HKLM\System\ControlSet002\services\TMBMServer]
175. "Description"="Manages the Trend Micro unauthorized change prevention feature" (REG_SZ)
176.
177. [HKLM\System\ControlSet002\services\TMBMServer]
178. "HomeDir"="C:\Program Files\Trend Micro\BM" (REG_EXPAND_SZ)
179.
180. [HKLM\System\ControlSet002\services\tmcomm]
181. "Description"="Trend Micro Common Engine Driver" (REG_SZ)
182.
183. [HKLM\System\ControlSet002\services\tmevtmgr]
184. "Description"="Trend Micro Event Manager Driver" (REG_SZ)
185.
186. [HKLM\System\ControlSet002\services\TmFilter]
187. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmXPFlt.sys" (REG_EXPAND_SZ)
188.
189. [HKLM\System\ControlSet002\services\TmFilter]
190. "DisplayName"="Trend Micro Filter" (REG_SZ)
191.
192. [HKLM\System\ControlSet002\services\TmFilter]
193. "CurrentPatternName"="C:\Program Files\Trend Micro\OfficeScan Client\ssaptn.355" (REG_SZ)
194.
195. [HKLM\System\ControlSet002\services\tmlisten]
196. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe"" (REG_EXPAND_SZ)
197.
198. [HKLM\System\ControlSet002\services\TmPreFilter]
199. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmPreFlt.sys" (REG_EXPAND_SZ)
200.
201. [HKLM\System\ControlSet002\services\TmPreFilter]
202. "DisplayName"="Trend Micro PreFilter" (REG_SZ)
203.
204. [HKLM\System\ControlSet002\services\VSApiNt]
205. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\VSApiNt.sys" (REG_EXPAND_SZ)
206.
207. [HKLM\System\ControlSet002\services\VSApiNt]
208. "DisplayName"="Trend Micro VSAPI NT" (REG_SZ)
209.
210. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_TMFILTER\0000]
211. "DeviceDesc"="Trend Micro Filter" (REG_SZ)
212.
213. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_TMPREFILTER\0000]
214. "DeviceDesc"="Trend Micro PreFilter" (REG_SZ)
215.
216. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_TMTDI\0000]
217. "DeviceDesc"="Trend Micro TDI Driver" (REG_SZ)
218.
219. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_VSAPINT\0000]
220. "DeviceDesc"="Trend Micro VSAPI NT" (REG_SZ)
221.
222. [HKLM\System\CurrentControlSet\services\ntrtscan]
223. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe"" (REG_EXPAND_SZ)
224.
225. [HKLM\System\CurrentControlSet\services\Perf_iCrcPerfMonMgr\Performance]
226. "Library"="C:\Program Files\Trend Micro\OfficeScan Client\perfiCrcPerfMonMgr.dll" (REG_SZ)
227.
228. [HKLM\System\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
229. "{15A81E3E-F333-4C65-AEB1-5BAC9E6AC132}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=2088|Name=Trend Micro OfficeScan Listener|" (REG_SZ)
230.
231. [HKLM\System\CurrentControlSet\services\tmactmon]
232. "Description"="Trend Micro Activity Monitor Driver" (REG_SZ)
