Infection par Trojan.Win32generic!BT

Résolu
Galcian Messages postés 10 Date d'inscription   Statut Membre Dernière intervention   -  
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,


Je vous contacte au sujet de l'un de mes ordinateurs qui est infecté par un cheval de Troie nommé Trojan.win32generic!BT. Mes antivirus Adaware, Avast et Malwarebytes ne parviennent pas à le supprimer. Il revient à chaque fois.

L'ordinateur est super lent à fonctionner, les applications mettent du temps à s'ouvrir. Pour surfer sur le web, ça rame. Je remarque aussi des fenêtres publicitaires intempestives qui s'ouvrent ainsi que des liens suspects colorés en vert et soulignés de deux traits horizontaux.

Est-ce que quelqu'un aurait la gentillesse de bien vouloir m'aider à résoudre ce problème ?

Je vous en remercie par avance.

Cordialement.

NB :- je ne peux pas vous poster le rapport d'Avast car il ne détecte rien et celui d'Adaware ne peut pas être copié/collé !
- je suis novice en informatique !

17 réponses

Réponse 1 / 17
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonsoir,
Tu peux désinstaller Adaware, il ne sert à rien!
---------------
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)
==============================
Pour éviter d'avoir des publicités et des toolbars, tu peux lire <<< ceci >>>

@+
0
Réponse 2 / 17
Galcian Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour Fish 66 !

Merci beaucoup de m'avoir répondu. Voici le rapport que tu me demandais en dessous. J'ai désinstallé Adaware. Par contre je n'ai pas scanné mon disque dur avec Awcleaner sur lequel j'ai aussi retrouvé le cheval de troie et qu'adaware avait en apparence supprimé !

# AdwCleaner v2.306 - Rapport créé le 18/08/2013 à 11:47:30
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : ALEXANDRINE - ALEXANDR-0B7110
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\ALEXANDRINE\Mes documents\Téléchargements\AdwCleaner-2.306.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : BrowserDefendert

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\ALEXANDRINE\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\extensions\ffxtlbr@delta.com
Dossier Supprimé : C:\Documents and Settings\ALEXANDRINE\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\extensions\staged
Dossier Supprimé : C:\Documents and Settings\ALEXANDRINE\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\SweetIMToolbarData
Dossier Supprimé : C:\Documents and Settings\ALEXANDRINE\Application Data\OpenCandy
Dossier Supprimé : C:\Documents and Settings\ALEXANDRINE\Application Data\PriceGong
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Babylon
Dossier Supprimé : C:\Program Files\delta
Dossier Supprimé : C:\Program Files\PriceGong
Dossier Supprimé : C:\Program Files\SweetIM
Fichier Supprimé : C:\Documents and Settings\ALEXANDRINE\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\bProtector_extensions.rdf
Fichier Supprimé : C:\Documents and Settings\ALEXANDRINE\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\bprotector_extensions.sqlite
Fichier Supprimé : C:\Documents and Settings\ALEXANDRINE\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\bprotector_prefs.js
Fichier Supprimé : C:\Documents and Settings\ALEXANDRINE\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
Fichier Supprimé : C:\Documents and Settings\ALEXANDRINE\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\searchplugins\BrowserDefender.xml
Fichier Supprimé : C:\Documents and Settings\ALEXANDRINE\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\searchplugins\delta.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\BabSolution
Clé Supprimée : HKCU\Software\Crossrider
Clé Supprimée : HKCU\Software\d2d9dfbd69ed42
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\Delta
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\InstalledBrowserExtensions
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\PriceGong
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{39CB8175-E224-4446-8746-00566302DF8D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0037180.Sandbox
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0037180.Sandbox.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1231839B-064E-4788-B865-465A1B5266FD}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2DAC2231-CC35-482B-97C5-CED1D4185080}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F1CD84C-04A3-4EA0-9EA1-7D134FD66C82}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F83A9CA-B5F0-44EC-9357-35BB3E84B07F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{47E520EA-CAD2-4F51-8F30-613B3A1C33EB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{57C91446-8D81-4156-A70E-624551442DE9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{70AFB7B2-9FB5-4A70-905B-0E9576142E1D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7AD65FD1-79E0-406D-B03C-DD7C14726D69}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{97DD820D-2E20-40AD-B01E-6730B2FCE630}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B177446D-54A4-4869-BABC-8566110B4BE0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D9D1DFC5-502D-43E4-B1BB-4D0B7841489A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E0B07188-A528-4F9E-B2F7-C7FDE8680AE4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F05B12E1-ADE8-4485-B45B-898748B53C37}
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4599D05A-D545-4069-BB42-5895B4EAE05B}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8B3372D0-09F0-41A5-8D9B-134E148672FB}
Clé Supprimée : HKLM\SOFTWARE\d2d9dfbd69ed42
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\Delta
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\eooncjejnppfjjklapaamhcdmjbilmde
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Delta
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Delta Chrome Toolbar
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\PriceGong
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong
Clé Supprimée : HKLM\Software\TENCENT
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Main [bprotector start page]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [bProtectorDefaultScope]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]
Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{8a9386b4-e958-4c4c-adf4-8f26db3e4829}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://www1.delta-search.com/?babsrc=NT_ss&mntrId=F4760016E39268C6&affID=119357&tt=210713_91114&tsp=4950 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - bProtectTabs] = hxxp://www1.delta-search.com/?babsrc=NT_ss&mntrId=F4760016E39268C6&affID=119357&tt=210713_91114&tsp=4950 --> hxxp://www.google.com

-\\ Mozilla Firefox v22.0 (fr)

Fichier : C:\Documents and Settings\ALEXANDRINE\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\prefs.js

C:\Documents and Settings\ALEXANDRINE\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\user.js ... Supprimé !

