Supprimer cheval de troie Kryptik / Trojan.Strictor Résolu

Question

Bonjour, 



Configuration: Windows 7 / Chrome 23.0.1271.97

Il y a environ 15 jours, mon antivirus (avira) a détecté sur mon ordinateur la présence d'un virus (Strictor). Une fois mis en quarantaine j'ai tenté de le supprimer mais rien à faire il revenait à chaque démarrage de mon PC. 
Mes clés USB ont été attaquées et le virus créer automatiquement des raccourcis de chacun de mes fichiers ...

Il semble qu'aujourd'hui il se soit multiplié puisqu'à chaque démarrage c'est un nouveau cheval de troie qui est détecté par Avira : Kryptik

Je tente chaque jour de supprimer ces virus, mais sans succès, ils reviennent systématiquement. Comment faire pour véritablement désinfecter mon ordinateur ? 

Merci de votre aide, je compte sur vous ... 
Bonne soirée à tous !

Malekal_morte- · Answer

Salut,

Donne le rapport de scan Antivir. 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Ancistrus28 · Answer

Voilà le rapport du scan Antivir Avira Free Antivirus Date de création du fichier de rapport : lundi 18 novembre 2013 21:24 Le programme fonctionne en version intégrale illimitée. Les services en ligne sont disponibles. Détenteur de la licence : Avira Free Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows 7 Home Premium Version de Windows : (Service Pack 1) [6.1.7601] Mode Boot : Démarré normalement Identifiant : Système Nom de l'ordinateur : AMANDINE-PC Informations de version : BUILD.DAT : 13.0.0.4042 55008 Bytes 30/08/2013 14:28:00 AVSCAN.EXE : 13.6.20.2100 639032 Bytes 10/09/2013 10:00:01 AVSCANRC.DLL : 13.6.20.2174 63544 Bytes 10/09/2013 10:00:03 LUKE.DLL : 13.6.20.2174 65080 Bytes 10/09/2013 10:01:01 AVSCPLR.DLL : 13.6.20.2174 92216 Bytes 10/09/2013 10:00:03 AVREG.DLL : 13.6.20.2174 250424 Bytes 10/09/2013 09:59:59 avlode.dll : 13.6.20.2174 497720 Bytes 10/09/2013 09:59:54 avlode.rdf : 13.0.1.48 27867 Bytes 13/11/2013 20:54:50 VBASE000.VDF : 7.11.70.0 66736640 Bytes 04/04/2013 14:07:21 VBASE001.VDF : 7.11.74.226 2201600 Bytes 30/04/2013 14:21:25 VBASE002.VDF : 7.11.80.60 2751488 Bytes 28/05/2013 11:00:49 VBASE003.VDF : 7.11.85.214 2162688 Bytes 21/06/2013 20:23:54 VBASE004.VDF : 7.11.91.176 3903488 Bytes 23/07/2013 17:22:45 VBASE005.VDF : 7.11.98.186 6822912 Bytes 29/08/2013 12:47:21 VBASE006.VDF : 7.11.103.230 2293248 Bytes 24/09/2013 16:29:08 VBASE007.VDF : 7.11.111.18 3598336 Bytes 06/11/2013 23:59:22 VBASE008.VDF : 7.11.111.19 2048 Bytes 06/11/2013 23:59:22 VBASE009.VDF : 7.11.111.20 2048 Bytes 06/11/2013 23:59:22 VBASE010.VDF : 7.11.111.21 2048 Bytes 06/11/2013 23:59:22 VBASE011.VDF : 7.11.111.22 2048 Bytes 06/11/2013 23:59:22 VBASE012.VDF : 7.11.111.23 2048 Bytes 06/11/2013 23:59:23 VBASE013.VDF : 7.11.111.150 168448 Bytes 07/11/2013 23:59:23 VBASE014.VDF : 7.11.112.47 247808 Bytes 08/11/2013 18:40:28 VBASE015.VDF : 7.11.112.139 323584 Bytes 11/11/2013 23:09:21 VBASE016.VDF : 7.11.113.39 221696 Bytes 13/11/2013 20:54:46 VBASE017.VDF : 7.11.113.149 246272 Bytes 15/11/2013 09:49:11 VBASE018.VDF : 7.11.113.150 2048 Bytes 15/11/2013 09:49:11 VBASE019.VDF : 7.11.113.151 2048 Bytes 15/11/2013 09:49:11 VBASE020.VDF : 7.11.113.152 2048 Bytes 15/11/2013 09:49:12 VBASE021.VDF : 7.11.113.153 2048 Bytes 15/11/2013 09:49:12 VBASE022.VDF : 7.11.113.154 2048 Bytes 15/11/2013 09:49:12 VBASE023.VDF : 7.11.113.155 2048 Bytes 15/11/2013 09:49:12 VBASE024.VDF : 7.11.113.156 2048 Bytes 15/11/2013 09:49:13 VBASE025.VDF : 7.11.113.157 2048 Bytes 15/11/2013 09:49:13 VBASE026.VDF : 7.11.113.158 2048 Bytes 15/11/2013 09:49:13 VBASE027.VDF : 7.11.113.159 2048 Bytes 15/11/2013 09:49:13 VBASE028.VDF : 7.11.113.160 2048 Bytes 15/11/2013 09:49:13 VBASE029.VDF : 7.11.113.161 2048 Bytes 15/11/2013 09:49:13 VBASE030.VDF : 7.11.113.162 2048 Bytes 15/11/2013 09:49:13 VBASE031.VDF : 7.11.113.238 257024 Bytes 17/11/2013 10:18:18 Version du moteur : 8.2.12.144 AEVDF.DLL : 8.1.3.4 102774 Bytes 17/06/2013 18:08:04 AESCRIPT.DLL : 8.1.4.168 520574 Bytes 16/11/2013 09:49:23 AESCN.DLL : 8.1.10.4 131446 Bytes 27/03/2013 08:24:17 AESBX.DLL : 8.2.16.26 1245560 Bytes 01/09/2013 12:47:36 AERDL.DLL : 8.2.0.128 688504 Bytes 17/06/2013 18:08:02 AEPACK.DLL : 8.3.3.4 758136 Bytes 17/10/2013 19:33:53 AEOFFICE.DLL : 8.1.2.76 205181 Bytes 09/08/2013 15:46:00 AEHEUR.DLL : 8.1.4.758 6275450 Bytes 16/11/2013 09:49:22 AEHELP.DLL : 8.1.27.8 266617 Bytes 07/11/2013 23:59:28 AEGEN.DLL : 8.1.7.20 446839 Bytes 13/11/2013 20:54:49 AEEXP.DLL : 8.4.1.100 369016 Bytes 01/11/2013 15:04:56 AEEMU.DLL : 8.1.3.2 393587 Bytes 07/11/2012 07:26:50 AECORE.DLL : 8.1.32.2 201081 Bytes 07/11/2013 23:59:26 AEBB.DLL : 8.1.1.4 53619 Bytes 07/11/2012 07:26:50 AVWINLL.DLL : 13.6.20.2174 24120 Bytes 10/09/2013 09:58:38 AVPREF.DLL : 13.6.20.2174 48696 Bytes 10/09/2013 09:59:58 AVREP.DLL : 13.6.20.2174 175672 Bytes 10/09/2013 09:59:59 AVARKT.DLL : 13.6.20.2174 258104 Bytes 10/09/2013 09:58:44 AVEVTLOG.DLL : 13.6.20.2174 165944 Bytes 10/09/2013 09:58:48 SQLITE3.DLL : 3.7.0.1 397088 Bytes 07/11/2012 07:27:08 AVSMTP.DLL : 13.6.20.2174 60472 Bytes 10/09/2013 10:00:04 NETNT.DLL : 13.6.20.2174 13880 Bytes 10/09/2013 10:01:01 RCIMAGE.DLL : 13.4.0.141 4782880 Bytes 07/11/2012 07:27:14 RCTEXT.DLL : 13.6.20.2174 70200 Bytes 10/09/2013 09:58:38 Configuration pour la recherche actuelle : Nom de la tâche...............................: AVGuardAsyncScan Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_528a7744\guard_slideup.avp Documentation.................................: par défaut Action principale.............................: réparer Action secondaire.............................: quarantaine Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: arrêt Recherche dans les programmes actifs..........: marche Recherche du registre.........................: arrêt Recherche de Rootkits.........................: arrêt Contrôle d'intégrité de fichiers système......: arrêt Recherche sur tous les fichiers...............: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: intégral Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Début de la recherche : lundi 18 novembre 2013 21:24 Impossible de supprimer l'entrée de registre . Le fichier '\?\C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug.lnk' a été déplacé dans le répertoire de quarantaine. La recherche sur les processus démarrés commence : Recherche en cours du processus 'svchost.exe' - '52' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '39' module(s) ont été recherchés Recherche en cours du processus 'atiesrxx.exe' - '26' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '54' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '104' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '172' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '68' module(s) ont été recherchés Recherche en cours du processus 'atieclxx.exe' - '30' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '86' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '73' module(s) ont été recherchés Recherche en cours du processus 'spoolsv.exe' - '92' module(s) ont été recherchés Recherche en cours du processus 'taskhost.exe' - '52' module(s) ont été recherchés Recherche en cours du processus 'sched.exe' - '46' module(s) ont été recherchés Recherche en cours du processus 'Dwm.exe' - '37' module(s) ont été recherchés Recherche en cours du processus 'Explorer.EXE' - '162' module(s) ont