233.
234. [HKLM\System\CurrentControlSet\services\TMBMServer]
235. "ImagePath"=""C:\Program Files\Trend Micro\BM\TMBMSRV.exe" /service" (REG_EXPAND_SZ)
236.
237. [HKLM\System\CurrentControlSet\services\TMBMServer]
238. "DisplayName"="Trend Micro Unauthorized Change Prevention Service" (REG_SZ)
239.
240. [HKLM\System\CurrentControlSet\services\TMBMServer]
241. "Description"="Manages the Trend Micro unauthorized change prevention feature" (REG_SZ)
242.
243. [HKLM\System\CurrentControlSet\services\TMBMServer]
244. "HomeDir"="C:\Program Files\Trend Micro\BM" (REG_EXPAND_SZ)
245.
246. [HKLM\System\CurrentControlSet\services\tmcomm]
247. "Description"="Trend Micro Common Engine Driver" (REG_SZ)
248.
249. [HKLM\System\CurrentControlSet\services\tmevtmgr]
250. "Description"="Trend Micro Event Manager Driver" (REG_SZ)
251.
252. [HKLM\System\CurrentControlSet\services\TmFilter]
253. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmXPFlt.sys" (REG_EXPAND_SZ)
254.
255. [HKLM\System\CurrentControlSet\services\TmFilter]
256. "DisplayName"="Trend Micro Filter" (REG_SZ)
257.
258. [HKLM\System\CurrentControlSet\services\TmFilter]
259. "CurrentPatternName"="C:\Program Files\Trend Micro\OfficeScan Client\ssaptn.355" (REG_SZ)
260.
261. [HKLM\System\CurrentControlSet\services\tmlisten]
262. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe"" (REG_EXPAND_SZ)
263.
264. [HKLM\System\CurrentControlSet\services\TmPreFilter]
265. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmPreFlt.sys" (REG_EXPAND_SZ)
266.
267. [HKLM\System\CurrentControlSet\services\TmPreFilter]
268. "DisplayName"="Trend Micro PreFilter" (REG_SZ)
269.
270. [HKLM\System\CurrentControlSet\services\VSApiNt]
271. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\VSApiNt.sys" (REG_EXPAND_SZ)
272.
273. [HKLM\System\CurrentControlSet\services\VSApiNt]
274. "DisplayName"="Trend Micro VSAPI NT" (REG_SZ)
275.
276. [HKU\S-1-5-21-661192484-2001334658-1786885396-1000\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{0C2EDBF2-AF44-4A10-BC1B-D1EB6127977C}Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules]
277. "{B716CDAB-5A3F-4B39-933A-989205D472C1}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=2088|Name=Trend Micro OfficeScan Listener|" (REG_SZ)
278.
279. [HKU\S-1-5-21-661192484-2001334658-1786885396-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted]
280. "C:\Program Files\Trend Micro\OfficeScan Client\NTRmv.exe"="1" (REG_DWORD)
281.
282. =========================
283.
284. Fin à: 11:48:35 le 26/12/2012
285. 370342 Éléments analysés
286.
287. =========================
288. E.O.F
0
Réponse 28 / 48
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
26 déc. 2012 à 14:31
Bonjour,

