malware/troyen a.bat sous vista ?? Résolu

Question

Bonjour,
Au démarrage de vista avast trouve deux fois le virus a.bat, il y a plusieurs sujet la-dessus, mais peut être ne faudrait il mieux pas suivre une procédure qui ne coïnciderait pas totalement à mon infection... J'ai tenté plusieurs méthodes notamment malwarebytes, mais rien y fait.... Ca serait chouette que quelqu'un puisse m'aider, voici le rapport hijackthis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:14:59, on 06/12/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\System32undll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Users\ACER\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Google\Web Accelerator\googlewebaccclient.exe
C:\Windows\system32\wint32.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
D:\DONNEES\Web import\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {4c7adbc6-588e-4878-a194-422588e6a0c3} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll
O2 - BHO: (no name) - {4c7adbc6-588e-4878-a194-422588e6a0c3} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Video Download Toolbar Helper - {83BD144C-5E53-4E12-8E99-5A7F1BBF3EA0} - C:\Program Files\Video Download Toolbar\v3.3.0.1\Video_Download_Toolbar.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Video Download Toolbar IE Browser Helper Object - {B29002A0-87A1-4DC4-AC55-5982034EB61E} - C:\PROGRA~1\VIDEOD~1\V330~1.1\RESOUR~1\VIDEOD~1.DLL
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb125\SearchSettings.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: (no name) - {4c7adbc6-588e-4878-a194-422588e6a0c3} - (no file)
O3 - Toolbar: Video Download Toolbar - {E52BE12D-A44A-4F51-9DC1-34F37A488CC7} - C:\Program Files\Video Download Toolbar\v3.3.0.1\Video_Download_Toolbar.dll
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\VistaCodecPack\QT\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Host Process for Windows Services] wint32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [Host Process for Windows Services] wint32.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\ACER\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [RGSC] D:\jeu\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Run Google Web Accelerator.lnk = C:\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://www.radioblagon.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\PROGRAMMES\utilitaire web\aawservice.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - d:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

afideg · Answer

Bonsoir

Télécharge Toolbar-S&D de Eric_71 :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
Sur ton bureau, impératif.

Recherche.

Double clique sur le fichier ToolBar SD.exe pour l'installer.
 
Coche la case "Je suis d'accord...ci-dessus", accepter la création du répertoire par Oui, puis Suivant et Quitter 
Une icône sera crée sur le bureau ToolBar SD
 
Sous Vista, faire un clic droit et Exécuter en tant qu'administrateur (Elévation des privilèges.), puis Continuer.
Dans la fenêtre DOS bleue, Tape F, Entrer.
Ensuite tape 1 et Entrer.
Le système va redémarrer et le scan prendra quelques minutes.
Une fois terminé un rapport TB.txt va s'ouvrir.
Tu cliques dessus et tu fais :
CTRL+A pour tout sélectionner
CTRL+C pour tout mettre dans le presse-papier
Tu ouvres une réponse sur le forum et tu fais :
CTRL+V pour coller le rapport dans cette réponse.
Tu fermes le rapport sur ton bureau et tu attends les résultats de l'analyse.
Ce rapport sera enregistré à la racine du système : C:\TB.txt

Tuto : https://sites.google.com/site/toolbarsd/aideenimages 

Merci
Al.