été recherchés Recherche en cours du processus 'taskeng.exe' - '28' module(s) ont été recherchés Recherche en cours du processus 'GoogleUpdate.exe' - '50' module(s) ont été recherchés Recherche en cours du processus 'RAVCpl64.exe' - '47' module(s) ont été recherchés Recherche en cours du processus 'SynTPEnh.exe' - '49' module(s) ont été recherchés Recherche en cours du processus 'PLFSetI.exe' - '41' module(s) ont été recherchés Recherche en cours du processus 'ePowerTray.exe' - '54' module(s) ont été recherchés Recherche en cours du processus 'GoogleToolbarNotifier.exe' - '69' module(s) ont été recherchés Recherche en cours du processus 'sidebar.exe' - '98' module(s) ont été recherchés Recherche en cours du processus 'Skype.exe' - '135' module(s) ont été recherchés Recherche en cours du processus 'ScanToPCActivationApp.exe' - '55' module(s) ont été recherchés Recherche en cours du processus 'StikyNot.exe' - '39' module(s) ont été recherchés Recherche en cours du processus 'WScript.exe' - '54' module(s) ont été recherchés Recherche en cours du processus 'BackupManagerTray.exe' - '39' module(s) ont été recherchés Recherche en cours du processus 'reader_sl.exe' - '26' module(s) ont été recherchés Recherche en cours du processus 'avguard.exe' - '102' module(s) ont été recherchés Recherche en cours du processus 'LManager.exe' - '67' module(s) ont été recherchés Recherche en cours du processus 'VideoWebCamera.exe' - '45' module(s) ont été recherchés Recherche en cours du processus 'AdobeARM.exe' - '47' module(s) ont été recherchés Recherche en cours du processus 'OfferBox.exe' - '50' module(s) ont été recherchés Recherche en cours du processus 'jusched.exe' - '29' module(s) ont été recherchés Recherche en cours du processus 'EEventManager.exe' - '51' module(s) ont été recherchés Recherche en cours du processus 'Updater.exe' - '65' module(s) ont été recherchés Recherche en cours du processus 'OfferBoxHTTPProxy.exe' - '51' module(s) ont été recherchés Recherche en cours du processus 'avgnt.exe' - '89' module(s) ont été recherchés Recherche en cours du processus 'dsiwmis.exe' - '44' module(s) ont été recherchés Recherche en cours du processus 'Dropbox.exe' - '81' module(s) ont été recherchés Recherche en cours du processus 'FlashPlayerPlug_11_4_76_983.exe' - '51' module(s) ont été recherchés Module infecté -> [RESULTAT] Contient le cheval de Troie TR/Kryptik.364544.8 [REMARQUE] Le processus 'FlashPlayerPlug_11_4_76_983.exe' a été arrêté [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '429ef147.qua' ! Recherche en cours du processus 'ePowerSvc.exe' - '45' module(s) ont été recherchés Recherche en cours du processus 'GREGsvc.exe' - '15' module(s) ont été recherchés Recherche en cours du processus 'mbamscheduler.exe' - '42' module(s) ont été recherchés Recherche en cours du processus 'mbamservice.exe' - '48' module(s) ont été recherchés Recherche en cours du processus 'IScheduleSvc.exe' - '66' module(s) ont été recherchés Recherche en cours du processus 'c2c_service.exe' - '40' module(s) ont été recherchés Recherche en cours du processus 'MMDx64Fx.exe' - '29' module(s) ont été recherchés Recherche en cours du processus 'mbamgui.exe' - '39' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '53' module(s) ont été recherchés Recherche en cours du processus 'UpdaterService.exe' - '27' module(s) ont été recherchés Recherche en cours du processus 'LMworker.exe' - '26' module(s) ont été recherchés Recherche en cours du processus 'update.exe' - '70' module(s) ont été recherchés Recherche en cours du processus 'updrgui.exe' - '54' module(s) ont été recherchés Recherche en cours du processus 'unsecapp.exe' - '31' module(s) ont été recherchés Recherche en cours du processus 'wmiprvse.exe' - '78' module(s) ont été recherchés Recherche en cours du processus 'wmiprvse.exe' - '34' module(s) ont été recherchés Recherche en cours du processus 'MOM.exe' - '68' module(s) ont été recherchés Recherche en cours du processus 'ePowerEvent.exe' - '21' module(s) ont été recherchés Recherche en cours du processus 'IELowutil.exe' - '47' module(s) ont été recherchés Recherche en cours du processus 'avshadow.exe' - '20' module(s) ont été recherchés Recherche en cours du processus 'AVWEBGRD.EXE' - '66' module(s) ont été recherchés Recherche en cours du processus 'GoogleUpdaterService.exe' - '33' module(s) ont été recherchés Recherche en cours du processus 'SearchIndexer.exe' - '56' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '38' module(s) ont été recherchés Recherche en cours du processus 'SearchProtocolHost.exe' - '42' module(s) ont été recherchés Recherche en cours du processus 'SearchFilterHost.exe' - '27' module(s) ont été recherchés Recherche en cours du processus 'sdclt.exe' - '51' module(s) ont été recherchés Recherche en cours du processus 'avscan.exe' - '106' module(s) ont été recherchés Recherche en cours du processus 'taskhost.exe' - '56' module(s) ont été recherchés Recherche en cours du processus 'HPNetworkCommunicator.exe' - '48' module(s) ont été recherchés Recherche en cours du processus 'SynTPHelper.exe' - '17' module(s) ont été recherchés Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés Recherche en cours du processus 'wininit.exe' - '26' module(s) ont été recherchés Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés Recherche en cours du processus 'services.exe' - '36' module(s) ont été recherchés Recherche en cours du processus 'lsass.exe' - '66' module(s) ont été recherchés Recherche en cours du processus 'lsm.exe' - '16' module(s) ont été recherchés Recherche en cours du processus 'winlogon.exe' - '31' module(s) ont été recherchés Recherche en cours du processus 'sppsvc.exe' - '27' module(s) ont été recherchés Recherche en cours du processus 'chrome.exe' - '126' module(s) ont été recherchés Recherche en cours du processus 'wmpnetwk.exe' - '114' module(s) ont été recherchés Recherche en cours du processus 'vssvc.exe' - '47' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '28' module(s) ont été recherchés Recherche en cours du processus 'chrome.exe' - '46' module(s) ont été recherchés Recherche en cours du processus 'chrome.exe' - '68' module(s) ont été recherchés Recherche en cours du processus 'chrome.exe' - '46' module(s) ont été recherchés Recherche en cours du processus 'chrome.exe' - '46' module(s) ont été recherchés Recherche en cours du processus 'chrome.exe' - '46' module(s) ont été recherchés Recherche en cours du processus 'chrome.exe' - '62' module(s) ont été recherchés Recherche en cours du processus 'SearchFilterHost.exe' - '27' module(s) ont été recherchés Recherche en cours du processus 'wmiprvse.exe' - '46' module(s) ont été recherchés Recherche en cours du processus 'HPNetworkCommunicator.exe' - '48' module(s) ont été recherchés La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\Users\AMANDINE\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe' Impossible d'ouvrir le chemin à scanner C:\Users\AMANDINE\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe ! Erreur système [5]: Accès refusé. Recherche débutant dans 'C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe' Erreur à l'ouverture du fichier <\?\C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe> Impossible d'ouvrir le chemin à scanner C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe !

Malekal_morte- · Answer

mouaip, y a des merdouilles.


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Ancistrus28 · Answer

Voila le lien que j'ai obtenu

https://pjjoint.malekal.com/files.php?id=20131119_15k7c6w12b8

Ancistrus28 · Answer

En voici un autre (je ne sais pas s'il est utile, mais je te le transmet quand même)

https://pjjoint.malekal.com/files.php?id=20131119_e14u11d10b15h9

Malekal_morte- · Answer

Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= 
Clic sur le lien de téléchargement, sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement. 
Lance AdwCleaner, clique sur [Scanner]. 
Le scan peux durer plusieurs minutes, patienter. 
Une fois le scan terminé, clique sur [Nettoyer] 

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller. 
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt 


~~


Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).   
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.   

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.   
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :   

https://forum.malekal.com/viewtopic.php?t=5544&start=   

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.   
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.   
Poste les rapports sur http://pjjoint.malekal.com et donne les adresses.   

L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/

Ancistrus28 · Answer

Voici le rapport de AdwCleaner. Je fais le nettoyage de mes périphériques externes en suivant tes indications et je reviens vers toi. Merci beaucoup


# AdwCleaner v3.012 - Rapport créé le 19/11/2013 à 13:45:12
# Mis à jour le 11/11/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : AMANDINE - AMANDINE-PC
# Exécuté depuis : C:\Users\AMANDINE\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****

[#] Service Supprimé : supdate

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\BoxUpdChk
Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\ProgramData\SweetIM
Dossier Supprimé : C:\Program Files (x86)\Ask.com
Dossier Supprimé : C:\Program Files (x86)\Boxore
Dossier Supprimé : C:\Program Files (x86)\OfferBox
Dossier Supprimé : C:\Program Files (x86)\SweetIM
Dossier Supprimé : C:\Windows\installer\{86d4b82a-abed-442a-be86-96357b70f4fe}
Dossier Supprimé : C:\Users\AMANDINE\AppData\Local\AskToolbar
Dossier Supprimé : C:\Users\AMANDINE\AppData\Local\Temp\boost_interprocess
Dossier Supprimé : C:\Users\AMANDINE\AppData\LocalLow\AskToolbar
Dossier Supprimé : C:\Users\AMANDINE\AppData\LocalLow\SweetIM
Dossier Supprimé : C:\Users\AMANDINE\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Program Files (x86)\Software
Dossier Supprimé : C:\Users\AMANDINE\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa
Fichier Supprimé : C:\Windows\System32\Tasks\BoxSoftwareUpdate
Fichier Supprimé : C:\Windows\Tasks\OfferBoxUpdate.job
Fichier Supprimé : C:\Windows\System32\Tasks\OfferBoxUpdate
Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineCore.job
Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineCore
Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineUA.job
Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineUA

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Rechercher sur le Web
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\WLXQuickTimeShellExt.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils
Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator
Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MIME\Database\Content Type\application/x-vnd.software.oneclickctrl.8
Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Clé Supprimée : HKLM\SOFTWARE\Classes\ScriptHost.Tool
Clé Supprimée : HKLM\SOFTWARE\Classes\ScriptHost.Tool.1
Clé Supprimée : HKLM\SOFTWARE\Classes\sim-packages
Clé Supprimée : HKLM\SOFTWARE\Classes\Software.OneClickCtrl.8
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine.1.0
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasmancs
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BundleSweetIMSetup_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BundleSweetIMSetup_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\offerbox_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\offerbox_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\OfferBoxhxxpProxy_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\OfferBoxhxxpProxy_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\sweetim_rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\sweetim_rasmancs
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [OfferBox]
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_hamster-free-video-converter_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_hamster-free-video-converter_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{32451DFC-C23B-4E12-866C-FC7982238504}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C17DC5CF-54FF-4E63-8AC7-94335D6DA231}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D14D0EE2-2DD1-4230-BE70-3F3AD6172C40}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{05366194-3126-4601-AC1A-DDE573E093DC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{061F450C-37B9-4330-9235-0F25D9F75B33}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{092A2C6B-43EE-4F9F-8F8E-14ED5E11C14B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{19D2F415-D58B-46BC-9390-C03DCBC21EB2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{22FEB0F5-0BA0-4D4B-8A66-55A21667BC31}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{257A6158-1416-4B31-9BF8-29FF49F3814F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{26249267-15F4-4DA3-8247-C5A78E4FA918}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{32451DFC-C23B-4E12-866C-FC7982238504}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{39B217B4-8C69-4E45-A8DC-8CC4DAD3CF0A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3CB4CE45-8849-4638-9226-D6B615A15827}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{42AEFAF9-09D6-4185-87AE-DEDF6E955CB4}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{43AB7B5D-4C40-4103-A549-7002A116A7D5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{6E45F3E8-2683-4824-A6BE-08108022FB36}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{996ED20F-A740-47A2-A7EF-9620D422BB4E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9F0F16DD-4E76-4049-A9B1-7A91E48F0323}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AC5C4189-A8A0-4C9D-8910-C9CEF8360077}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D2B79F7D-2D7D-4420-B2A9-ECE52C7C83A0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{F4288797-CB12-49CE-9DF8-7CDFA1143BEA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{061F450C-37B9-4330-9235-0F25D9F75B33}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{22FEB0F5-0BA0-4D4B-8A66-55A21667BC31}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{736EF78E-5A04-46F9-893E-EDEC6EA5DF45}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7A1BCE27-099C-4628-B63A-AEC00C6376B3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AF3AFF7C-B9E9-48DD-9002-212B6DEAAC02}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D2B79F7D-2D7D-4420-B2A9-ECE52C7C83A0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DBE82879-914A-422F-BAE9-2ECC80BE536F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E12D7149-73EF-45E4-A1E9-99FD7DAE62D3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F2B184F1-547C-4EE9-BFC4-AC489C7077D9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{1D55DAA5-04AC-4036-B0BE-DA81EE9676CD}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{212C2C4F-C845-4FBC-9561-C833A13D8DCE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{3C5D1D57-16C8-473C-A552-37B8D88596FE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4A115D8A-6A7B-4C72-92B1-2E2D01F36979}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{58CBF821-A0C7-4AE8-9430-77DD1AF38E99}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{72BCBFF7-2837-4CA0-B3B5-3DAED7F54601}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{824125FD-7732-4DA2-9277-3A7D0A0A0813}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{99DF8440-814E-497F-BDDD-FB93E9E9DF96}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{42AEFAF9-09D6-4185-87AE-DEDF6E955CB4}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{42AEFAF9-09D6-4185-87AE-DEDF6E955CB4}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{83CAD530-387D-40FD-82EA-B9E863D92A9B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C17DC5CF-54FF-4E63-8AC7-94335D6DA231}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D14D0EE2-2DD1-4230-BE70-3F3AD6172C40}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F994E0D9-8335-48F1-99C2-A712C21F8D5F}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}
Clé Supprimée : HKCU\Software\AskToolbar
Clé Supprimée : HKCU\Software\Boxore
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Supprimée : HKLM\Software\AskToolbar
Clé Supprimée : HKLM\Software\Offerbox
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A7BC02AF-1128-4A31-BCF8-1A3EE803D3B3}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A81A974F-8A22-43E6-9243-5198FF758DA1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{CA2B24FD-EE10-42B9-B049-AA80268E7E21}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Offerbox
Clé Supprimée : HKLM\Software\Classes\Installer\Features\64A6E60055D801F4BB8AC269354B72B8
Clé Supprimée : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\Software\Classes\Installer\Features\DF42B2AC01EE9B240B94AA0862E8E712
Clé Supprimée : HKLM\Software\Classes\Installer\Features\F479A18A22A86E3429341589FF57D81A
Clé Supprimée : HKLM\Software\Classes\Installer\Features\FA20CB7A821113A4CB8FA1E38E303D3B
Clé Supprimée : HKLM\Software\Classes\Installer\Products\64A6E60055D801F4BB8AC269354B72B8
Clé Supprimée : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\Software\Classes\Installer\Products\DF42B2AC01EE9B240B94AA0862E8E712
Clé Supprimée : HKLM\Software\Classes\Installer\Products\F479A18A22A86E3429341589FF57D81A
Clé Supprimée : HKLM\Software\Classes\Installer\Products\FA20CB7A821113A4CB8FA1E38E303D3B

***** [ Navigateurs ] *****

-\ Internet Explorer v9.0.8112.16421


-\ Google Chrome v23.0.1271.97

[ Fichier : C:\Users\AMANDINE\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [14804 octets] - [19/11/2013 13:43:31]
AdwCleaner[S0].txt - [14708 octets] - [19/11/2013 13:45:12]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [14769 octets] ##########

Ancistrus28 · Answer

Petit problème ... Mon ordinateur refuse d'ouvrir open-config et me dit que ce "n'est pas une application Win32 valide" ; que faire ?

Ancistrus28 · Answer

Que faire pour supprimer les virus sur ma clé usb si UsbFix ne fonctionne pas ?

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKU\S-1-5-21-2087401203-2487757471-1439754013-1000..\Run: [Facebook.vbs] C:\Users\AMANDINE\AppData\Roaming\Facebook.vbs ()

* poste le rapport ici

Ancistrus28 · Answer

voilà le rapport


========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2087401203-2487757471-1439754013-1000\Software\Microsoft\Windows\CurrentVersion\Run\Facebook.vbs deleted successfully.
File move failed. C:\Users\AMANDINE\AppData\Roaming\Facebook.vbs scheduled to be moved on reboot.
 
OTL by OldTimer - Version 3.2.69.0 log created on 11202013_213555

Files\Folders moved on Reboot...
C:\Users\AMANDINE\AppData\Roaming\Facebook.vbs moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Malekal_morte- · Answer

Affiche les fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Mets ta clef USB, n'ouvre pas.
Mon ordinateur => clic droit / ouvrir sur la clef USB.
Supprime les fichiers pourris.

Refais un scan OTL et donne le rapport.

Ancistrus28 · Answer

Voilà (j'ai recopié les mêmes indications dans le cadre sous personnalisation)

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2087401203-2487757471-1439754013-1000\Software\Microsoft\Windows\CurrentVersion\Run\Facebook.vbs deleted successfully.
File C:\Users\AMANDINE\AppData\Roaming\Facebook.vbs not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 11202013_222749

Ancistrus28 · Answer

Au vue du dernier rapport, penses-tu que ma clé usb est toujours infectée ? Merci

Malekal_morte- · Answer

tu as nettoyé le contenu ?

Supprime USBFix, retélécharge le et retente un scan.

Ancistrus28 · Answer

L'analyse d'usbFix a enfin été jusqu'au bout, voilà le rapport :

http://pjjoint.malekal.com/files.php?id=20131123_b6e11m13j12u9

Malekal_morte- · Answer

Tu ne sembles toujours pas avoir fait le nettoyage.

Ancistrus28 · Answer

http://pjjoint.malekal.com/files.php?id=20131124_b13b9e7t14z12

Malekal_morte- · Answer

mieux :)

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Ancistrus28 · Answer

Et voilà le rapport OTL

 http://pjjoint.malekal.com/files.php?id=20131124_x7t8k8o14v11

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
[2012/03/02 00:28:36 | 000,000,304 | -H-- | C] () -- C:\ProgramData\~z3Pe0YSHB9NDWc 
[2012/03/02 00:28:36 | 000,000,208 | -H-- | C] () -- C:\ProgramData\~z3Pe0YSHB9NDWcr 
[2012/03/02 00:28:28 | 000,000,464 | -H-- | C] () -- C:\ProgramData\z3Pe0YSHB9NDWc 

* poste le rapport ici

Ancistrus28 · Answer

Voila le nouveau rapport (cela a été tellement rapide j''espère que j'ai fait la bonne manipulation)

http://pjjoint.malekal.com/files.php?id=20131125_f9e7d5n14s6

Malekal_morte- · Answer

comment ça va ?
c'est bon poru les clefs USB ?

Ancistrus28 · Answer

j'ai suivi toutes les démarches que tu m'as indiquées pour ma clé usb, donc si tu penses que les rapports sont bons je te fais confiance ... Je n'ose plus l'introduire de peur que le virus ne soit pas parti et se propage à nouveau

Après, j'avais aussi introduit une carte SD dans mon ordinateur; je dois suivre la même procédure pour la désinfection ?