* Télécharge OTM (OldTimer) sur ton Bureau

ICI >> OTM (OldTimer)
* Double clic "OTMoveIt3.exe"
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :



:files
C:\Program Files\Trend Micro

:Reg
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"OfficeScanNT Monitor"=-
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT]
[-HKLM\Software\TrendMicro\AEGIS]
[-HKLM\Software\TrendMicro\NSC\TmProxy]
[-HKLM\Software\TrendMicro\NSC\TmProxy\Scan\Common\AntiSpam\config]
[-HKLM\Software\TrendMicro\NSC\TmProxy\Scan\Common\MailManager\config]
[-HKLM\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion]
[-HKLM\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\Real Time Scan Configuration]
[-HKLM\System\ControlSet001\services\TMBMServer]
[-HKLM\System\ControlSet001\services\tmactmon]
[-HKLM\System\ControlSet001\services\TmFilter]
[-HKLM\System\ControlSet001\services\tmlisten]

:commands
[emptytemp]




- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
Réponse 29 / 48
mouatan
27 déc. 2012 à 02:54
voici le dernier rapport, ça a l'air d'avoir marché !

All processes killed
========== FILES ==========
C:\Program Files\Trend Micro\OfficeScan Client\Temp\TmpxTmp\Log folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Temp\TmpxTmp folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Temp\PFW folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Temp scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\SUSPECT\Backup\temp folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\SUSPECT\Backup folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\SUSPECT folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Rollback scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\report folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\OppLog folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Misc folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Log folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\HLog folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\FLog folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\components scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\Chrome\locale\en-US folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\Chrome\locale folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\Chrome folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\ConnLog folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\whxdata folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\whgdata folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\whdata folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\osce_topics\images folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\osce_topics folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\images folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Cache\Patterns folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Cache scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\BackupAS folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Backup folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Data\AU_Temp folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Data\AU_Log folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Data folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3\2048 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3\1208221731 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3\1090519040 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3\1082130432 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3\1073741840 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AOSHTML folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client scheduled to be moved on reboot.
C:\Program Files\Trend Micro\BM\update folder moved successfully.
C:\Program Files\Trend Micro\BM\Profiles folder moved successfully.
C:\Program Files\Trend Micro\BM\Patterns\OEM folder moved successfully.
C:\Program Files\Trend Micro\BM\Patterns folder moved successfully.
C:\Program Files\Trend Micro\BM\log folder moved successfully.
C:\Program Files\Trend Micro\BM\cache folder moved successfully.
C:\Program Files\Trend Micro\BM folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro scheduled to be moved on reboot.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\OfficeScanNT Monitor deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT\ deleted successfully.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\AEGIS\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\Scan\Common\AntiSpam\config\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\Scan\Common\MailManager\config\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\Real Time Scan Configuration\ scheduled to be deleted on reboot.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\services\TMBMServer\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\services\tmactmon\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\services\TmFilter\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\services\tmlisten\ deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 81920 bytes
->Temporary Internet Files folder emptied: 442770 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 44081197 bytes
->Flash cache emptied: 57431 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default.old
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56475 bytes

User: Enseignant
->Temp folder emptied: 1778992 bytes
->Temporary Internet Files folder emptied: 15569287 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 486805186 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 62908 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1057986 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 741 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 525,00 mb


OTM by OldTimer - Version 3.1.21.0 log created on 12272012_015837

Files moved on Reboot...
C:\Program Files\Trend Micro\OfficeScan Client\Temp\PFW folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Temp scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Rollback scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\components scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\components scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\Cache\Patterns folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Cache scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Temp scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\Suspect\Backup\temp folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Suspect\Backup folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Suspect folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Rollback scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\Misc folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\components scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Cache scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\Backup folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Temp scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Rollback scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\components scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Cache scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client scheduled to be moved on reboot.
C:\Program Files\Trend Micro\BM\update folder moved successfully.
C:\Program Files\Trend Micro\BM\Profiles folder moved successfully.
C:\Program Files\Trend Micro\BM\Patterns\OEM folder moved successfully.
C:\Program Files\Trend Micro\BM\Patterns folder moved successfully.
C:\Program Files\Trend Micro\BM\log folder moved successfully.
C:\Program Files\Trend Micro\BM\cache folder moved successfully.
C:\Program Files\Trend Micro\BM folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro scheduled to be moved on reboot.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\AEGIS\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\Scan\Common\AntiSpam\config\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\Scan\Common\MailManager\config\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\Real Time Scan Configuration\ scheduled to be deleted on reboot.
0
Réponse 30 / 48
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
27 déc. 2012 à 06:11
Bonjour,
Redémarre ton PC.
Lance ZHPDiag depuis le bureau, clique sur la flèche verte (mise à jour)
Ensuite coche tout au tournevis (aide ici) puis lance l'analyse, ferme le et héberge le rapport. colle le lien dans ta prochaine réponse
0
Réponse 31 / 48
mouatan
28 déc. 2012 à 01:54
bonsoir Fish, je te laisse l'adresse du fichier ZHP hébergé :

http://cjoint.com/?BLCbYdg0wEZ

Un certain nombre de lignes sont encore bleues. Subsiste t-il encore des problèmes de virus ou sont-ce des programmes mal installés, ou incomplets, voire des clés de registre orphelines qui ont été oubliées ? Qu'en pense-tu ?
0
Réponse 32 / 48
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
28 déc. 2012 à 06:30
Bonjour,
Tu n'as pas tout au tournevis, on va relancer ZHPDiag! :-)
----------------------------- 
Un certain nombre de lignes sont encore bleues.

Est ce que tu peux encore expliquer ?
1/
=> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").