Supprimée : user_pref("browser.newtab.url", "hxxp://www1.delta-search.com/?babsrc=NT_ss&mntrId=F4760016E39268C6&[...]
Supprimée : user_pref("browser.search.defaultenginename", "SweetIM Search");
Supprimée : user_pref("browser.search.order.1", "Delta Search");
Supprimée : user_pref("extensions.ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180.3718[...]
Supprimée : user_pref("extensions.ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180.3718[...]
Supprimée : user_pref("extensions.ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180.3718[...]
Supprimée : user_pref("extensions.ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180.3718[...]
Supprimée : user_pref("extensions.ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180.3718[...]
Supprimée : user_pref("extensions.ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180.3718[...]
Supprimée : user_pref("extensions.ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180.3718[...]
Supprimée : user_pref("extensions.ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180.3718[...]
Supprimée : user_pref("extensions.ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180.3718[...]
Supprimée : user_pref("extensions.delta.admin", false);
Supprimée : user_pref("extensions.delta.aflt", "babsst");
Supprimée : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
Supprimée : user_pref("extensions.delta.autoRvrt", "false");
Supprimée : user_pref("extensions.delta.dfltLng", "fr");
Supprimée : user_pref("extensions.delta.excTlbr", false);
Supprimée : user_pref("extensions.delta.ffxUnstlRst", true);
Supprimée : user_pref("extensions.delta.id", "f4769e130000000000000016e39268c6");
Supprimée : user_pref("extensions.delta.instlDay", "15907");
Supprimée : user_pref("extensions.delta.instlRef", "sst");
Supprimée : user_pref("extensions.delta.newTab", false);
Supprimée : user_pref("extensions.delta.prdct", "delta");
Supprimée : user_pref("extensions.delta.prtnrId", "delta");
Supprimée : user_pref("extensions.delta.rvrt", "false");
Supprimée : user_pref("extensions.delta.smplGrp", "none");
Supprimée : user_pref("extensions.delta.tlbrId", "base");
Supprimée : user_pref("extensions.delta.tlbrSrchUrl", "");
Supprimée : user_pref("extensions.delta.vrsn", "1.8.21.5");
Supprimée : user_pref("extensions.delta.vrsnTs", "1.8.21.523:17:15");
Supprimée : user_pref("extensions.delta.vrsni", "1.8.21.5");
Supprimée : user_pref("extensions.delta_i.babExt", "");
Supprimée : user_pref("extensions.delta_i.babTrack", "affID=119357&tt=210713_91114&tsp=4950");
Supprimée : user_pref("extensions.delta_i.srcExt", "ss");
Supprimée : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?src=2&q=");
Supprimée : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
Supprimée : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
Supprimée : user_pref("sweetim.toolbar.mode.debug", "false");
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaulturl", "");
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
Supprimée : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
Supprimée : user_pref("sweetim.toolbar.previous.keyword.URL", "chrome://browser-region/locale/region.properties"[...]
Supprimée : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...]
Supprimée : user_pref("sweetim.toolbar.search.history.capacity", "10");
Supprimée : user_pref("sweetim.toolbar.simapp_id", "{0D0423F9-3603-40C8-9DEE-209A7131B698}");
Supprimée : user_pref("sweetim.toolbar.urls.homepage", "hxxp://home.sweetim.com");
Supprimée : user_pref("sweetim.toolbar.version", "1.1.0.2");

*************************

AdwCleaner[S1].txt - [12684 octets] - [18/08/2013 11:47:31]

########## EOF - C:\AdwCleaner[S1].txt - [12745 octets] ##########

Je reste à ta disposition pour tes prochaines consignes.
Passe une bonne journée !
0
Réponse 3 / 17
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonjour,
* Télécharge ZHPDiag de Nicolas Coolman à partir ce lien :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

* Une fois le téléchargement achevé,

* Double-clique sur l'icône pour lancer le programme. Sous Vista , Seven ou Windows 8 clic droit « exécuter en tant qu'administrateur »

* Dans la fenêtre ZHPDiag qui vient de s'ouvrir , clique sur "Configurer"

* Clique sur la loupe en bas à gauche sans signe pour lancer l'analyse.

* Clique sur OUI à la question "Voulez-vous un rapport full options"

* Laisse l'outil travailler, il peut être assez long.

* Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau
* Héberge le rapport ZHPDiag.txt de ton bureau sur : FEC Upload ou malekal.com
* Fais copier/coller le lien fourni dans ta prochaine réponse

@+

0
Réponse 4 / 17
Galcian Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Re bonjour,

J'ai téléchargé ZHPDiag à partir du site de comment ça marche : 3 icones sont apparus sur le bureau dont ZHPDiag, ZHPFix et MBRCheck.
Mon ordi est (encore !) sous Windows XP : quand je double clique droit sur ZHPDiag pour ouvrir l'application en tant qu'administrateur, une fenêtre bleue apparaît pour m'inviter à faire le choix suivant:
"quel compte d'utilisateur voulez vous utiliser pour exécuter ce programme ?"
Je coche évidemment "l'utilisateur suivant" en laissant "Administrateur" comme nom d'utilisateur" mais on me demande en plus un mot de passe que j'ignore complètement (en plus j'accède à ma session normale de windows sans mot de passe).
Que faire ?
- repasser par le mode sans échec en utilisant le compte administrateur pour exécuter le programme en tant que tel.
- ou cliquer sur le nom ZHPDiag dans le menu démarrage en faisant CTRL+ALT+ENTREE.
ou bien une autre méthode que je ne connais pas ?
Je te remercie de ton aide.
0
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonsoir,
Désinstalle ta version de ZHPDiag puis télécharge le à partir des liens que je t'ai donné, si le problème existe encore, Double clique sur l'icone ZHPDiag en mode sans échec avec prise en charge du réseau.
=============================
Démarrage en Mode sans échec avec prise en charge réseau :
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau
puis tape entrée.
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
(Si F8 ne marche pas utilise la touche F5)

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
Galcian Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Salut !