afideg · Answer

(suite) Merci A)- Suppression des clés infectées. 1°- Crée un "nouveau document texte". Pour cela : clic-droit de souris sur un espace libre du bureau > "Nouveau" > choisir "Document Texte" ( vers le bas du petit menu contextuel). Ouvre-le (clic-droit > ouvrir), dans la barre de menus clique sur "Format" ---> veille bien à bien retirer la coche devant "Retour à la ligne automatique" < http://img291.imageshack.us/img291/8931/screenshot423vt1.png > 2°- Copier/coller dedans ce qui est en caractères gras ci-dessous, ( copie tout d'une traite, y compris la ligne REGEDIT4 - avec une interligne après REGEDIT4 -) ( attention: il faut bien coller dans l'extrême coin supérieur gauche !! ) (Si tu ne comprends pas, demande) ! REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] [-HKEY_CLASSES_ROOT\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SearchSettings"=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASKService] 3° Fais un retour chariot ( = [Entrée] ) après la dernière ligne. 4°- Puis clic sur "Fichier" > "enregistrer sous" > choisir " sur le Bureau " Dans "Nom du fichier" : taper par exemple " fix1.reg " Dans "Type de fichier" : choisir "tous les fichiers" Clic sur [enregistrer] L'icône de "fix1.reg" doit ressembler à cela < http://img520.imageshack.us/img520/4251/screenshot005ps2.png > 5°- ATTENTION: - Les manipulations qui suivent sont à faire sans interruption et dans l'ordre. - Tu n'auras plus accès ni à IE, ni à CCM durant la procédure de désinfection qui suit . - Note-la. - Redémarre en mode sans échec (choisis ta session habituelle, et non pas le compte "Administrateur" ou autre) :< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > 6°- Double-clique sur " fix1.reg " (que tu as créé sur ton bureau ) pour l’exécuter (rien d'autre) NOTE: => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" Si c'est bien le cas, clique sur "oui " Tu vas recevoir un message qui te dit que cela peut endommager le système ==> N'en tiens pas compte. 7°- Redémarre le PC normalement. B) Suppression des fichiers Recherche et supprime ces fichiers: C:\Windows\iun6002.exe c:\program files\search settings ou C:\Program Files\Search Settings c:\program files\askbardis ou C:\Program Files\AskBarDis C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com C)- Faille de sécurité ici O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6 Dernière version Java Runtime Environment 1.6.0.11 disponible ici : https://filehippo.com/download_jre_32/?ex=CORE-116.0 Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions D)- Termine avec ce "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer". Il faut utiliser la version 7 disponible sur ce lien : https://www.kaspersky.fr/downloads Branche ton Disque Externe (clé USB) éventuellement - Clique là où la flèche l’indique https://imageshack.com/ . - Clique maintenant sur "J'accepte". - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. - Patiente pendant l'installation des "Mises à jour". Clic sur « Paramètres d'analyse » Coche la case "Étendue" >> Ok - Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». - Sauvegarde puis colle le rapport généré en fin d'analyse. http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 > Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo) NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. E)- Donne un nouveau rapport HijackThis, s'il te plaît. Merci Al.

afideg · Answer

(suite)

Tu poursuivras avec ceci:

F)- C:\Program Files\Alwil Software\Avast4\ashDisp.exe
Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!).
1)- Télécharger ANTIVIR à partir de ce lien et tuto http://www.libellules.ch/tuto_antivir.php
Autres TUTORIELS :
< https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
- ou < http://www.malekal.com/tutorial_antivir.html >
- ou < http://www.vista-xp.fr/forum/topic227.html >
Vidéo de configuration par Angélique https://www.malekal.com/fichiers/antivir/ConfigurationAntivir.avi
2)- Désinstaller AVAST: <
https://www.avast.com/fr-fr/uninstall-utility >
3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.
- Attention : Sers-toi du tutoriel pour installer ANTIVIR,
4)- Procédure d'utilisation:
Après l'installation du programme et avant de lancer l'analyse, ...
...il faut redémarrer le PC en mode sans échec, comme ceci:
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
L'analyse:
- Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
- Cliquer sur l’onglet « scanner »
- Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut) .
(Note : Pour activer l'antirootkit : aller dans CONFIGURATION puis EXPERT MODE puis SCAN et cocher la case SEARCH FOR ROOTKIT...)- Une fenêtre va s’ouvrir « Luke Filewalker »
- Le scan va démarrer.
- Mettre tout ce qu il trouve en "quarantine"
Le rapport:
Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).

Voici un lien pour ne plus avoir de popup intempestif pour acheter la version payante lors des mises à jour https://forum.malekal.com/viewtopic.php?p=45326#p45326

Si problème de mise à jour, télécharger les Maj d'antivir ici : https://www.bytesin.com/software/Download-Avira-Antivir-Virus-Definition-File-Update/
Installer

G)- O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\PROGRAMMES\utilitaire web\aawservice.exe
Je te conseille de désinstaller Ad-Aware 2007.
•- La version gratuite n'offre pas de protection en temps réel, ça reste un scanneur donc l'efficacité est plus qu'à douter, voir : [ https://forum.malekal.com/viewtopic.php?f=45&t=8046 ]
•- Et pour exclure ce service inutile aawservice, il suffit de faire ainsi:
Dans Orbe (Démarrer) > Tous les programmes > Accessoires > Clique droit sur Invite de commandes et choisis "d'Exécuter en tant qu'administrateur" > coller (recommencer pour chacune des trois commandes suivantes) :
1°- sc stop aawservice --> valider par [OK]
2°- sc config aawservice start= disabled --> valider par [OK]
3°- sc delete aawservice --> valider par [OK]

H)- Quel est ton pare-feu sous Vista ?