SR - | Auto 07/09/2011 1900904 | (ntrtscan) . (.Trend Micro Inc..) - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe => Trend Micro%OfficeScan
SR - | Demand 16/06/2011 345616 | (TMBMServer) . (.Trend Micro Inc..) - C:\Program Files\Trend Micro\BM\TMBMSRV.exe => Trend Micro%Internet Security Suite
OPT:O4 - Global Startup: C:\Users\Enseignant\Desktop\dwhelper - Raccourci.lnk . (...) -- C:\Users\Enseignant\dwhelper
OPT:O4 - Global Startup: C:\Users\Enseignant\Desktop\ELEVES.lnk . (...) -- D:\ELEVES
OPT:O4 - Global Startup: C:\Users\Enseignant\Desktop\Superbus_-_Whisper - Raccourci.lnk . (...) -- C:\Users\Enseignant\dwhelper\Superbus_-_Whisper.mp4
OPT:O4 - Global Startup: C:\Users\Enseignant\Desktop\Superbus_-_Whisper_Paroles_-_Lyrics - Raccourci.lnk . (...) -- C:\Users\Enseignant\dwhelper\Superbus_-_Whisper_Paroles_-_Lyrics.mp4
OPT:O4 - Global Startup: C:\Users\Enseignant\Desktop\Téléchargements - Raccourci.lnk . (...) -- C:\Users\Enseignant\Downloads
OPT:O4 - HKLM\..\Run: [ThpSrv] Clé orpheline
[MD5.F02A533F517EB38333CB12A9E8963773] [APT] [GoogleUpdateTaskMachineCore] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe
[MD5.F02A533F517EB38333CB12A9E8963773] [APT] [GoogleUpdateTaskMachineUA] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe
[MD5.00000000000000000000000000000000] [APT] [{D4BD3AA1-0FCA-4F14-9411-ABA689905494}] (...) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.4.9\GUninstaller.exe (.not file.) => Infection BT (Toolbar.Babylon)
[HKLM\Software\YourFileDownloader]
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:dllName="BrowserProtect.dll"
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:exeName="BrowserProtect.exe"
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:folderName="BrowserProtect"
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:serviceName="BrowserProtect"
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:version="2.5.1005.80"



=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

=> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".

=> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

=> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

=> Une fois terminé, copie-colle le rapport dans ton prochain message.

2/
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
* Laisse le prescan se terminer, clique sur Scan
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message

3/
Est ce que le virus est encore détecté ?

@+
0
Réponse 33 / 48
mouatan
29 déc. 2012 à 03:06
1) Voici le rapport de ZHPFix :

Rapport de ZHPFix 1.3.10 par Nicolas Coolman, Update du 11/12/2012
Fichier d'export Registre :
Run by Enseignant at 29/12/2012 02:55:10
Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)



========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Program Files\Google\Update\GoogleUpdate.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: Service: ntrtscan
SUPPRIME Key: Service: TMBMServer
SUPPRIME Key: HKLM\Software\YourFileDownloader

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: ThpSrv
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:dllName="BrowserProtect.dll"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:exeName="BrowserProtect.exe"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:folderName="BrowserProtect"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:serviceName="BrowserProtect"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:version="2.5.1005.80"

========== Fichier(s) ==========
SUPPRIME Reboot c:\program files\trend micro\officescan client\ntrtscan.exe
SUPPRIME Reboot c:\program files\trend micro\bm\tmbmsrv.exe
SUPPRIME File: c:\users\enseignant\desktop\dwhelper - raccourci.lnk
SUPPRIME File: c:\users\enseignant\desktop\eleves.lnk
SUPPRIME File: c:\users\enseignant\desktop\superbus_-_whisper - raccourci.lnk
SUPPRIME File: c:\users\enseignant\desktop\superbus_-_whisper_paroles_-_lyrics - raccourci.lnk
SUPPRIME File: c:\users\enseignant\desktop\téléchargements - raccourci.lnk
SUPPRIME File***: c:\program files\google\update\googleupdate.exe
ABSENT Folder/File: c:\program files\google\update\googleupdate.exe