Voilà, j'ai suivi à la lettre toutes tes explications et je t'en remercie ;)
J'ai hébergé le rapport ZHPDiag sur FEC Upload et voici les liens :

Lien de téléchargement: https://forums-fec.be/upload/www/?a=d&i=3506526565
Lien de suppression: https://forums-fec.be/upload/www/?a=r&i=3506526565&r=2074606568

Avant le scan avec ZHPDiag, j'ai branché sur mon ordinateur un disque dur externe et une clé USB susceptibles d'être infectés pour qu'ils soient scannés eux aussi.

voilà j'attends tes prochaines instructions.

Merci encore de ta sympathie.

bon après midi.
0
Réponse 6 / 17
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Salut,
On va vérifier et vacciner tes disques amovibles avec un autre logiciel! :-)
1/
Désinstalle via le panneau de configuration :
- Logiciel: Google Toolbar for Internet Explorer
- Plus-HD-3.5 - (.Plus HD.)
- Ta version d'adobe reader
- Java 6 Update 20
- Java 6 Update 21

2/
=> Copie tout le texte existant dans le fichier hébergé :
<<< ICI >>> (Sélectionne-le, clique droit dessus et choisis "Copier").

=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

=> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".

=> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

=> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

=> Une fois terminé, copie-colle le rapport dans ton prochain message.

3/
Lance Malwarebytes, fais la mise à jour, choisis une analyse complète, supprime tout ce qu'il trouve puis poste le rapport stp

==================
On va installer les dernières versions d'adobe reader et de Java

@+



¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Réponse 7 / 17
Galcian Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Salut !

1) J'ai bien désinstallé les 5 programmes que tu m'as demandés.

2) Voici le rapport de ZHPFix :

Rapport de ZHPFix 2013.7.20.5 par Nicolas Coolman, Update du 20/07/2013
Fichier d'export Registre :
Run by Administrateur at 19/08/2013 22:55:29
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)

Corbeille vidée

========== Logiciel(s) ==========
ABSENT Software Key: {18455581-E099-4BA8-BC6B-F34B2F06600C}
ABSENT Software Key: {2318C2B1-4965-11d4-9B18-009027A5CD4F}

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E5E2654-AD2D-48BF-AC2D-D17F00898D06}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4D91-8333-CF10577473F7}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{18455581-E099-4BA8-BC6B-F34B2F06600C}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{2318C2B1-4965-11d4-9B18-009027A5CD4F}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Plus-HD-3.5
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}
SUPPRIME Key: HKLM\Software\SweetIM
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{22222222-2222-2222-2222-220322712280}
ABSENT Key: CLSID BHO: {8E5E2654-AD2D-48bf-AC2D-D17F00898D06}
ABSENT Key: CLSID BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}
ABSENT Key: CLSID BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
SUPPRIME Key: HKLM\Software\BrowserChoice

========== Valeur(s) du Registre ==========
SUPPRIME AAKE KeyValue: C:\Documents and Settings\ALEXANDRINE\Mes documents\Téléchargements\SweetImSetup.exe
SUPPRIME [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}
ABSENT Toolbar: {8E5E2654-AD2D-48bf-AC2D-D17F00898D06}
ABSENT Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F}
SUPPRIME RunValue: RTHDCPL
SUPPRIME RunValue: Alcmtr
SUPPRIME RunValue: Tvs
SUPPRIME RunValue: HP Software Update
ABSENT RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: SSBkgdUpdate
SUPPRIME RunValue: CTFMON.EXE
ABSENT RunValue: CTFMON.EXE

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Fichier(s) ==========
ABSENT File: c:\windows\tasks\plus-hd-3.5-codedownloader.job
ABSENT File: c:\windows\tasks\plus-hd-3.5-enabler.job
ABSENT File: c:\windows\tasks\plus-hd-3.5-firefoxinstaller.job
ABSENT File: c:\windows\tasks\plus-hd-3.5-updater.job
ABSENT File: c:\documents and settings\alexandrine\mes documents\téléchargements\sweetimsetup.exe
ABSENT Folder/File: c:\program files\plus-hd-3.5
SUPPRIME File: c:\program files\alwil software\avast5\aswwebrepie.dll
ABSENT Folder/File: c:\program files\google\google toolbar\googletoolbar_32.dll
ABSENT Folder/File: c:\program files\google\googletoolbarnotifier\5.7.8313.1002\swg.dll
ABSENT Folder/File: c:\windows\tasks\plus-hd-3.5-codedownloader.job
ABSENT Folder/File: c:\windows\tasks\plus-hd-3.5-enabler.job
ABSENT Folder/File: c:\windows\tasks\plus-hd-3.5-firefoxinstaller.job
ABSENT Folder/File: c:\windows\tasks\plus-hd-3.5-updater.job
ABSENT File: c:\program files\alwil software\avast5\aswwebrepie.dll
ABSENT File: c:\program files\google\google toolbar\googletoolbar_32.dll
ABSENT File: c:\program files\google\googletoolbarnotifier\5.7.8313.1002\swg.dll
SUPPRIME File: c:\windows\prefetch\googletoolbarnotifier.exe-3629c61d.pf
ABSENT Folder/File: c:\windows\installer\10b74e.msi
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Autre ==========
NON TRAITE :\Windows\Installer\10b74e.msi


========== Récapitulatif ==========
1 : Module(s) mémoire
15 : Clé(s) du Registre
12 : Valeur(s) du Registre
3 : Dossier(s)
20 : Fichier(s)
2 : Logiciel(s)
1 : Autre


End of clean in 00mn 21s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 19/08/2013 22:55:29 [4362]


3) Voici le rapport de malwarebytes en dessous :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Database version: v2013.08.19.05

Windows XP Service Pack 3 x86 NTFS (Safe Mode/Networking)
Internet Explorer 8.0.6001.18702
Administrateur :: ALEXANDR-0B7110 [administrator]

20/08/2013 09:52:47
mbam-log-2013-08-20 (09-52-47).txt

Scan type: Full scan (C:\|D:\|E:\|G:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 333897
Time elapsed: 48 minute(s), 46 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\System Volume Information\_restore{8181A69F-5172-4D6C-815F-9F581BD064B4}\RP538\A0135657.exe (PUP.Optional.OpenCandy.A) -> Quarantined and deleted successfully.