Je vais au lit
À demain
Al.

Utilisateur anonyme · Answer

Salut


Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

- Vas dans "Démarrer" puis Panneau de configuration. 
- Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs. 
- Clique sur Continuer. 
- Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur. 
- Valide par OK et redémarre. 

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517


Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Fais un clic Droit sur le raccourci UsbFix sur ton bureau et choisi executer en tant qu administrateur
-->choisi l option 1 (nettoyage)

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


ps : Salut Al

afideg · Answer

Bonjour,

Avais-tu bien trouvé et supprimé AskBarDis ?
Parce que je le vois encore ici:
C:\Program Files\AskBarDis\bar\bin\AskService.exe
Retrouve-le, et supprime-le.

Recherche et supprime également le fichier (en gras):
C:\Windows\System32\wint32.exe
(... que l'on retrouve en HijackThis:
O4 - HKLM\..\RunServices: [Host Process for Windows Services] wint32.exe
O4 - HKLM\..\Run: [Host Process for Windows Services] wint32.exe)

Recherche et supprime également le fichier (en gras):
C:\Users\ACER\AppData\Local\Temp\wteeh.exe

Recherche et supprime également (sur ta partition D:\), ce logiciel en gras
D:\PROGRAMMES\PROG MEDIA\pinnacle\studio935\Pinnacle_Studio_9.3.5_MultiLanguage + Hollywood Fx 5.1 Plus Extra Packs.zip
[0] Type d'archive: ZIP
--> Hollywood FX 5.1/FX 5.1/keygen.exe
[RESULTAT] Contient le cheval de Troie TR/Zlob.2604
C'est à toi de décider, mais tu vois qu'il contient un trojan néfaste; je le supprimerais !

Connais-tu et utilises-tu ce site (en gras)
O15 - Trusted Zone: <http://www.radioblagon.com> ??

Pour ces lignes "Toolbar":
O3 - Toolbar: (no name) - {4c7adbc6-588e-4878-a194-422588e6a0c3} - (no file)
O3 - Toolbar: Video Download Toolbar - {E52BE12D-A44A-4F51-9DC1-34F37A488CC7} - C:\Program Files\Video Download Toolbar\v3.3.0.1\Video_Download_Toolbar.dll
O2 - BHO: Video Download Toolbar IE Browser Helper Object - {B29002A0-87A1-4DC4-AC55-5982034EB61E} - C:\PROGRA~1\VIDEOD~1\V330~1.1\RESOUR~1\VIDEOD~1.DLL
O2 - BHO: Video Download Toolbar Helper - {83BD144C-5E53-4E12-8E99-5A7F1BBF3EA0} - C:\Program Files\Video Download Toolbar\v3.3.0.1\Video_Download_Toolbar.dll

... j'aimerais que tu puisses relancer Toolbar-S&D de Eric_71; comme ceci:
1°- Supprime le précédant que tu avais téléchargé (post # 1)
2°- Télécharge Toolbar-S&D (Team IDN) < https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 > sur ton Bureau --> impérativement.
* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
• Sous Vista, faire un clic droit et "Exécuter en tant qu'administrateur" (Elévation des privilèges), puis -> Continuer.
* Choisis maintenant l'option 1 (Recherche). --> Tape 1 puis sur la touche [Entrée] afin de lancer la recherche.
- Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

Merci
Al.

tomtomas · Answer

autant pour moi, firefox a juste mit un temps considérable pour se lancer.....

afideg · Answer

Merci

Exécute ce post SVP  http://www.commentcamarche.net/forum/affich 9781208 malware troyen a bat sous vista?#6

afideg · Answer

(suite)

Tente ceci  Suppression des détections de ToolBar SD:

.Important! .Désactive ton antivirus / antispyware résident / TeaTimer de Spybot (si présent et actif) - Aide en images ==> https://forum.pcastuces.com/default.asp 

* Double clique sur le raccourci de ToolBarSD présent sur ton bureau. 
Sous Vista : clic droit -> Exécuter en tant qu'administrateur.

Au menu principal, choisis l'option 2 et valide par la touche [Entrée]. 
/!\ Ne ferme pas la fenêtre lors de la suppression /!\ 
• Un rapport sera généré. 

