Comment tuer cheval de troie

très bien je vais faire ce que tu m'as dis et je t'envoi l'analyse, en attendant je te souahaite de passer une bonne nuit et je te remercie de me donner de ton temps.

Merci.
De rien pour l'aide, c'est avec plaisir !
A demain.

merci et a demain

voici le resultat d'analyse de C:\Windows\system32\unrar.exe après avoir Supprime manuellement ce dosier :
C:\Program Files\Search Guard PlusU


a-squared 4.5.0.50 2010.02.14 -
AhnLab-V3 5.0.0.2 2010.02.14 -
AntiVir 7.9.1.170 2010.02.14 -
Antiy-AVL 2.0.3.7 2010.02.14 -
Authentium 5.2.0.5 2010.02.15 -
Avast 4.8.1351.0 2010.02.14 -
AVG 9.0.0.730 2010.02.14 -
BitDefender 7.2 2010.02.15 -
CAT-QuickHeal 10.00 2010.02.13 -
ClamAV 0.96.0.0-git 2010.02.14 -
Comodo 3938 2010.02.14 -
DrWeb 5.0.1.12222 2010.02.15 -
eSafe 7.0.17.0 2010.02.14 Win32.Banker
eTrust-Vet 35.2.7300 2010.02.12 -
F-Prot 4.5.1.85 2010.02.15 -
F-Secure 9.0.15370.0 2010.02.15 -
Fortinet 4.0.14.0 2010.02.15 -
GData 19 2010.02.15 -
Ikarus T3.1.1.80.0 2010.02.14 -
Jiangmin 13.0.900 2010.02.14 -
K7AntiVirus 7.10.972 2010.02.12 -
Kaspersky 7.0.0.125 2010.02.14 -
McAfee 5892 2010.02.14 -
McAfee+Artemis 5892 2010.02.14 -
McAfee-GW-Edition 6.8.5 2010.02.14 -
Microsoft 1.5406 2010.02.14 -
NOD32 4866 2010.02.14 -
Norman 6.04.08 2010.02.14 -
nProtect 2009.1.8.0 2010.02.14 -
Panda 10.0.2.2 2010.02.14 -
PCTools 7.0.3.5 2010.02.14 -
Prevx 3.0 2010.02.15 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.14 -
Sunbelt 5677 2010.02.14 -
Symantec 20091.2.0.41 2010.02.15 -
TheHacker 6.5.1.4.193 2010.02.14 -
TrendMicro 9.120.0.1004 2010.02.14 -
VBA32 3.12.12.2 2010.02.14 -
ViRobot 2010.2.13.2186 2010.02.13 -
VirusBuster 5.0.21.0 2010.02.14 -
Information additionnelle
File size: 203776 bytes
MD5...: f7c23cd5d2ea3c77c68405111b8616c6
SHA1..: e39924883889955aaff215323c2e27b616380c0a
SHA256: 09f2d21121a54165677d3a2c8087f915f7681bc39d227e825c29ad7da26b6f6e
ssdeep: 3072:ZPIaZimyEtqD0zosby5uXyc+2BsqB97+wpKluiiOOF0sK2C5LnRzLiB:BIa
ZijsbLXTjz7F0sK2ClnR3i

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x46f268d4 (Thu Sep 20 12:34:28 2007)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x27000 0x26c00 6.59 b3b210d45130cd90a37e63198aee6711
.data 0x28000 0xe000 0x3000 4.42 d775cdf2a80ef7b12367c6908e9ec9da
.tls 0x36000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rdata 0x37000 0x1000 0x200 0.21 8f59bb4ec4f25c316c0a1e54ff9cbe6f
.idata 0x38000 0x1000 0xc00 4.85 66c3784961738e040f5f9ea88fa1ade2
.edata 0x39000 0x1000 0x200 1.23 ebb6173e09dc1d795bd83335b4a6ba77
.rsrc 0x3a000 0x7000 0x6800 3.43 cfd3056f750e83cc19ae3fc22803333d

( 4 imports )
> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, SetFileSecurityA, SetFileSecurityW
> KERNEL32.DLL: CloseHandle, CompareStringA, CompareStringW, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DeviceIoControl, ExitProcess, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FormatMessageA, FreeLibrary, GetACP, GetCPInfo, GetCommandLineA, GetConsoleMode, GetCurrentDirectoryA, GetCurrentProcess, GetCurrentThread, GetCurrentThreadId, GetDiskFreeSpaceA, GetDriveTypeA, GetEnvironmentStrings, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocalTime, GetModuleFileNameA, GetModuleHandleA, GetOEMCP, GetProcAddress, GetProcessHeap, GetStartupInfoA, GetStdHandle, GetStringTypeW, GetSystemTime, GetVersion, GetVersionExA, GlobalMemoryStatus, HeapAlloc, HeapFree, IsDBCSLeadByte, LCMapStringA, LoadLibraryA, LocalFileTimeToFileTime, LocalFree, MoveFileA, MultiByteToWideChar, RaiseException, ReadConsoleA, ReadFile, RtlUnwind, SetConsoleCtrlHandler, SetConsoleMode, SetEndOfFile, SetErrorMode, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetHandleCount, SetLastError, SetPriorityClass, SetThreadPriority, Sleep, SystemTimeToFileTime, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, UnhandledExceptionFilter, VirtualAlloc, VirtualFree, WideCharToMultiByte, WriteFile
> SHELL32.DLL: SHGetMalloc, SHGetSpecialFolderLocation, SHGetPathFromIDListA
> USER32.DLL: CharLowerA, CharLowerW, CharToOemA, CharToOemBuffA, CharUpperA, CharUpperW, EnumThreadWindows, ExitWindowsEx, LoadStringA, MessageBoxA, OemToCharA, OemToCharBuffA, wsprintfA