========== Tache planifiée ==========
SUPPRIME Task: GoogleUpdateTaskMachineCore
SUPPRIME Task: GoogleUpdateTaskMachineUA
SUPPRIME Task: {D4BD3AA1-0FCA-4F14-9411-ABA689905494}


========== Récapitulatif ==========
1 : Processus mémoire
3 : Clé(s) du Registre
7 : Valeur(s) du Registre
9 : Fichier(s)
3 : Tache planifiée


End of clean in 00mn 14s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 19/12/2012 00:56:50 [381]
C:\ZHP\ZHPFix[R2].txt - 22/12/2012 01:15:05 [1508]
C:\ZHP\ZHPFix[R3].txt - 24/12/2012 01:09:12 [1970]
C:\ZHP\ZHPFix[R4].txt - 29/12/2012 02:55:10 [2585]

REMARQUE : Je parle des lignes bleues qui apparaissent sur les rapports originaux. le bleu disparaît lors des copier-coller. Par ex. ici deux lignes m'apparaissent en bleu : dans FICHIER(S)/
SUPPRIME Reboot c:\program files\trend micro\officescan client\ntrtscan.exe
SUPPRIME Reboot c:\program files\trend micro\bm\tmbmsrv.exe

2) prochaine réponse
0
Réponse 34 / 48
mouatan
29 déc. 2012 à 03:19
2) rapport de RogueKiller :

RogueKiller V8.4.1 [Dec 28 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Enseignant [Droits d'admin]
Mode : Recherche -- Date : 29/12/2012 03:11:29

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][SUSP PATH] HKLM\[...]\RunOnce : InnoSetupRegFile.0000000001 ("C:\Windows\is-5U0ON.exe" /REG /REGSVRMODE) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[70] : NtCreateKey @ 0x83240F46 -> HOOKED (Unknown @ 0x885A3474)
SSDT[74] : NtCreateMutant @ 0x832502B2 -> HOOKED (Unknown @ 0x8957AEA4)
SSDT[79] : NtCreateProcess @ 0x8331C0C3 -> HOOKED (Unknown @ 0x89521B8C)
SSDT[80] : NtCreateProcessEx @ 0x8331C10E -> HOOKED (Unknown @ 0x895073C4)
SSDT[86] : NtCreateSymbolicLinkObject @ 0x83241911 -> HOOKED (Unknown @ 0x89537314)
SSDT[87] : NtCreateThread @ 0x8331BECA -> HOOKED (Unknown @ 0x89536574)
SSDT[88] : NtCreateThreadEx @ 0x832B036B -> HOOKED (Unknown @ 0x8957AF24)
SSDT[93] : NtCreateUserProcess @ 0x832AE29D -> HOOKED (Unknown @ 0x8953EC14)
SSDT[103] : NtDeleteKey @ 0x8322BA27 -> HOOKED (Unknown @ 0x885A310C)
SSDT[106] : NtDeleteValueKey @ 0x8321D43E -> HOOKED (Unknown @ 0x89536634)
SSDT[111] : NtDuplicateObject @ 0x8327167A -> HOOKED (Unknown @ 0x895372D4)
SSDT[155] : NtLoadDriver @ 0x83205C20 -> HOOKED (Unknown @ 0x8957AEE4)
SSDT[190] : NtOpenProcess @ 0x83251AF8 -> HOOKED (Unknown @ 0x89508C7C)
SSDT[194] : NtOpenSection @ 0x832A98BB -> HOOKED (Unknown @ 0x895365F4)
SSDT[290] : NtRenameKey @ 0x832DBFAB -> HOOKED (Unknown @ 0x8953513C)
SSDT[302] : NtRestoreKey @ 0x832D1B5C -> HOOKED (Unknown @ 0x895350FC)
SSDT[350] : NtSetSystemInformation @ 0x8328E29A -> HOOKED (Unknown @ 0x8957AE64)
SSDT[358] : NtSetValueKey @ 0x8324A543 -> HOOKED (Unknown @ 0x89536C14)
SSDT[370] : NtTerminateProcess @ 0x8329ABFB -> HOOKED (Unknown @ 0x894290BC)
SSDT[371] : NtTerminateThread @ 0x832B8584 -> HOOKED (Unknown @ 0x895367DC)
SSDT[399] : NtWriteVirtualMemory @ 0x8329F958 -> HOOKED (Unknown @ 0x895365B4)
S_SSDT[584] : NtUserSetWindowsHookAW -> HOOKED (Unknown @ 0x8944E144)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8A0283DC)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK3261GSYN +++++
--- User ---
[MBR] 03038ca829308455ca9de3ee13b573d3
[BSP] 5eb3f2f8526f805eb3ff380deb7c6b6f : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 153000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 314165248 | Size: 151843 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_29122012_031129.txt >>
RKreport[1]_S_29122012_031129.txt