(end)

Voilà, j'attends tes prochaines instructions !

Merci encore de ton aide !

Je te souhaite une agréable journée !

See you later ;)
0
Réponse 8 / 17
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Salut,
Redé
1/
Installation dernière version d'Adobe reader
* Télécharge Adobe reader à partir :>>>>Ce lien<<<< en décochant la case : installer McAfee Security Scan Plus (facultatif)
* Exécute le fichier téléchargé pour installation en suivant les instructions.
Installation de la dernière version de Java :
* Télécharges et enregistre ce fichier java sur le bureau de ton PC
* Exécutes le pour installer la dernière version de Java

2/
On va essayer de refaire un diagnostique mais en mode normal, pour cela redémarre ton PC puis fais ceci stp :
Lance ZHPDiag depuis le bureau,ensuite coche tout au tournevis (aide ici) puis lance l'analyse, ferme le et héberge le rapport. colle le lien dans ta prochaine réponse

@+
0
Réponse 9 / 17
Galcian Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Bonsoir !

J'ai téléchargé les dernières versions de Java et de Adobe Reader.
Par contre, quand j'ouvre un fichier PDF, il apparaît un message d'Adobe Reader :
"Mode protégé d'Adobe Reader :
Adobe reader ne peut pas ouvrir le fichier en mode protégé en raison d'un problème de compatibilité avec votre configuration système (Je suis sous Windows XP) Voulez ouvrir adobe reader avec le mode protégé désactivé ?
1) ouvrir avec le mode protégé désactivé
2) Toujours ouvrir avec le mode protégé désactivé
3) Ne pas ouvrir avec le mode protégé désactivé"
Que dois je faire ?


Voici les liens pour le nouveau rapport de ZHPDiag en mode normal :

Lien de téléchargement: https://forums-fec.be/upload/www/?a=d&i=1027406056
Lien de suppression: https://forums-fec.be/upload/www/?a=r&i=1027406056&r=4297486478

Voilà !

Bonne soirée à toi !
0
Réponse 10 / 17
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonsoir,
1/
Désinstalle Adobe reader, on va le remplacer par : Foxit reader, il est performant! :-)
----------------------
Télécharge, enregistre puis exécute ce fichier à partir ce lien: https://www.commentcamarche.net/telecharger/bureautique/10297-foxit-pdf-reader/

2/
=> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").



SysRestore
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline => Toolbar.Google
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Ad-Aware Antivirus Scheduled Scan.job [962] => Lavasoft
[MD5.00000000000000000000000000000000] [APT] [Ad-Aware Antivirus Scheduled Scan] (...) -- C:\Program Files\AD-AWA~1\AdAwareLauncher.exe (.not file.) [0] => Lavasoft
[HKCU\Software\SweetIM]
O69 - SBI: prefs.js [ALEXANDRINE - 6319f9at.default] user_pref("extensions.crossrider.bic", "1400321875564ad21afc30f38acadc0c");
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}] =>Toolbar.Avast
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}] =>Toolbar.Avast



=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)
=> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".
=> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
=> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.
=> Une fois terminé, copie-colle le rapport dans ton prochain message.

3/
* Telecharge et install link officiel : >>>USBFix ICI<<<
ou : >>> ICI <<<

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

* Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

automatiquement

* Clique sur "Recherche"
* Laisse travailler l'outil

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt )

Bonne soirée
0
Réponse 11 / 17
Galcian Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Bien le bonjour ! ;)

1) Alors j'ai bien téléchargé Foxit Reader d'après tes indications et je t'en remercie ! Par contre, lors de l'installation du logiciel sur l'ordi, j'ai regardé attentivement toutes les cases à décocher mais je n'ai pas trouvé les suivantes :
- Install Foxit PDF creator Toolbar
- Make Ask my browser default search provides
- set ask.com my homepage.
J'espère qu'ils ne sont pas sur l'ordi ! lol

2) Voici le dernier rapport de ZHPFix en dessous. Avant le scan, le logiciel m'a envoyé un message pour me dire :
"Impossible de positionner le début du point de restauration" (je ne sais pas trop ce que ça veut dire)

Rapport de ZHPFix 2013.7.20.5 par Nicolas Coolman, Update du 20/07/2013
Fichier d'export Registre :
Run by Administrateur at 21/08/2013 17:23:00
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)

Corbeille vidée

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\SweetIM
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}

========== Valeur(s) du Registre ==========
ABSENT Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}

========== Préférences navigateur ==========
ABSENT C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\6319f9at.default\prefs.js

========== Fichier(s) ==========
SUPPRIME File: c:\windows\tasks\ad-aware antivirus scheduled scan.job

========== Tache planifiée ==========
SUPPRIME Task: Ad-Aware Antivirus Scheduled Scan

========== Restauration Système ==========
Point de restauration non crée


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Fichier(s)
1 : Préférences navigateur
1 : Tache planifiée
1 : Restauration Système


End of clean in 00mn 45s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 20/08/2013 21:55:29 [4414]
C:\ZHP\ZHPFix[R2].txt - 21/08/2013 17:23:01 [1413]

3) Voici en dessous le rapport de USBFix. Avant le scan, le logiciel m'a envoyé un message pour me demander notamment de :"retirer la protection en écriture de tous les périphériques", ne sachant pas ce que cela signifie, je n'ai rien modifié.