J'ai fait hier un scan complet de mon PC, il semble qu'il n'y ait plus aucune infection. Merci beaucoup !

Ancistrus28 · Answer

Bonjour, c'est encore moi !

Mauvaise nouvelle, le virus est revenu ... Et je n'arrive pas à l'enlever toute seule même si j'ai suivi tes indications précédentes. Si tu avais à nouveau qq minutes à m'accorder pour m'aider ça serait vraiment sympa ....

En te remerciant !

Voilà mon rapport Antivir

Avira Free Antivirus
Date de création du fichier de rapport: vendredi 27 décembre 2013 18:43

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows 7 Home Premium
Version de Windows : (Service Pack 1) [6.1.7601]
Mode Boot : Démarré normalement
Identifiant : AMANDINE
Nom de l'ordinateur : AMANDINE-PC

Informations de version:
BUILD.DAT : 14.0.2.286 Bytes 13/12/2013 15:03:00
AVSCAN.EXE : 14.0.2.254 1032760 Bytes 19/12/2013 14:07:51
AVSCANRC.DLL : 14.0.2.180 62008 Bytes 19/12/2013 14:07:51
LUKE.DLL : 14.0.2.234 65592 Bytes 19/12/2013 14:08:41
AVSCPLR.DLL : 14.0.2.254 124472 Bytes 19/12/2013 14:07:52
AVREG.DLL : 14.0.2.212 250424 Bytes 19/12/2013 14:07:50
avlode.dll : 14.0.2.254 540216 Bytes 19/12/2013 14:07:48
avlode.rdf : 13.0.1.62 56973 Bytes 10/12/2013 11:49:16
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04/04/2013 14:07:21
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30/04/2013 14:21:25
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28/05/2013 11:00:49
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21/06/2013 20:23:54
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23/07/2013 17:22:45
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29/08/2013 12:47:21
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24/09/2013 16:29:08
VBASE007.VDF : 7.11.116.38 5485568 Bytes 28/11/2013 23:41:28
VBASE008.VDF : 7.11.120.140 1154560 Bytes 19/12/2013 14:06:59
VBASE009.VDF : 7.11.120.141 2048 Bytes 19/12/2013 14:07:30
VBASE010.VDF : 7.11.120.142 2048 Bytes 19/12/2013 14:07:31
VBASE011.VDF : 7.11.120.143 2048 Bytes 19/12/2013 14:07:31
VBASE012.VDF : 7.11.120.144 2048 Bytes 19/12/2013 14:07:31
VBASE013.VDF : 7.11.120.145 2048 Bytes 19/12/2013 14:07:31
VBASE014.VDF : 7.11.121.19 126976 Bytes 21/12/2013 13:58:41
VBASE015.VDF : 7.11.121.147 122880 Bytes 24/12/2013 12:25:43
VBASE016.VDF : 7.11.121.233 115712 Bytes 25/12/2013 16:36:39
VBASE017.VDF : 7.11.122.57 325120 Bytes 27/12/2013 16:36:44
VBASE018.VDF : 7.11.122.58 2048 Bytes 27/12/2013 16:36:44
VBASE019.VDF : 7.11.122.59 2048 Bytes 27/12/2013 16:36:44
VBASE020.VDF : 7.11.122.60 2048 Bytes 27/12/2013 16:36:44
VBASE021.VDF : 7.11.122.61 2048 Bytes 27/12/2013 16:36:44
VBASE022.VDF : 7.11.122.62 2048 Bytes 27/12/2013 16:36:44
VBASE023.VDF : 7.11.122.63 2048 Bytes 27/12/2013 16:36:44
VBASE024.VDF : 7.11.122.64 2048 Bytes 27/12/2013 16:36:45
VBASE025.VDF : 7.11.122.65 2048 Bytes 27/12/2013 16:36:45
VBASE026.VDF : 7.11.122.66 2048 Bytes 27/12/2013 16:36:46
VBASE027.VDF : 7.11.122.67 2048 Bytes 27/12/2013 16:36:46
VBASE028.VDF : 7.11.122.68 2048 Bytes 27/12/2013 16:36:46
VBASE029.VDF : 7.11.122.69 2048 Bytes 27/12/2013 16:36:46
VBASE030.VDF : 7.11.122.70 2048 Bytes 27/12/2013 16:36:46
VBASE031.VDF : 7.11.122.112 222208 Bytes 27/12/2013 16:36:48
Version du moteur : 8.2.12.166
AEVDF.DLL : 8.1.3.4 102774 Bytes 17/06/2013 18:08:04
AESCRIPT.DLL : 8.1.4.176 520574 Bytes 21/12/2013 13:58:53
AESCN.DLL : 8.1.10.6 131447 Bytes 11/12/2013 16:24:46
AESBX.DLL : 8.2.16.26 1245560 Bytes 01/09/2013 12:47:36
AERDL.DLL : 8.2.0.138 704888 Bytes 07/12/2013 09:31:14
AEPACK.DLL : 8.3.3.8 762232 Bytes 21/12/2013 13:58:52
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 09/08/2013 15:46:00
AEHEUR.DLL : 8.1.4.830 6386042 Bytes 21/12/2013 13:58:50
AEHELP.DLL : 8.1.27.10 266618 Bytes 23/11/2013 09:50:34
AEGEN.DLL : 8.1.7.20 446839 Bytes 13/11/2013 20:54:49
AEEXP.DLL : 8.4.1.138 418168 Bytes 13/12/2013 14:15:32
AEEMU.DLL : 8.1.3.2 393587 Bytes 07/11/2012 07:26:50
AECORE.DLL : 8.1.33.0 225657 Bytes 11/12/2013 16:24:46
AEBB.DLL : 8.1.1.4 53619 Bytes 07/11/2012 07:26:50
AVWINLL.DLL : 14.0.2.180 23608 Bytes 19/12/2013 14:06:45
AVPREF.DLL : 14.0.2.180 48696 Bytes 19/12/2013 14:07:49
AVREP.DLL : 14.0.2.180 175672 Bytes 19/12/2013 14:07:50
AVARKT.DLL : 14.0.2.254 256056 Bytes 19/12/2013 14:07:37
AVEVTLOG.DLL : 14.0.2.180 165944 Bytes 19/12/2013 14:07:44
SQLITE3.DLL : 3.7.0.1 397088 Bytes 07/11/2012 07:27:08
AVSMTP.DLL : 14.0.2.180 60472 Bytes 19/12/2013 14:07:52
NETNT.DLL : 14.0.2.180 13368 Bytes 19/12/2013 14:08:41
RCIMAGE.DLL : 14.0.2.180 4788792 Bytes 19/12/2013 14:06:45
RCTEXT.DLL : 14.0.2.264 75832 Bytes 19/12/2013 14:06:45

Configuration pour la recherche actuelle:
Nom de la tâche...............................: Contrôle rapide du système
Fichier de configuration......................: C:\program files (x86)\avira\antivir desktop\quicksysscan.avp
Documentation.................................: par défaut
Action principale.............................: Interactif
Action secondaire.............................: Ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Contrôle en cours des secteurs d'amorçage.....: marche
Contrôle en cours des programmes actifs.......: marche
Recherche du registre.........................: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Recherche sur tous les fichiers...............: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique de fichiers.......................: avancé
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche: vendredi 27 décembre 2013 18:43

La recherche sur les secteurs d'amorçage commence:
L'entrée de registre <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FlashPlayerPlug_11_4_76_983> a été supprimée.
L'entrée de registre <HKEY_USERS\S-1-5-21-2087401203-2487757471-1439754013-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FlashPlayerPlug_11_4_76_983> a été supprimée.