Note 2 : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le Gestionnaire de tâches... 
• Rends-toi à l'onglet "Processus", clique en haut à gauche sur -> Fichiers et choisis -> Exécuter... 
• Tape: explorer et valide. Cela te fera apparaître ton Bureau. 

** Poste le rapport de ToolBar-SD 



Ensuite exécute UsbFix selon ce post SVP http://www.commentcamarche.net/forum/affich 9781208 malware troyen a bat sous vista?#6 



Branche toutes tes clés usb et tes disques externes 
---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau : 
http://oldtimer.geekstogo.com/OTMoveIt3.exe 
---> Double-clique sur OTMoveIt3.exe afin de le lancer. 
---> Copie (Ctrl+C) le texte suivant ci-dessous : 

:files 
C:\Windows\System32\wint32.exe

:commands 
[emptytemp] 
[reboot]


---> Colle (Ctrl+V) le texte précédemment copié dans le cadre « Paste Instructions for Items to be Moved”. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log




Merci
Al

tomtomas · Answer

merci, heu j'ai peut etre fait des erreurs 
j'ai pas fais les première étape avec toolbarSD ca semblais interminable (au précédent post je pensais que ca plantais) interminable pas grave mais ca plantait avec vista a cause de QGREP (qui devait nous laissez le fermer toute les 5min pendant plusieurs heures)  : le exe associer étant findstr je l'ai ajouté aux exceptions de l'exécution de données, il apparait comme tweakvi_tweakvi_1.0.1690_france_33130.exe (???) rebootage replantage avec toolbar et findstr : apparemment on peut pas le desactiver 
du coup j'ai fait  otmoveit  me suis emmeler entre cleanit et moveit d'abord cleanit reebootage a.bat toujours la moveit a.bat plus la rapport 

========== FILES ==========
File/Folder C:\Windows\System32\wint32.exe not found.
========== COMMANDS ==========
File delete failed. C:\Users\ACER\AppData\Local\Temp\etilqs_gYiwbuGFaW8MCKBIwfxw scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Temp\googlewebaccclient.exe.log scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Temp\GoogleWebAccelerator.pac scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Temp\GoogleWebAcceleratorCache scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Temp\GoogleWebAccWarden.exe.log scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Temp\~DF26BA.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Temp\~DF7749.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Temp\~DF9929.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
 
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12072008_190711

Files moved on Reboot...
File C:\Users\ACER\AppData\Local\Temp\etilqs_gYiwbuGFaW8MCKBIwfxw not found!
C:\Users\ACER\AppData\Local\Temp\googlewebaccclient.exe.log moved successfully.
File C:\Users\ACER\AppData\Local\Temp\GoogleWebAccelerator.pac not found!
C:\Users\ACER\AppData\Local\Temp\GoogleWebAcceleratorCache moved successfully.
C:\Users\ACER\AppData\Local\Temp\GoogleWebAccWarden.exe.log moved successfully.
C:\Users\ACER\AppData\Local\Temp\~DF26BA.tmp moved successfully.
File C:\Users\ACER\AppData\Local\Temp\~DF7749.tmp not found!
C:\Users\ACER\AppData\Local\Temp\~DF9929.tmp moved successfully.
C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\Cache\_CACHE_001_ moved successfully.
C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\Cache\_CACHE_002_ moved successfully.
C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\Cache\_CACHE_003_ moved successfully.
C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\Cache\_CACHE_MAP_ moved successfully.
C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\urlclassifier3.sqlite moved successfully.
C:\Users\ACER\AppData\Local\Mozilla\Firefox\Profiles\wc8hnmat.default\XUL.mfl moved successfully.

je donnerai des nouvelles de suite rebootage merci

afideg · Answer

Re,

Regarde si le Contrôle parental du pare-feu One Care est installé sur ton PC.
Si OUI, désinstalle le pare-feu One Care 
Par exemple  http://onecare.live.com/standard/fr-FR/purchase/uninstall.htm

Ensuite teste à nouveau ToolsCleaner, SVP.

Et termine ce post ce post SVP http://www.commentcamarche.net/forum/affich 9781208 malware troyen a bat sous vista?#6 

Merci
Al.

afideg · Answer

Re,
Parfait

Documentation
http://vista.mvps.org/windows/vista/bckgrnd/Admin/UserAccount/CtrlParent/default.aspx


Relance UsbFix et choisis l'option "Suppression" ou "Vaccination" cette fois.
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir .
NOTE: Je connais mal l'outil.