--------------------

Dans mes programmes, j'ai toujours le Client OfficeScan ... !!! Pfff !!!
0
Réponse 35 / 48
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
29 déc. 2012 à 11:18
Bonjour,
Relance RogueKiller puis choisis "Suppression" et poste
le rapport stp
Ensuite, lance mbam, supprime tout ce qu'il trouve puis poste le rapport

@+
0
Réponse 36 / 48
mouatan
29 déc. 2012 à 23:55
Bonsoir Fish, voici les deux rapports :
-------------------------------------------------------------------------
RogueKiller V8.4.1 [Dec 28 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Enseignant [Droits d'admin]
Mode : Suppression -- Date : 29/12/2012 22:55:17

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[70] : NtCreateKey @ 0x83208F46 -> HOOKED (Unknown @ 0x8932DDBC)
SSDT[74] : NtCreateMutant @ 0x832182B2 -> HOOKED (Unknown @ 0x86183534)
SSDT[79] : NtCreateProcess @ 0x832E40C3 -> HOOKED (Unknown @ 0x8942F314)
SSDT[80] : NtCreateProcessEx @ 0x832E410E -> HOOKED (Unknown @ 0x8951090C)
SSDT[86] : NtCreateSymbolicLinkObject @ 0x83209911 -> HOOKED (Unknown @ 0x8618342C)
SSDT[87] : NtCreateThread @ 0x832E3ECA -> HOOKED (Unknown @ 0x861835F4)
SSDT[88] : NtCreateThreadEx @ 0x8327836B -> HOOKED (Unknown @ 0x861835B4)
SSDT[93] : NtCreateUserProcess @ 0x8327629D -> HOOKED (Unknown @ 0x8950D2FC)
SSDT[103] : NtDeleteKey @ 0x831F3A27 -> HOOKED (Unknown @ 0x8932DD3C)
SSDT[106] : NtDeleteValueKey @ 0x831E543E -> HOOKED (Unknown @ 0x8932DC7C)
SSDT[111] : NtDuplicateObject @ 0x8323967A -> HOOKED (Unknown @ 0x861833EC)
SSDT[155] : NtLoadDriver @ 0x831CDC20 -> HOOKED (Unknown @ 0x86183574)
SSDT[190] : NtOpenProcess @ 0x83219AF8 -> HOOKED (Unknown @ 0x8951425C)
SSDT[194] : NtOpenSection @ 0x832718BB -> HOOKED (Unknown @ 0x8932DC3C)
SSDT[290] : NtRenameKey @ 0x832A3FAB -> HOOKED (Unknown @ 0x8932DCFC)
SSDT[302] : NtRestoreKey @ 0x83299B5C -> HOOKED (Unknown @ 0x8932DCBC)
SSDT[350] : NtSetSystemInformation @ 0x8325629A -> HOOKED (Unknown @ 0x861834F4)
SSDT[358] : NtSetValueKey @ 0x83212543 -> HOOKED (Unknown @ 0x8932DD7C)
SSDT[370] : NtTerminateProcess @ 0x83262BFB -> HOOKED (Unknown @ 0x8949135C)
SSDT[371] : NtTerminateThread @ 0x83280584 -> HOOKED (Unknown @ 0x894902F4)
SSDT[399] : NtWriteVirtualMemory @ 0x83267958 -> HOOKED (Unknown @ 0x8932DBFC)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK3261GSYN +++++
--- User ---
[MBR] 03038ca829308455ca9de3ee13b573d3
[BSP] 5eb3f2f8526f805eb3ff380deb7c6b6f : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 153000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 314165248 | Size: 151843 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4]_D_29122012_225517.txt >>
RKreport[1]_S_29122012_031129.txt ; RKreport[2]_S_29122012_031155.txt ; RKreport[3]_S_29122012_225436.txt ; RKreport[4]_D_29122012_225517.txt
----------------------------------------------------------------------------
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2012.12.29.11