( 2 exports )
__GetExceptDLLinfo, ___CPPdebugHook

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: WinRAR Self Extracting archive (93.9%)
DOS Executable Borland C++ (2.3%)
Win32 Executable Generic (1.5%)
Win32 Dynamic Link Library (generic) (1.3%)
Generic Win/DOS Executable (0.3%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Allez, après je file : tu l'as réanalysé ?

*******

Envoie le ici aussi :
https://www.avira.com/
Attend la réponse par mail ;-)...

oui je j'ai reanalysé..
Ok j'envoi sur le lien que tu m'as envoyé, et je te laisse filler au lit maintenant, j'arrete de t'embeter jusqu'a demain ;)

Dis moi comment va le PC globalement et on attend l'analyse d'Antivir avant de finir.
Pas de souci lors de la suppression manuelle du dossier ? (Vérifie qu'il est bien absent).
Supprime le de la corbeille.

Salut, ce matin sa va mieux, j'ai supprimer de la corbeille le fichier hier soir, et j'attent l'analyse d'Antivir.
Par contre dis moi si c'est bon ce que j'ai fais, parce que quand j'ai voulu envoyer l'analyse à Antivir, j'ai fais parcourir et la j'ai une fenetre qui c'est ouverte et je savais pas trop ou retrouver l'analyse de hier soir, alors j'ai cliqué sur ce qui me parraissait le plus logique c'est a dire Malwarebytes' Anti-Malware

j'ai une fenetre qui c'est ouverte

De quel type ?! Quel logiciel ?

Euh... j'ai un doute sur ta manipulation, tu as envoyé Malwarebytes' Anti Malware à Antivir ?

je suis aller sur le lien que tu m'as envoyé, ensuite on me demande d'entrer mon adresse mail, puis on me demande de mettre en piece jointe le fichier à analyser, je fais donc parcourir et la j'ai une fenêtre qui s'ouvre avec les fichiers que j'ai sur mon bureau.

Oui, c'est normale.
Et là tu dois aller chercher ce fichier :
C:\Windows\system32\unrar.exe

ok c'est bon merci, j'ai copier le lien dans parcourir et j'ai envoyé. j'attend maintenant leur mail

ok, parfait.
Ce ne sera pas instantané.
Tiens moi au courant...

Très bien, je te tiens au courant des que j'ai du nouveau.

Bonsoir, j'ai reçu le mail attendu de ANTIVIR et on me dit que c'est ok que le liens que j'ai envoyé est clean, et le pop up ne s'ouvre plus du tout, dois je faire d'autres manipulation?

On va alors bientôt finir.
Quel est ton lecteur F ? (CD, USB, ... ?)

mon lecteur F est une entrée USB.

Ok, alors pour en être sûr de ne pas avoir de soucis :

Télécharge et installe UsbFix de C_XX & El desaparecido :
= = = = >>> En cliquant ici <<< = = = =

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !

* Clique droit sur le raccourci UsbFix présent sur ton bureau et sélectionne "Exécuter en tant qu’administrateur".
* Choisis ensuite l’option 1 (Recherche)
* Laisse travailler l’outil.
* Ensuite poste le rapport UsbFix.txt qui apparaîtra.

Notes :
- Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum).
- "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus.

salut, un peu tard je sais mais j'ai l'analyse de UsbFix.




############################## | UsbFix V6.095 |

User : Malika (Administrateurs) # PC-DE-PROPRIETA
Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 23:45:18 | 15/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU T3400 @ 2.16GHz
Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 139,1 Go (85,28 Go free) # NTFS
D:\ -> Disque fixe local # 9,95 Go (1,68 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local
G:\ -> Disque fixe local # 465,53 Go (400,65 Go free) [MEMUP 500GB] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\SMINST\BLService.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\DllHost.exe

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0b6a4e15-18dc-11df-9fb1-001f1658b584}
shell\AutoRun\command =F:\InstallTomTomHOME.exe

HKCU\..\..\Explorer\MountPoints2\{2110e0b1-fc9e-11de-8fc7-001f1658b584}
shell\AutoRun\command =F:\setup.exe

HKCU\..\..\Explorer\MountPoints2\{c0b438bb-96de-11de-91e6-001f1658b584}
shell\AutoRun\command =G:\LaunchU3.exe -a

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.095 ! |

Nettoyage avec UsbFix :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !

* Relance UsbFix par un clic droit sur le raccourci UsbFix présent sur ton bureau et en sélectionnant "Exécuter en tant qu’administrateur".
* Choisis l’option 2 (Suppression)
* Ton bureau disparaîtra et le PC redémarrera.
* Au redémarrage, UsbFix scannera ton PC. Laisse travailler l’outil.
* Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra avec le bureau.

Note :
Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

********

Poste un nouveau rapport RSIT pour que l'on puisse finir.