Je vais au lit
Al.

afideg · Answer

Bonjour,

Parfait.

Les clés USB sont sauvées.


Pour ton centre de sécurité, voici un peu de lecture:
• Msg d'erreur au démarrage de vista https://forums.cnetfrance.fr
• Configurer le Contrôle Parental http://vista.mvps.org/windows/vista/bckgrnd/Admin/UserAccount/CtrlParent/default.aspx
• Impossible de démarrer le service Centre de sécurité (sous Vista) https://www.clubic.com/forum/t/impossible-de-demarrer-le-service-centre-de-securite-sous-vista/230960
Je n'ai pas Vista, donc pardon !


As-tu encore des soucis avec C:\Windows\System32\wint32.exe 
(... que l'on retrouve en HijackThis comme ceci: 
O4 - HKLM\..\RunServices: [Host Process for Windows Services] wint32.exe 
O4 - HKLM\..\Run: [Host Process for Windows Services] wint32.exe)
(HKEY_LOCAL_MACHINE \ SOFTWARE\Microsoft\Windows\CurrentVersion\...) ??


Ensuite, une dernière vérification à réaliser, comme ceci: 
1°- Imprime cette application (ce sera plus facile pour la suivre) 
2°- Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
--------------------------------------------- [ ! ATTENTION ! ] 
Note2: Si vous n'avez plus accès à votre connexion Internet après le démarrage de ComboFix alors la première chose à faire est de redémarrer l'ordinateur. Cette mesure à elle seule devrait corriger la très grande majorité des questions sans connexion Internet après le démarrage de ComboFix. 
Si vous n'avez pas encore de connexion Internet après un redémarrage , effectuez les étapes suivantes: Clic sur "Démarrer" > "Panneau de configuration" > "Connexions réseau" > clic-droit sur l'icône de ta connexion locale > "Réparer". 
Sinon, réparer avec WinSock => http://www.windowsfacile.com/winsock_xp_fix.html  (que tu peux déjà télécharger sur ton bureau)
-------------------------------------------- 
4°- Procédure: 
• Assure toi que tous les programmes sont fermés avant de commencer. 
• ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. 
• ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). 
• Double-clique combofix.exe afin de l'exécuter. 
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. 
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. 
• Ou bien --> Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. 
• Laisse se dérouler le scan. 
• /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)./i\ 
• Lorsque l'analyse sera terminée, un rapport apparaîtra. 
• Copie-colle ce rapport dans ta prochaine réponse. 
• Le rapport se trouve dans : C:\Combofix.txt (si jamais). 



Merci
Al.

afideg · Answer

Re,

Merci pour l'info.
C'est vrai que des soucis arrivent lors de l'utilisation de ComboFix.
C'est pourquoi, c'est un outil réputé "dangereux".
J'avoue que j'ai assez d'expérience que pour le faire utiliser; et je reste cependant prudent.
D'où les précautions prises au travers de la procédure.
Mais c'est tout de même bizarre que ton PC sous Vista y soit à ce point réfractaire.

Bref !
Nous allons en rester là; d'autant que C:\Windows\System32\wint32.exe soit gelé.
Reviens si tu vois d'autres soucis.

Éventuellement, d'ici 2 jours, si le PC va bien, tente à nouveau de lancer ComboFix.
Voici le tutoriel officiel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Je ne serais pas étonné que ton Vista ait été antérieurement altéré par une infection.
N'as-tu eu aucun message d'erreur de Vista lors de ComboFix ?
2O minutes serait une durée normale,qui ne m'étonne pas.
Ai-je bien lu ==> as-tu eu déconnexion Internet à cause de ComboFix ?



Si tu as accès aux registres, tente de supprimer ces deux données (en gras ici) dans la partie droite:
O4 - HKLM\..\RunServices: [Host Process for Windows Services] wint32.exe 
O4 - HKLM\..\Run: [Host Process for Windows Services] wint32.exe) 
(en suivant ce chemin HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\...; en face de la valeur [Host Process for Windows Services])


Bonne contination.
Merci pour ta patience.
Al.

afideg · Answer

Re,

Ceci sont des détections par ANTIVIR
• [DETECTION] Contains recognition pattern of the SPR/Tool.Hide.A program
--> 32788R22FWJFW\NirCmd.cfexe <--- provient de ComboFix
• [DETECTION] Contains recognition pattern of the APPL/NirCmd.E.2.B application
--> 32788R22FWJFW\nircmd.com <--- peut provenir de ComboFix ou de SmitfraudFix par exemple
• [DETECTION] Contains recognition pattern of the APPL/NirCmd.E.2.B application
--> 32788R22FWJFW\NirCmd.inf
--> 32788R22FWJFW\NirCmdC.cfexe

NirCmd est un outil intégré à certains Fix de désinfection.