La recherche sur les processus démarrés commence:
Recherche en cours du processus 'svchost.exe' - '52' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '34' module(s) ont été recherchés
Recherche en cours du processus 'atiesrxx.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '92' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '121' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '155' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '76' module(s) ont été recherchés
Recherche en cours du processus 'atieclxx.exe' - '30' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '73' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '72' module(s) ont été recherchés
Recherche en cours du processus 'spoolsv.exe' - '90' module(s) ont été recherchés
Recherche en cours du processus 'sched.exe' - '56' module(s) ont été recherchés
Recherche en cours du processus 'taskhost.exe' - '54' module(s) ont été recherchés
Recherche en cours du processus 'Dwm.exe' - '37' module(s) ont été recherchés
Recherche en cours du processus 'Explorer.EXE' - '157' module(s) ont été recherchés
Recherche en cours du processus 'avguard.exe' - '102' module(s) ont été recherchés
Recherche en cours du processus 'dsiwmis.exe' - '44' module(s) ont été recherchés
Recherche en cours du processus 'ePowerSvc.exe' - '45' module(s) ont été recherchés
Recherche en cours du processus 'GREGsvc.exe' - '15' module(s) ont été recherchés
Recherche en cours du processus 'taskeng.exe' - '28' module(s) ont été recherchés
Recherche en cours du processus 'IScheduleSvc.exe' - '66' module(s) ont été recherchés
Recherche en cours du processus 'GoogleUpdate.exe' - '50' module(s) ont été recherchés
Recherche en cours du processus 'c2c_service.exe' - '40' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '53' module(s) ont été recherchés
Recherche en cours du processus 'UpdaterService.exe' - '27' module(s) ont été recherchés
Recherche en cours du processus 'RAVCpl64.exe' - '50' module(s) ont été recherchés
Recherche en cours du processus 'SynTPEnh.exe' - '49' module(s) ont été recherchés
Recherche en cours du processus 'PLFSetI.exe' - '41' module(s) ont été recherchés
Recherche en cours du processus 'ePowerTray.exe' - '54' module(s) ont été recherchés
Recherche en cours du processus 'GoogleToolbarNotifier.exe' - '59' module(s) ont été recherchés
Recherche en cours du processus 'sidebar.exe' - '89' module(s) ont été recherchés
Recherche en cours du processus 'Skype.exe' - '125' module(s) ont été recherchés
Recherche en cours du processus 'ScanToPCActivationApp.exe' - '55' module(s) ont été recherchés
Recherche en cours du processus 'wmiprvse.exe' - '65' module(s) ont été recherchés
Recherche en cours du processus 'StikyNot.exe' - '39' module(s) ont été recherchés
Recherche en cours du processus 'WScript.exe' - '92' module(s) ont été recherchés
Recherche en cours du processus 'unsecapp.exe' - '31' module(s) ont été recherchés
Recherche en cours du processus 'wmiprvse.exe' - '34' module(s) ont été recherchés
Recherche en cours du processus 'FlashPlayerPlug_11_4_76_983.exe' - '68' module(s) ont été recherchés
Module infecté -> <C:\Users\AMANDINE\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe>
[RESULTAT] Contient le cheval de Troie TR/Strictor.37768.47
[REMARQUE] Le processus 'FlashPlayerPlug_11_4_76_983.exe' a été arrêté
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '59641f7e.qua'!
[REMARQUE] L'entrée de registre <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FlashPlayerPlug_11_4_76_983> a été réparée.
[REMARQUE] L'entrée de registre <HKEY_USERS\S-1-5-21-2087401203-2487757471-1439754013-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FlashPlayerPlug_11_4_76_983> a été réparée.
Recherche en cours du processus 'ePowerEvent.exe' - '21' module(s) ont été recherchés
Recherche en cours du processus 'BackupManagerTray.exe' - '39' module(s) ont été recherchés
Recherche en cours du processus 'reader_sl.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'LManager.exe' - '67' module(s) ont été recherchés
Recherche en cours du processus 'VideoWebCamera.exe' - '45' module(s) ont été recherchés
Recherche en cours du processus 'AdobeARM.exe' - '71' module(s) ont été recherchés
Recherche en cours du processus 'Dropbox.exe' - '84' module(s) ont été recherchés
Recherche en cours du processus 'jusched.exe' - '41' module(s) ont été recherchés
Recherche en cours du processus 'MMDx64Fx.exe' - '29' module(s) ont été recherchés
Recherche en cours du processus 'EEventManager.exe' - '50' module(s) ont été recherchés
Recherche en cours du processus 'avgnt.exe' - '92' module(s) ont été recherchés
Recherche en cours du processus 'LMworker.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'IELowutil.exe' - '47' module(s) ont été recherchés
Recherche en cours du processus 'avshadow.exe' - '20' module(s) ont été recherchés
Recherche en cours du processus 'AVWEBGRD.EXE' - '63' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '68' module(s) ont été recherchés
Recherche en cours du processus 'SearchIndexer.exe' - '71' module(s) ont été recherchés
Recherche en cours du processus 'SearchProtocolHost.exe' - '43' module(s) ont été recherchés
Recherche en cours du processus 'wmpnetwk.exe' - '113' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '59' module(s) ont été recherchés
Recherche en cours du processus 'SynTPHelper.exe' - '17' module(s) ont été recherchés
Recherche en cours du processus 'sppsvc.exe' - '27' module(s) ont été recherchés
Recherche en cours du processus 'SearchFilterHost.exe' - '30' module(s) ont été recherchés
Recherche en cours du processus 'avscan.exe' - '105' module(s) ont été recherchés
Recherche en cours du processus 'avscan.exe' - '105' module(s) ont été recherchés
Recherche en cours du processus 'consent.exe' - '52' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '9' module(s) ont été recherchés
Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés
Recherche en cours du processus 'wininit.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés
Recherche en cours du processus 'services.exe' - '33' module(s) ont été recherchés
Recherche en cours du processus 'lsass.exe' - '68' module(s) ont été recherchés
Recherche en cours du processus 'lsm.exe' - '16' module(s) ont été recherchés
Recherche en cours du processus 'winlogon.exe' - '31' module(s) ont été recherchés
Recherche en cours du processus 'SearchFilterHost.exe' - '27' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '28' module(s) ont été recherchés
Le fichier '\\?\C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug.lnk' a été déplacé dans le répertoire de quarantaine.

La recherche sur les renvois aux fichiers exécutables (registre) commence:
C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe
[RESULTAT] Contient le cheval de Troie TR/Strictor.37768.47
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '41f33093.qua'!
C:\Users\AMANDINE\AppData\Local\Temp\FlashPlayerMsj.exe
[RESULTAT] Contient le cheval de Troie TR/Strictor.37768.47

Malekal_morte- · Answer

ben refais un scan OTL et donne le rapport.

Ancistrus28 · Answer

http://pjjoint.malekal.com/files.php?id=20131227_w14b7h10h12m9

Malekal_morte- · Answer

apparemment c'est par une clef USB infectée.


Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:OTL
O4 - HKU\S-1-5-21-2087401203-2487757471-1439754013-1000..\Run: [Facebook.vbs] C:\Users\AMANDINE\AppData\Roaming\Facebook.vbs ()  
O4 - HKU\S-1-5-21-2087401203-2487757471-1439754013-1000..\Run: [FlashPlayerPlug_11_4_76_983] C:\Users\AMANDINE\AppData\Roaming\FlashPlayer Install\FlashPlayerPlug_11_4_76_983.exe ()  
O4 - Startup: C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook.vbs ()  
O4 - Startup: C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug.lnk = C:\Users\AMANDINE\AppData\Local\Temp\FlashPlayerMsj.exe ()  
O4 - Startup: C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe ()  
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
[2013/12/27 17:33:07 | 000,377,344 | ---- | C] () -- C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe  
[2013/12/27 17:32:25 | 000,001,272 | ---- | C] () -- C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug.lnk  
[2013/12/14 13:22:26 | 000,007,596 | -H-- | C] () -- C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook.vbs 
[2013/12/14 13:22:26 | 000,007,596 | -H-- | C] () -- C:\Users\AMANDINE\AppData\Roaming\Facebook.vbs 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
[2013/12/27 17:31:57 | 000,377,344 | ---- | M] () -- C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_11_4_76_983.exe  
[2013/12/27 17:45:55 | 000,001,272 | ---- | M] () -- C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug.lnk  


* poste le rapport ici  
 


~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

Ancistrus28 · Answer

http://pjjoint.malekal.com/files.php?id=20131227_q14e9z10j7e13

Et je viens d'envoyer le dossier ZIP

Malekal_morte- · Answer

ok refais un scan OTL et donne le rapport pour voir.

Ancistrus28 · Answer

Voila le nouveau rapport

http://pjjoint.malekal.com/files.php?id=20131227_m9s15e9h12d10

Malekal_morte- · Answer

humm le vbs est encore là, y a des chances qu'ils remettent tout.

Menu Démarrer / Tous les Programmes / Démarrage
supprime le facebooks. 

Vérifie qu'il ne revient pas.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Ancistrus28 · Answer

Dans démarrage je n'ai que 2 programmes : ma dropbox et le logiciel pour surveiller les cartouches d'encre de mon imprimante ...

Malekal_morte- · Answer

Fais ça pour être sûr.

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:files
C:\Users\AMANDINE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook.vbs
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings]
"Enabled"="0"
:Commands
[reboot]

* poste le rapport ici 

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Ancistrus28 · Answer

http://pjjoint.malekal.com/files.php?id=20131227_z9c7c12r13t8

Ancistrus28 · Answer

Bon .... En fait le virus est toujours là ! Voilà le rapport du scan complet avira de mon ordinateur. Je ne sais plus quoi faire 




Avira Free Antivirus
Date de création du fichier de rapport: vendredi 27 décembre 2013  22:23


Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira Free Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows 7 Home Premium
Version de Windows      : (Service Pack 1)  [6.1.7601]
Mode Boot               : Démarré normalement
Identifiant             : AMANDINE
Nom de l'ordinateur     : AMANDINE-PC

Informations de version:
BUILD.DAT               : 14.0.2.286           Bytes  13/12/2013 15:03:00
AVSCAN.EXE              : 14.0.2.254   1032760 Bytes  19/12/2013 14:07:51
AVSCANRC.DLL            : 14.0.2.180     62008 Bytes  19/12/2013 14:07:51
LUKE.DLL                : 14.0.2.234     65592 Bytes  19/12/2013 14:08:41
AVSCPLR.DLL             : 14.0.2.254    124472 Bytes  19/12/2013 14:07:52
AVREG.DLL               : 14.0.2.212    250424 Bytes  19/12/2013 14:07:50
avlode.dll              : 14.0.2.254    540216 Bytes  19/12/2013 14:07:48
avlode.rdf              : 13.0.1.62      56973 Bytes  10/12/2013 11:49:16
VBASE000.VDF            : 7.11.70.0   66736640 Bytes  04/04/2013 14:07:21
VBASE001.VDF            : 7.11.74.226  2201600 Bytes  30/04/2013 14:21:25
VBASE002.VDF            : 7.11.80.60   2751488 Bytes  28/05/2013 11:00:49
VBASE003.VDF            : 7.11.85.214  2162688 Bytes  21/06/2013 20:23:54
VBASE004.VDF            : 7.11.91.176  3903488 Bytes  23/07/2013 17:22:45
VBASE005.VDF            : 7.11.98.186  6822912 Bytes  29/08/2013 12:47:21
VBASE006.VDF            : 7.11.103.230  2293248 Bytes  24/09/2013 16:29:08
VBASE007.VDF            : 7.11.116.38  5485568 Bytes  28/11/2013 23:41:28
VBASE008.VDF            : 7.11.120.140  1154560 Bytes  19/12/2013 14:06:59
VBASE009.VDF            : 7.11.120.141     2048 Bytes  19/12/2013 14:07:30
VBASE010.VDF            : 7.11.120.142     2048 Bytes  19/12/2013 14:07:31
VBASE011.VDF            : 7.11.120.143     2048 Bytes  19/12/2013 14:07:31
VBASE012.VDF            : 7.11.120.144     2048 Bytes  19/12/2013 14:07:31
VBASE013.VDF            : 7.11.120.145     2048 Bytes  19/12/2013 14:07:31
VBASE014.VDF            : 7.11.121.19   126976 Bytes  21/12/2013 13:58:41
VBASE015.VDF            : 7.11.121.147   122880 Bytes  24/12/2013 12:25:43
VBASE016.VDF            : 7.11.121.233   115712 Bytes  25/12/2013 16:36:39
VBASE017.VDF            : 7.11.122.57   325120 Bytes  27/12/2013 16:36:44
VBASE018.VDF            : 7.11.122.58     2048 Bytes  27/12/2013 16:36:44
VBASE019.VDF            : 7.11.122.59     2048 Bytes  27/12/2013 16:36:44
VBASE020.VDF            : 7.11.122.60     2048 Bytes  27/12/2013 16:36:44
VBASE021.VDF            : 7.11.122.61     2048 Bytes  27/12/2013 16:36:44
VBASE022.VDF            : 7.11.122.62     2048 Bytes  27/12/2013 16:36:44
VBASE023.VDF            : 7.11.122.63     2048 Bytes  27/12/2013 16:36:44
VBASE024.VDF            : 7.11.122.64     2048 Bytes  27/12/2013 16:36:45
VBASE025.VDF            : 7.11.122.65     2048 Bytes  27/12/2013 16:36:45
VBASE026.VDF            : 7.11.122.66     2048 Bytes  27/12/2013 16:36:46
VBASE027.VDF            : 7.11.122.67     2048 Bytes  27/12/2013 16:36:46
VBASE028.VDF            : 7.11.122.68     2048 Bytes  27/12/2013 16:36:46
VBASE029.VDF            : 7.11.122.69     2048 Bytes  27/12/2013 16:36:46
VBASE030.VDF            : 7.11.122.70     2048 Bytes  27/12/2013 16:36:46
VBASE031.VDF            : 7.11.122.112   222208 Bytes  27/12/2013 16:36:48
Version du moteur       : 8.2.12.166
AEVDF.DLL               : 8.1.3.4       102774 Bytes  17/06/2013 18:08:04
AESCRIPT.DLL            : 8.1.4.176     520574 Bytes  21/12/2013 13:58:53
AESCN.DLL               : 8.1.10.6      131447 Bytes  11/12/2013 16:24:46
AESBX.DLL               : 8.2.16.26    1245560 Bytes  01/09/2013 12:47:36
AERDL.DLL               : 8.2.0.138     704888 Bytes  07/12/2013 09:31:14
AEPACK.DLL              : 8.3.3.8       762232 Bytes  21/12/2013 13:58:52
AEOFFICE.DLL            : 8.1.2.76      205181 Bytes  09/08/2013 15:46:00
AEHEUR.DLL              : 8.1.4.830    6386042 Bytes  21/12/2013 13:58:50
AEHELP.DLL              : 8.1.27.10     266618 Bytes  23/11/2013 09:50:34
AEGEN.DLL               : 8.1.7.20      446839 Bytes  13/11/2013 20:54:49
AEEXP.DLL               : 8.4.1.138     418168 Bytes  13/12/2013 14:15:32
AEEMU.DLL               : 8.1.3.2       393587 Bytes  07/11/2012 07:26:50
AECORE.DLL              : 8.1.33.0      225657 Bytes  11/12/2013 16:24:46
AEBB.DLL                : 8.1.1.4        53619 Bytes  07/11/2012 07:26:50
AVWINLL.DLL             : 14.0.2.180     23608 Bytes  19/12/2013 14:06:45
AVPREF.DLL              : 14.0.2.180     48696 Bytes  19/12/2013 14:07:49
AVREP.DLL               : 14.0.2.180    175672 Bytes  19/12/2013 14:07:50
AVARKT.DLL              : 14.0.2.254    256056 Bytes  19/12/2013 14:07:37
AVEVTLOG.DLL            : 14.0.2.180    165944 Bytes  19/12/2013 14:07:44
SQLITE3.DLL             : 3.7.0.1       397088 Bytes  07/11/2012 07:27:08
AVSMTP.DLL              : 14.0.2.180     60472 Bytes  19/12/2013 14:07:52
NETNT.DLL               : 14.0.2.180     13368 Bytes  19/12/2013 14:08:41
RCIMAGE.DLL             : 14.0.2.180   4788792 Bytes  19/12/2013 14:06:45
RCTEXT.DLL              : 14.0.2.264     75832 Bytes  19/12/2013 14:06:45