############################## | UsbFix V 7.130 | [Recherche]

Utilisateur: Administrateur (Administrateur) # ALEXANDR-0B7110
Mis à jour le 20/08/2013 par El Desaparecido
Lancé à 17:49:35 | 21/08/2013

Site Web: https://www.sosvirus.net/
Upload Malware: http://sosvirus.net/viewtopic.php?f=6&t=489
Contact: eldesaparecido@sosvirus.net

PC: TOSHIBA (Satellite A110) (X86-based PC)
CPU: Intel(R) Celeron(R) M CPU 430 @ 1.73GHz (1733)
RAM -> [Total : 894 | Free : 716]
BIOS: Ver 1.00PARTTBL
BOOT: Fail-safe with network boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 298 Go (248 Go libre(s) - 83%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (1 Go libre(s) - 71%) [] # FAT32
G:\ -> Disque fixe # 149 Go (40 Go libre(s) - 27%) [Nouveau nom] # NTFS

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (628)
C:\WINDOWS\system32\winlogon.exe (704)
C:\WINDOWS\system32\services.exe (748)
C:\WINDOWS\system32\lsass.exe (760)
C:\WINDOWS\system32\svchost.exe (908)
C:\WINDOWS\system32\svchost.exe (1096)
C:\WINDOWS\Explorer.EXE (1556)
C:\UsbFix\Go.exe (1952)

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [NDSTray.exe] - NDSTray.exe
HKLM\SOFTWARE | Run : [DDWMon] - C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
HKLM\SOFTWARE | Run : [ATIPTA] - "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
HKLM\SOFTWARE | Run : [HWSetup] - C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
HKLM\SOFTWARE | Run : [CeEKEY] - C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
HKLM\SOFTWARE | Run : [] -
HKLM\SOFTWARE | Run : [PadTouch] - C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
HKLM\SOFTWARE | Run : [Apoint] - C:\Program Files\Apoint2K\Apoint.exe
HKLM\SOFTWARE | Run : [TPNF] - C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
HKLM\SOFTWARE | Run : [SmoothView] - C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
HKLM\SOFTWARE | Run : [Zooming] - ZoomingHook.exe
HKLM\SOFTWARE | Run : [LogitechCommunicationsManager] - "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
HKLM\SOFTWARE | Run : [LogitechQuickCamRibbon] - "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
HKLM\SOFTWARE | Run : [Bouygues Connection Manager] - "C:\Program Files\Bouygues Telecom\Internet 3G+\Bouygues.exe" -a
HKLM\SOFTWARE | Run : [avast5] - C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
HKLM\SOFTWARE | Run : [DivXUpdate] - "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
HKLM\SOFTWARE | Run : [CFSServ.exe] - CFSServ.exe -NoClient
HKLM\SOFTWARE | Run : [OpwareSE4] - "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | RunOnce : [] -

################## | Éléments infectieux |

Présent! D:\setup.exe
Présent! C:\RECYCLER\S-1-5-21-1202660629-1708537768-725345543-1003
Présent! C:\RECYCLER\S-1-5-21-1202660629-1708537768-725345543-500
Présent! D:\AUTORUN.INF
Présent! G:\Thumbs.db
Présent! G:\RECYCLER\S-1-5-21-1202660629-1659004503-725345543-1003
Présent! G:\RECYCLER\S-1-5-21-1202660629-1708537768-725345543-1003
Présent! G:\RECYCLER\S-1-5-21-1202660629-1708537768-725345543-500

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\D
Shell\AutoRun\Command = D:\setup.exe



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | https://www.sosvirus.net/ |

NB : - les scan avec USBFix et ZHPFix ont été réalisés comme d'habitude en mode sans échec avec prise en charge réseau.
- depuis ton intervention, l'ordi fonctionne bien mieux, plus rapide, et la navigation est plus rapide sur le net !!! ,)

voilà, je reste à ta disposition pour tes prochaines indications et j'en profite (encore !) pour te remercier pour tout le temps que tu consacres à ma demande. C'est cool!

See you soon !
0
Réponse 12 / 17
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonsoir,
On continue alors! :-) il nous reste pas
Concernant ce message : 
"Impossible de positionner le début du point de restauration" (je ne sais pas trop ce que ça veut dire)

On va créer le point de restauration autrement!
------------------------
On va lancer USBFix en mode suppression!
Redémarre ton PC en mode normal puis fais ceci stp :
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

* Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

automatiquement

* Clique sur "Suppression"
* Laisse travailler l'outil

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt )
----------------------------
Si tu as rencontré des problèmes en mode normal, relance USBFix en mode sans échec avec prise en charge du réseau..

@+
0
Réponse 13 / 17
Galcian Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour !

J'ai lancé l'analyse avec USBFix en mode administrateur avec prise en charge du réseau. A un moment donné, USBFix m'envoie un message pour me dire :
"Erreur des dossiers compressés : La compression ne peut pas être effectuée car le nom du fichier ou répertoire "C:\UsbFix\Quarantine\C\RECYCLERS\......" contient des caractères qui ne peuvent pas être enregistrés dans des dossiers compressés".
Je clique sur OK. Et l'analyse reste bloquée à 97% et n'évolue plus. Je l'ai refait 2 fois, la 2ème fois, j'ai laissé l'outil travailler au moins 2 heures mais cela reste bloqué à 97 %.
Que dois je faire ?
0
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonsoir,
Redémarre en mode sans échec avec prise en charge du réseau.
Dans ce mode refais la procédure de USBFix.(en cliquant sur "Suppression")
Bonne soirée
0
Réponse 14 / 17
Galcian Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Salut !!

USBFix a enfin marché !

Voici le rapport en dessous :

############################## | UsbFix V 7.130 | [Suppression]

Utilisateur: Administrateur (Administrateur) # ALEXANDR-0B7110
Mis à jour le 20/08/2013 par El Desaparecido
Lancé à 10:23:00 | 23/08/2013

Site Web: https://www.sosvirus.net/
Upload Malware: http://sosvirus.net/viewtopic.php?f=6&t=489
Contact: eldesaparecido@sosvirus.net

PC: TOSHIBA (Satellite A110) (X86-based PC)
CPU: Intel(R) Celeron(R) M CPU 430 @ 1.73GHz (1733)
RAM -> [Total : 894 | Free : 722]
BIOS: Ver 1.00PARTTBL
BOOT: Fail-safe with network boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 298 Go (249 Go libre(s) - 84%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (1 Go libre(s) - 71%) [] # FAT32
G:\ -> Disque fixe # 149 Go (42 Go libre(s) - 28%) [Nouveau nom] # NTFS

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [NDSTray.exe] - NDSTray.exe
HKLM\SOFTWARE | Run : [DDWMon] - C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
HKLM\SOFTWARE | Run : [ATIPTA] - "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
HKLM\SOFTWARE | Run : [HWSetup] - C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
HKLM\SOFTWARE | Run : [CeEKEY] - C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
HKLM\SOFTWARE | Run : [] -
HKLM\SOFTWARE | Run : [PadTouch] - C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
HKLM\SOFTWARE | Run : [Apoint] - C:\Program Files\Apoint2K\Apoint.exe
HKLM\SOFTWARE | Run : [TPNF] - C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
HKLM\SOFTWARE | Run : [SmoothView] - C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
HKLM\SOFTWARE | Run : [Zooming] - ZoomingHook.exe
HKLM\SOFTWARE | Run : [LogitechCommunicationsManager] - "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
HKLM\SOFTWARE | Run : [LogitechQuickCamRibbon] - "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
HKLM\SOFTWARE | Run : [Bouygues Connection Manager] - "C:\Program Files\Bouygues Telecom\Internet 3G+\Bouygues.exe" -a
HKLM\SOFTWARE | Run : [avast5] - C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
HKLM\SOFTWARE | Run : [DivXUpdate] - "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
HKLM\SOFTWARE | Run : [CFSServ.exe] - CFSServ.exe -NoClient
HKLM\SOFTWARE | Run : [OpwareSE4] - "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-21-1202660629-1708537768-725345543-500\SOFTWARE | Run : [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe

################## | Processus Stoppés |

Stoppé! C:\WINDOWS\Explorer.EXE (1888)
Stoppé! C:\Program Files\Alwil Software\Avast5\AvastUI.exe (1052)

################## | Éléments infectieux |

Non supprimé ! D:\setup.exe
Supprimé! C:\RECYCLER\S-1-5-21-1202660629-1708537768-725345543-1003
Non supprimé ! D:\AUTORUN.INF
Supprimé! G:\RECYCLER\S-1-5-21-1202660629-1708537768-725345543-1003

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[19/12/2012 - 22:27:54 | D ] C:\9e8d5451d9883aaa3289c05a47c49f
[18/08/2013 - 11:50:14 | N | 12815] C:\AdwCleaner[S1].txt
[10/09/2010 - 21:55:37 | N | 0] C:\AUTOEXEC.BAT
[22/08/2013 - 16:48:33 | RASHD ] C:\Autorun.inf
[10/09/2010 - 21:48:55 | N | 212] C:\boot.ini
[28/09/2001 - 14:00:00 | N | 4952] C:\Bootfont.bin
[21/08/2013 - 16:02:41 | D ] C:\Config.Msi
[10/09/2010 - 21:55:37 | N | 0] C:\CONFIG.SYS
[14/08/2013 - 21:35:37 | D ] C:\Documents and Settings
[10/09/2010 - 21:55:37 | N | 0] C:\IO.SYS
[10/09/2010 - 21:55:37 | N | 0] C:\MSDOS.SYS
[11/09/2010 - 08:42:20 | RHD ] C:\MSOCache
[03/08/2004 - 22:38:34 | N | 47564] C:\NTDETECT.COM
[11/09/2010 - 11:31:58 | N | 252240] C:\ntldr
[23/08/2013 - 10:06:15 | ASH | 704643072] C:\pagefile.sys
[20/08/2013 - 21:05:09 | N | 512] C:\PhysicalDisk0_MBR.bin
[21/08/2013 - 17:01:54 | D ] C:\Program Files
[23/08/2013 - 10:25:31 | SHD ] C:\RECYCLER
[10/09/2010 - 22:00:39 | SHD ] C:\System Volume Information
[22/08/2013 - 16:48:38 | N | 22] C:\Upload_UsbFix.zip
[23/08/2013 - 10:25:31 | D ] C:\UsbFix
[23/08/2013 - 10:25:59 | A | 4504] C:\UsbFix [Clean 4] ALEXANDR-0B7110.txt
[19/08/2013 - 15:03:59 | D ] C:\WINDOWS
[21/08/2013 - 17:23:01 | D ] C:\ZHP
[20/07/2007 - 17:31:20 | RD ] D:\Acroread
[24/06/1999 - 15:18:30 | R | 41] D:\AUTORUN.INF
[20/07/2007 - 17:31:30 | RD ] D:\Bin
[01/02/2005 - 03:47:10 | R | 29] D:\CNQL25V.CD
[20/07/2007 - 17:31:30 | RD ] D:\Deldrv
[20/07/2007 - 17:32:38 | RD ] D:\Manual
[20/07/2007 - 17:33:26 | RD ] D:\OmniPage
[20/07/2007 - 17:33:38 | RD ] D:\Pstudio
[20/07/2007 - 20:28:28 | R | 2073] D:\Readme_bp.txt
[20/07/2007 - 20:28:38 | R | 2064] D:\Readme_e.txt
[20/07/2007 - 20:28:48 | R | 2268] D:\Readme_f.txt
[20/07/2007 - 20:28:58 | R | 2130] D:\Readme_p.txt
[20/07/2007 - 20:29:10 | R | 2115] D:\Readme_r.txt
[20/07/2007 - 20:29:20 | R | 2200] D:\Readme_s.txt
[20/07/2007 - 17:34:06 | RD ] D:\ScanGear
[20/10/2006 - 03:09:28 | R | 108112] D:\Setup.exe
[19/10/2001 - 09:24:50 | R | 378] D:\Setup.ini
[20/07/2007 - 17:34:12 | RD ] D:\Swedish
[20/07/2007 - 17:34:46 | RD ] D:\Toolbox
[20/07/2007 - 17:34:50 | RD ] D:\WIA
[30/11/2011 - 19:28:10 | N | 4096] E:\._.Trashes
[30/11/2011 - 19:28:10 | HD ] E:\.Trashes
[30/11/2011 - 19:28:10 | D ] E:\.Spotlight-V100
[29/04/2012 - 11:26:20 | N | 3612453] E:\
[16/10/2011 - 09:34:36 | N | 3495886] E:\
[22/04/2012 - 11:36:06 | N | 2905266] E:\
[30/11/2008 - 20:43:42 | N | 3696892] E:\
[07/07/2012 - 16:29:48 | N | 4322147] E:\
[07/07/2012 - 16:28:16 | N | 4128632] E:\
[07/07/2012 - 16:26:58 | N | 3835643] E:\
[07/07/2012 - 09:52:00 | N | 3193240] E:\
[01/09/2012 - 16:04:18 | N | 3321417] E:\
[17/05/2012 - 23:26:50 | N | 3642512] E:\
[17/05/2012 - 23:24:54 | N | 3792841] E:\
[09/05/2012 - 18:49:04 | N | 3759217] E:\
[17/05/2012 - 23:27:08 | N | 3940935] E:\
[03/09/2009 - 19:16:46 | N | 5508940] E:\
[09/10/2010 - 18:58:32 | N | 3340230] E:\
[15/12/2008 - 14:38:46 | N | 5158703] E:\
[17/05/2012 - 23:24:38 | N | 12621529] E:\
[03/09/2009 - 19:20:56 | N | 3495936] E:\
[22/04/2012 - 11:20:26 | N | 2646967] E:\
[17/05/2012 - 23:25:10 | N | 3744076] E:\
[17/05/2012 - 23:25:18 | N | 3975071] E:\
[02/01/2011 - 14:49:06 | N | 2180846] E:\
[15/12/2008 - 14:39:20 | N | 4083712] E:\
[17/05/2012 - 23:25:26 | N | 3492882] E:\
[17/05/2012 - 23:25:34 | N | 4683648] E:\
[22/04/2012 - 12:49:50 | N | 3602004] E:\
[09/10/2010 - 18:59:34 | N | 4137046] E:\
[17/05/2012 - 23:25:42 | N | 3321519] E:\
[17/05/2012 - 23:25:50 | N | 2965000] E:\
[27/08/2009 - 11:20:00 | N | 3249514] E:\
[17/05/2012 - 23:25:58 | N | 3187354] E:\
[17/05/2012 - 23:26:08 | N | 4108118] E:\
[17/05/2012 - 23:26:24 | N | 4627224] E:\
[17/05/2012 - 23:26:34 | N | 3028112] E:\
[03/09/2009 - 14:29:10 | N | 3839673] E:\
[02/01/2011 - 14:54:02 | N | 3776806] E:\
[17/05/2012 - 23:26:42 | N | 3770407] E:\
[02/09/2012 - 16:36:20 | N | 3236154] E:\
[24/06/2012 - 13:41:20 | N | 3012263] E:\
[24/06/2012 - 13:32:36 | N | 4268649] E:\
[14/09/2012 - 15:15:54 | N | 2781550] E:\
[24/06/2012 - 13:49:10 | N | 3796898] E:\
[23/07/2012 - 11:50:24 | N | 2471842] E:\
[12/05/2012 - 14:31:52 | N | 2806627] E:\
[09/10/2010 - 18:57:50 | N | 3525410] E:\
[09/10/2010 - 18:58:34 | N | 3788354] E:\
[20/12/2011 - 11:25:08 | N | 3644930] E:\
[09/10/2010 - 18:58:48 | N | 3477602] E:\
[09/10/2010 - 18:59:02 | N | 3543338] E:\
[09/10/2010 - 18:59:10 | N | 3806282] E:\
[09/10/2010 - 18:59:10 | N | 3537362] E:\
[20/12/2011 - 11:24:48 | N | 3967634] E:\
[09/10/2010 - 18:59:22 | N | 3459674] E:\
[09/10/2010 - 18:59:24 | N | 3387962] E:\
[09/10/2010 - 18:59:24 | N | 3501506] E:\
[09/10/2010 - 18:59:24 | N | 3830186] E:\
[20/12/2011 - 11:25:00 | N | 3680786] E:\
[04/12/2011 - 12:26:10 | N | 3687134] E:\
[05/05/2012 - 17:28:06 | N | 2326392] E:\
[05/05/2012 - 17:45:06 | N | 872861] E:\
[05/05/2012 - 16:55:34 | N | 11406556] E:\
[04/12/2011 - 12:26:06 | N | 2999554] E:\
[27/06/2011 - 17:40:04 | N | 3266182] E:\
[04/12/2011 - 12:26:12 | N | 3591530] E:\
[04/12/2011 - 12:26:08 | N | 3292752] E:\
[19/12/2011 - 13:00:32 | N | 3489826] E:\
[14/04/2012 - 21:45:02 | N | 4463000] E:\
[04/12/2011 - 12:26:10 | N | 3101552] E:\
[04/12/2011 - 12:26:08 | N | 3047740] E:\
[14/04/2012 - 19:45:04 | N | 3496124] E:\
[04/12/2011 - 12:26:06 | N | 3842628] E:\
[24/04/2012 - 22:10:46 | N | 3684898] E:\
[24/04/2012 - 22:10:46 | N | 2516284] E:\
[23/02/2013 - 15:14:54 | D ] E:\
[13/03/2013 - 21:13:34 | D ] E:\
[13/03/2013 - 21:15:42 | D ] E:\
[13/03/2013 - 21:16:42 | D ] E:\
[07/08/2013 - 19:49:08 | D ] E:\Marseille
[07/08/2013 - 19:55:52 | D ] E:\Recherche
[22/08/2013 - 16:48:38 | RASHD ] E:\Autorun.inf
[23/05/2012 - 08:18:26 | SHD ] G:\$RECYCLE.BIN
[22/08/2013 - 16:48:38 | RASHD ] G:\Autorun.inf
[11/08/2010 - 20:29:42 | D ] G:\
[13/07/2013 - 14:59:10 | D ] G:\
[01/07/2011 - 21:17:09 | D ] G:\Doc
[20/08/2013 - 18:38:52 | D ] G:\Exel
[13/07/2013 - 14:58:31 | D ] G:\Film
[13/07/2013 - 16:45:41 | D ] G:\Mes documents
[12/08/2012 - 18:43:01 | D ] G:\Mes images
[13/07/2013 - 14:58:38 | D ] G:\MUSIQUE
[26/07/2013 - 17:47:31 | D ] G:\Photo
[23/08/2013 - 10:25:31 | SHD ] G:\RECYCLER
[07/08/2011 - 10:02:14 | SHD ] G:\System Volume Information
[21/08/2013 - 22:01:30 | D ] G:\VAE
[28/11/2010 - 20:55:29 | D ] G:\VAE

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.sosvirus.net/ |

Dans l'attente de ta réponse.

Bonne journée
0
Réponse 15 / 17
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonsoir,
Tu peux faire maintenat le ménage cidessous : 
Updatechecker :

Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour
Tu peux l'utiliser une fois par semaine
===========================================
**Nettoyage 
 
Suppression des outils de désinfections:
Télecharge Delfix sur ton bureau :

<<< ICI >>> ou <<< ICI >>>

* Coche la case suivante :

=> Supprimer les outils de désinfection (coché par défaut)

* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport 
 
===========================================         
<code>Défragmentation : :

Défragmente tes disques dur par defraggler
Tu peux lutiliser une fois par trimestre

=========================================== 

Nettoyage des fichiers et des clés de registre :

* Télécharge et installe CCleaner version Slim
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis
* Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/
Tu peux utiliser Ccleaner une fois par semaine

=========================================== 
Purger les points de restauration système:


* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :

Windows XP

Windows Vista

Windows 7

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...

===========================================
Conseils :
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules
complémentaires WOT pour t'indiquer les sites douteux et Adblock plus pour bloquer les publicités...

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.

3/ Un peu de lecture :
* Les dangers du Peer-To-Peer, Emule etc..
* Comment Sécuriser son ordinateur...
*Pourquoi et comment je me fais infecter
*pourquoi maintenir son navigateur à jour

Bonne soirée
0
Réponse 16 / 17
Galcian Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Salut !!

Voilà le rapport de Delfix ci-dessous :

# DelFix v10.4 - Rapport créé le 24/08/2013 à 21:11:24
# Mis à jour le 19/07/2013 par Xplode
# Nom d'utilisateur : ALEXANDRINE - ALEXANDR-0B7110
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\USBFix
Supprimé : C:\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\UsbFix [Clean 4] ALEXANDR-0B7110.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\ALEXANDRINE\Mes documents\Téléchargements\AdwCleaner-2.306.exe
Supprimé : C:\Documents and Settings\ALEXANDRINE\Mes documents\Téléchargements\adwcleaner.exe
Supprimé : C:\Documents and Settings\ALEXANDRINE\Mes documents\Téléchargements\UsbFix.exe
Supprimé : C:\Documents and Settings\ALEXANDRINE\Mes documents\Téléchargements\ZHPDiag2(1).exe
Supprimé : C:\Documents and Settings\ALEXANDRINE\Mes documents\Téléchargements\ZHPDiag2.exe
Supprimée : HKCU\Software\USBFix
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

########## - EOF - ##########

Je vais t'envoyer un message en privé pour t'adresser une note plus personnelle.

Peux-tu me confirmer que "mon" cheval de Troie a bien disparu et que je peux à nouveau me connecter sur mes comptes sur Internet avec mes login à partir de cet ordi que tu as réparé ?

A tout de suite !
0
Réponse 17 / 17
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Salut, 
Peux-tu me confirmer que "mon" cheval de Troie a bien disparu et que je peux à nouveau me connecter sur mes comptes sur Internet avec mes login à partir de cet ordi que tu as réparé ?

Oui, on a désinfecté ton PC et en principe tout va bien après avoir effectué toutes les procédures demandées! :-)
-------------------
Sois prudent et bon surf ... :-)
Si tu n'as pas de souci pense à mettre ton sujet comme résolu

@+

0

Discussions similaires

Probleme Barre de son Samsung "BT Music Splitte"
Naxilolz -
Naxilolz -

3 réponses
code d'authentification bluetooth
lozapo -
Nath -

21 réponses
code pour activé bluetooth
guy innocent ebubu nzale -
tribun -

3 réponses
CODE AUTHENTIFICATION BLUETOOTH PERDU
HERVE -
lili960 -

4 réponses
Qu'est-ce que Windows-BT? Est-ce indispensable?
Lucky-Lucky18 -
Lucky-Lucky18 -

2 réponses