Ce que tu as reçu comme message, est le signe que ton ANTIVIR restait activé malgré tout.
Ce qu'il trouve là-haut, ce sont des "Faux-positifs" ==> pas de problème.
Ce doit être à cause de ANTIVIR que ComboFix a foiré.

Uniquement pour ton information. ;)
à+..
Al.

afideg · Answer

Re,

Foutu VISTA !!

Relance ComboFix en Mode sans échec .

Redémarrer le PC en mode sans échec</gras> < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient.
Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris.

Merci

afideg · Answer

Re,

Foutu Vista !!

A)- Télécharge Malwarebytes' Anti-Malware (MBAM)
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Installe le programme avec les options par défaut et assure-toi que les deux cases sont bien cochées comme indiqué sur le dessin : si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
http://membres.lycos.fr/wawaseb8/images/help/mbam.JPG
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Sélectionne tous tes disques et clique sur Lancer l'examen.
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
« L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. »
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
==> Ce dernier scan va me permettre de vérifier si ton PC est éventuellement infecté.
[Merci Wawa pour les 2 images ;) ]

B)- Fais ensuite un ScanOnline chez Bitdefender :
https://www.bitdefender.com/toolbox/ > ou < http://www.bitdefender.fr/scan_fr/scan8/ie.html >
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
http://download.bitdefender.com/resources/images/new_design/onlinescanner.gif
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

•- Sauvegarde le rapport comme ceci:
Clic sur "Enregistrer sous..." > choisis « bureau » ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier HTML" (*.html
• > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.

Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm >

C)- Termine avec ce "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer".

Branche ton Disque Externe (clé USB) éventuellement
- Clique là où la flèche l’indique https://imageshack.com/ .
- Clique maintenant sur "J'accepte".
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des "Mises à jour".
Clic sur « Paramètres d'analyse »
Coche la case "Étendue" >> Ok
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ».
- Sauvegarde puis colle le rapport généré en fin d'analyse.
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif

AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo)

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Merci
Al.

afideg · Answer

Re,

1°- Je commence à gonfler !
Il faut lire les procédures correctement et complètement.

Par exemple :
« Si des malwares ont été détectés, clique sur "Afficher les résultats". 
Sélectionne tout (ou laisse coché) et clique sur "Supprimer la sélection ( MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine). 
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. 
Copie-colle ce rapport et poste-le dans ta prochaine réponse. »

Or, le lis :
« Fichier(s) infecté(s): C:\Program Files\eoRezo (Rogue.Eorezo) -> No action taken. »

Tiens, lis ceci: Supprimez les publicités regiedepub https://www.malekal.com/supprimez-les-publicites-regiedepub/ 



2°- Sans rapport Kaspersky, BitDefender ou ComboFix, je ne te suis plus d'aucune utilité.


3°- Télécharge cet outil diagnostic  http://telechargement.zebulon.fr/27-2/systeme/
et enregistre-le sur le bureau.
Double-clique sur l'icône ZHPDiag.exe pour lancer le programme.
Si tu es d'accord avec les termes du disclaimer, clique sur Continue. 
Vérifie que le bouton devant Last Files Created est coché. 
A la fin du scan, enregistre le rapport en cliquant sur Sauve. 
Ouvre le fichier sauvegardé avec le Bloc-Notes et copie son contenu dans ta réponse. 



Bonne chance
Al.

afideg · Answer

Re,

Bonne nouvelle ! ... euh! ... pour BitDefender.   ;)
Ne rate pas la fin pour me sortir un rapport.


Al.

afideg · Answer

Re,

Merci pour ceci « Au fait pour info, les tutos "Morgane"... page perso AOL désormais fermées »
Je ne le savais pas.
Elle ne m'a pas averti (oubli).

Je ne vois plus rien à désinfecter.

Ré-essaie Scan en ligne de Kaspersky du post # 33 § C.

Bonne nuit
Al.

afideg · Answer

Merci
Al.

Malware/troyen a.bat sous vista ??

20 réponses

Votre réponse

Discussions similaires

Newsletters