Configuration pour la recherche actuelle:
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: par défaut
Action principale.............................: Interactif
Action secondaire.............................: Ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Contrôle en cours des secteurs d'amorçage.....: marche
Secteurs d'amorçage...........................: C:, 
Contrôle en cours des programmes actifs.......: marche
Programmes en cours étendus...................: marche
Recherche du registre.........................: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Recherche sur tous les fichiers...............: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique de fichiers.......................: avancé
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche: vendredi 27 décembre 2013  22:23

La recherche sur les secteurs d'amorçage commence:
Secteur d'amorçage 'HDD0(C:)'
    [INFO]      Aucun virus trouvé!

La recherche d'objets cachés commence.

La recherche sur les processus démarrés commence:
Recherche en cours du processus 'svchost.exe' - '52' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '36' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '92' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '121' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '156' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '76' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '76' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '72' module(s) ont été recherchés
Recherche en cours du processus 'sched.exe' - '56' module(s) ont été recherchés
Recherche en cours du processus 'Dwm.exe' - '34' module(s) ont été recherchés
Recherche en cours du processus 'avguard.exe' - '101' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '53' module(s) ont été recherchés
Recherche en cours du processus 'avgnt.exe' - '92' module(s) ont été recherchés
Recherche en cours du processus 'unsecapp.exe' - '28' module(s) ont été recherchés
Recherche en cours du processus 'wmiprvse.exe' - '33' module(s) ont été recherchés
Recherche en cours du processus 'avshadow.exe' - '29' module(s) ont été recherchés
Recherche en cours du processus 'AVWEBGRD.EXE' - '63' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '62' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '59' module(s) ont été recherchés
Recherche en cours du processus 'avscan.exe' - '112' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '28' module(s) ont été recherchés
Recherche en cours du processus 'Go.exe' - '80' module(s) ont été recherchés
Recherche en cours du processus 'wmiprvse.exe' - '60' module(s) ont été recherchés
Recherche en cours du processus 'explorer.exe' - '148' module(s) ont été recherchés
Recherche en cours du processus 'WUDFHost.exe' - '36' module(s) ont été recherchés
Recherche en cours du processus 'rundll32.exe' - '27' module(s) ont été recherchés
Recherche en cours du processus 'SearchIndexer.exe' - '77' module(s) ont été recherchés
Recherche en cours du processus 'wmpnetwk.exe' - '113' module(s) ont été recherchés
Recherche en cours du processus 'SearchProtocolHost.exe' - '45' module(s) ont été recherchés
Recherche en cours du processus 'WMIADAP.EXE' - '30' module(s) ont été recherchés
Recherche en cours du processus 'taskeng.exe' - '28' module(s) ont été recherchés
Recherche en cours du processus 'spoolsv.exe' - '90' module(s) ont été recherchés
Recherche en cours du processus 'vssvc.exe' - '47' module(s) ont été recherchés
Recherche en cours du processus 'SearchFilterHost.exe' - '27' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '9' module(s) ont été recherchés
Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés
Recherche en cours du processus 'wininit.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés
Recherche en cours du processus 'services.exe' - '33' module(s) ont été recherchés
Recherche en cours du processus 'lsass.exe' - '70' module(s) ont été recherchés
Recherche en cours du processus 'lsm.exe' - '16' module(s) ont été recherchés
Recherche en cours du processus 'winlogon.exe' - '31' module(s) ont été recherchés

La recherche sur les renvois aux fichiers exécutables (registre) commence:
Le registre a été contrôlé ( '2777' fichiers).


La recherche sur les fichiers sélectionnés commence:

Recherche débutant dans 'C:\' <Packard Bell>
C:\Users\AMANDINE\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IFTW4445\Book[1].pdf
  [RESULTAT]  Contient le cheval de Troie TR/Strictor.37768.47

Début de la désinfection:
C:\Users\AMANDINE\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IFTW4445\Book[1].pdf
  [RESULTAT]  Contient le cheval de Troie TR/Strictor.37768.47
  [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5ab4b42c.qua'!


Fin de la recherche: samedi 28 décembre 2013  01:13
Temps écoulé:  2:47:10 Heure(s)

La recherche a été effectuée intégralement.

  30109 Les répertoires ont été contrôlés
 653598 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de scanner des fichiers
 653597 Fichiers non infectés
   5728 Les archives ont été contrôlées
      0 Avertissements
      1 Consignes
 957105 Des objets ont été contrôlés lors du Rootkitscan

Supprimer cheval de troie Kryptik / Trojan.Strictor

36 réponses

Votre réponse

Discussions similaires

Newsletters