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Enseignant :: CG943C170716H [administrateur]

29/12/2012 23:02:34
mbam-log-2012-12-29 (23-02-34).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 358128
Temps écoulé: 45 minute(s), 11 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Réponse 37 / 48
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
30 déc. 2012 à 12:59
Bonjour,
1/
Télécharger Eset Nod32 :
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
* Lancer le fichier
* Accepter les conditions
* Autoriser le programme à accéder à Internet
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
* Téléchargement des signatures


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !

* Le scan débute dés la fin du téléchargement
* Générer le rapport
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt

Pour vous aider voici un tuto rédigé par dorgane :
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

2/
Fais une analyse antivirus en ligne sur BitDefender on line avec Internet Explorer
Laisse-toi guider. Colle son rapport ici.
0
Réponse 38 / 48
mouatan
31 déc. 2012 à 01:32
1) Salut Fish, voilà fle rapport de ESET. Il a trouvé deux fichiers dans un dossier de Cubase. Mais comme je me sers de ce logiciel et ne sachant ce qu'étaient ces deux
" Setup.exe Win32/PrcView Application ", je les ai restauré. Peut-être ne le fallait-il pas ...

2) jpour BitDefender çl n y avait rien.. Crois-tu qu'il serait judicieux d'installer ce logiciel comme cela me l'est proposé ?

______________________________________________________________________

1) ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6844
# api_version=3.0.2
# EOSSerial=6087f795b9485144a2abc19b001d0eec
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-12-30 11:34:53
# local_time=2012-12-31 12:34:53 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=774 16777213 100 91 2681840 133620365 0 0
# compatibility_mode=5893 16776573 100 94 228605 108541684 0 0
# scanned=151170
# found=2
# cleaned=2
# scan_time=2087

C:\Users\Enseignant\Desktop\Steinberg Cubase 5.1\CVPiano\CVPiano-GVI-Modeled_Setup.exe Win32/PrcView Application (nettoyé par suppression - mis en quarantaine) A2A40C73FB3D6BC61CBE921FBA4ED273CE32391B C

D:\Cubase\CVPiano\CVPiano-GVI-Modeled_Setup.exe Win32/PrcView Application (nettoyé par suppression - mis en quarantaine) A2A40C73FB3D6BC61CBE921FBA4ED273CE32391B C
0
Réponse 39 / 48
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
31 déc. 2012 à 08:09
Bonjour,
S'il sont infectés il ne faut pas les garder! On va les analyser avec virus total :
----------------------------
Pour bien vérifier que le fichier ci-dessous est infecté rend toi sur ce site
Virus Total

* Clique sur " choose file "
* Vas sur ton disque chercher ce fichier à cet emplacement :

emplacement du fichier à analyser


* Clique ensuite sur le bouton « Scan it »
* Patiente le temps de l'analyse qui dépend de la taille du fichier
* Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio)
* Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse


Fait de la même facon l'autre fichier.

@+
0
Réponse 40 / 48
mouatan
31 déc. 2012 à 20:48
1) 1er fichier sur disque C : Detection ratio: 3 / 43

https://www.virustotal.com/file/3dded9361b2d0b72ddd7061f47733f0c2b23a666dc65d41baa4d9d1a8bddcd61/analysis/

2) 2ème fichier sur disque D : Detection ratio: 3 / 43

https://www.virustotal.com/file/3dded9361b2d0b72ddd7061f47733f0c2b23a666dc65d41baa4d9d1a8bddcd61/analysis/
____________
En fait, il s'agit du même fichier car le programme se trouve (dupliqué) sur C et sur D. C'est la raison pour laquelle les caractéristiques sont similaires.
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses