Help svp: éradiquer le trojan: BHO.AKOB [Résolu]

Salut,

Télécharge ZHPDiag (de Nicolas Coolman).
http://telechargement.zebulon.fr/zhpdiag.html
Une fois le téléchargement achevé, double-clique sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/!\ L'outil a créé 2 icônes ZHPDiag et ZHPFix /!\

Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.

Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.

bonjour Ced king
une fois qu ejai téléchargé ZHPdiag je n'arrive pas à l'ouvrir. windows ne peut y accéder
que faire?
merci de ton aide

voici le rapport combofix:

ComboFix 10-09-17.04 - julie 18/09/2010 16:12:26.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1014.653 [GMT 2:00]
Lancé depuis: c:\documents and settings\julie\Bureau\jujus.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sunbelt Kerio Personal Firewall *enabled* {E659E0EE-10E6-49B7-8696-60F38D0EB174}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\julie\Application Data\Mozilla\Firefox\Profiles\li8u3fmy.default\extensions\{a7b889ec-8b2a-4c3e-831b-8d7eea3cb926}
c:\documents and settings\julie\Application Data\Mozilla\Firefox\Profiles\li8u3fmy.default\extensions\{a7b889ec-8b2a-4c3e-831b-8d7eea3cb926}\chrome.manifest
c:\documents and settings\julie\Application Data\Mozilla\Firefox\Profiles\li8u3fmy.default\extensions\{a7b889ec-8b2a-4c3e-831b-8d7eea3cb926}\chrome\xulcache.jar
c:\documents and settings\julie\Application Data\Mozilla\Firefox\Profiles\li8u3fmy.default\extensions\{a7b889ec-8b2a-4c3e-831b-8d7eea3cb926}\defaults\preferences\xulcache.js
c:\documents and settings\julie\Application Data\Mozilla\Firefox\Profiles\li8u3fmy.default\extensions\{a7b889ec-8b2a-4c3e-831b-8d7eea3cb926}\install.rdf
c:\documents and settings\julie\real.txt
c:\documents and settings\julie\xauig.exe
c:\windows\system32\czkccfyi.dll
c:\windows\system32\dlo31.dll
c:\windows\system32\drivers\yuvvudgy.sys
c:\windows\system32\drivers\zvajyaus.sys
c:\windows\system32\ghmfp.dll

Une copie infectée de c:\windows\system32\drivers\tcpip.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
c:\windows\system32\Version.dll . . . est infecté!!

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FOLUGGGX
-------\Legacy_SSHNAS
-------\Legacy_YUVVUDGY
-------\Service_folugggx
-------\Service_yuvvudgy


((((((((((((((((((((((((((((( Fichiers créés du 2010-08-18 au 2010-09-18 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 13:30 . 2010-09-18 13:30 0 ---ha-w- c:\documents and settings\julie\hfpapqujlo.tmp
2010-09-18 09:53 . 2010-05-24 15:57 12916 ----a-w- c:\windows\system32\drivers\fwdrv.err
2010-09-18 09:40 . 2009-01-12 10:04 -------- d-----w- c:\program files\LimeWire
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 65536]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-09-24 434176]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\julie\Menu D'marrer\Programmes\D'marrage\
Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-4-19 64864]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\DMF\\CD_DMF.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [16/03/2007 10:56 302000]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [16/03/2007 10:56 72496]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/09/2009 19:08 108289]
R2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [27/02/2010 19:02 90112]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [27/02/2010 19:03 27632]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - YUVVUDGY
*Deregistered* - yuvvudgy
.
Contenu du dossier 'Tâches planifiées'

2006-07-12 c:\windows\Tasks\Rappel d'enregistrement 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 10:00]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.sfr.fr/kit/adsl/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
FF - ProfilePath - c:\documents and settings\julie\Application Data\Mozilla\Firefox\Profiles\li8u3fmy.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig
FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJPI150_03.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPOJI610.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----
FF - user.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0668C399-B213-4B12-B8CB-B1FA943BDAC2} - (no file)
BHO-{E781FBF4-7BAA-4EC4-A64B-B65B561726DD} - (no file)
HKCU-Run-WOOKIT - c:\progra~1\Wanadoo\Shell.exe
HKCU-Run-Veoh - c:\program files\Veoh Networks\Veoh\VeohClient.exe
HKCU-Run-ares - c:\program files\Ares\Ares.exe
HKCU-Run-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKCU-Run-SMAV - c:\documents and settings\All Users\Application Data\b044a39\SecurityMasterAV.exe
HKU-Default-Run-msnmsgr - c:\program files\MSN Messenger\msnmsgr.exe
Notify-ctuehxmn - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-18 16:30
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3380)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
.
**************************************************************************
.
Heure de fin: 2010-09-18 16:38:18 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-18 14:38

Avant-CF: 23 653 416 960 octets libres
Après-CF: 23 549 583 360 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - DE3E13639D8636C259F2AF06A6EE4E5B

Désolé j'ai dû m'absenter...

Télécharge Malwarebytes' Anti-Malware :
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

- Installe le > double-clic sur Mbam-setup.exe, à la fin de l'installation, il se mettra automatiquement à jour
- Une fois installé, fermes toutes les applications en cours et lances Malwarebytes
- Exécute un examen Complet du pc ( tu n'auras pas accés à internet pendant l'analyse)
- A la fin du scan clic sur " Afficher les résultats ", si Malwarebytes a trouvé des infections >> clic sur " Supprimer la sélection "
- Si il a besoin de redémarrer le pc pour finir la désinfection, acceptes

Poste le rapport qui apparait à la fin, tu peux également le trouver dans l'onglet "rapports" de Mbam.

-----------

Peux-tu également envoyer un rapport Zhpdiag stp

voici le rapport malaware.rien n'a été détecté apparement
mais pendant l'examen complet par malaware j'ai reçu plusieurs messages d'alerte d'antivir pr les trojans suivants:

QUOTE
Dans le fichier 'C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000127.dll'
un virus ou un programme indésirable 'TR/Drop.Softomat.AN' [trojan] a été détecté.
'C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000124.dll'
un virus ou un programme indésirable 'TR/Trash.Gen' [trojan] a été détecté.
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000123.dll'
un virus ou un programme indésirable 'TR/Trash.Gen' [trojan]
'C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000051.sys'
un virus ou un programme indésirable 'TR/Rootkit.Gen3' [trojan] a été détecté.
'C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000051.sys'
un virus ou un programme indésirable 'TR/Rootkit.Gen3' [trojan] a été détecté.
UNQUOTE

d'après antivir mon pc est toujours infecté mais pas d'après malaware!
Que faut-il faire?

Je dois m'absenter mais je te transmettrais un rapport ZHP diag dès que possible

Merci pour ton aide

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4323

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

19/09/2010 11:32:31
mbam-log-2010-09-19 (11-32-31).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 206133
Temps écoulé: 1 heure(s), 14 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

salut cedking
voici le rapport zhpdiag
http://www.cijoint.fr/cjlink.php?file=cj201009/cijQYws5SR.txt
j'attend la suite de la procédure
merci!

Salut,

Malwarebytes n'a pas été mis à jour avant l'analyse, donc mets le à jour et lance un examen rapide, puis poste le rapport

Platform : Microsoft Windows XP (5.1.2600) Service Pack 2


Si tu ne mets pas à jour ton windows, je ne te donne pas longtemps avant d'être à nouveau infecté...

Va falloir installer le sp3

Avant ça :


........................

Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icône en forme d'écusson vert " ZHPFix ".
ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ceci dans le grand encadré jaune ( vide ) : ^

O2 - BHO: (no name) - {0668C399-B213-4B12-B8CB-B1FA943BDAC2} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O2 - BHO: (no name) - {E781FBF4-7BAA-4EC4-A64B-B65B561726DD} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
[HKCU\Software\Hfpapqujlo]
[HKLM\Software\Mzyezeyq]
O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4) .(.Pas de propriétaire - Pas de description.) - LEGACY_AAVMKER4
O64 - Services: CurCS - (.not file.) - avast! Standard Shield Support (aswMon2) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMON2
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI
O64 - Services: CurCS - (.not file.) - avast! Antivirus (avast! Antivirus) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVAST!_ANTIVIRUS
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message.


..................................

Puis,

Mets Antivir à jour et configure le comme expliqué sur ce tuto :
http://www.commentcamarche.net/...

Redémarre le pc en mode sans échec :

Tapoter la touche F8 ou F5 au démarrage du pc avant l'affichage du logo Windows
Au menu, choisir mode sans échec et valider par la touche Entrée

Une fois dans ce mode, lance un scan de ton pc et poste le rapport généré à la fin.

salut
voici le rapport malawarebytes après mise à jour

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4656

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

20/09/2010 19:03:25
mbam-log-2010-09-20 (19-03-25).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 133307
Temps écoulé: 9 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

voici le rapport ZHPDiag/ZHPfix

Rapport de ZHPFix v1.12.3153 par Nicolas Coolman, Update du 16/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-09-2010-19-13-08.txt
Run by julie at 20/09/2010 19:13:08
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: (no name) - {0668C399-B213-4B12-B8CB-B1FA943BDAC2} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé supprimée avec succès
O2 - BHO: (no name) - {E781FBF4-7BAA-4EC4-A64B-B65B561726DD} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé supprimée avec succès
HKCU\Software\Hfpapqujlo => Clé supprimée avec succès
HKLM\Software\Mzyezeyq => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4) .(.Pas de propriétaire - Pas de description.) - LEGACY_AAVMKER4 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Standard Shield Support (aswMon2) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMON2 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Antivirus (avast! Antivirus) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVAST!_ANTIVIRUS => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur supprimée avec succès
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente


========== Récapitulatif ==========
9 : Clé(s) du Registre
4 : Valeur(s) du Registre


End of the scan

voici le rapport d'antivir après mise à jour et scan en mode sans echec.
est ce que c'est bon?
est ce que je met à jour windows par sp3 maintenant?

Avira AntiVir Personal
Date de création du fichier de rapport : lundi 20 septembre 2010 19:28

La recherche porte sur 2858682 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Mode sans échec
Identifiant : julie
Nom de l'ordinateur : JULIESEGUINEAU

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20/11/2009 18:08:47
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:08:47
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:08:47
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 20:16:01
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 18:39:27
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 12:05:35
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 17:24:37
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 17:42:58
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 20:28:07
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 18:10:36
VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 18:10:36
VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 18:10:36
VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 18:10:36
VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 18:10:36
VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 17:29:21
VBASE014.VDF : 7.10.11.202 144384 Bytes 18/09/2010 07:47:15
VBASE015.VDF : 7.10.11.203 2048 Bytes 18/09/2010 07:47:15
VBASE016.VDF : 7.10.11.204 2048 Bytes 18/09/2010 07:47:16
VBASE017.VDF : 7.10.11.205 2048 Bytes 18/09/2010 07:47:16
VBASE018.VDF : 7.10.11.206 2048 Bytes 18/09/2010 07:47:16
VBASE019.VDF : 7.10.11.207 2048 Bytes 18/09/2010 07:47:16
VBASE020.VDF : 7.10.11.208 2048 Bytes 18/09/2010 07:47:16
VBASE021.VDF : 7.10.11.209 2048 Bytes 18/09/2010 07:47:16
VBASE022.VDF : 7.10.11.210 2048 Bytes 18/09/2010 07:47:16
VBASE023.VDF : 7.10.11.211 2048 Bytes 18/09/2010 07:47:17
VBASE024.VDF : 7.10.11.212 2048 Bytes 18/09/2010 07:47:17
VBASE025.VDF : 7.10.11.213 2048 Bytes 18/09/2010 07:47:17
VBASE026.VDF : 7.10.11.214 2048 Bytes 18/09/2010 07:47:17
VBASE027.VDF : 7.10.11.215 2048 Bytes 18/09/2010 07:47:17
VBASE028.VDF : 7.10.11.216 2048 Bytes 18/09/2010 07:47:17
VBASE029.VDF : 7.10.11.217 2048 Bytes 18/09/2010 07:47:17
VBASE030.VDF : 7.10.11.218 2048 Bytes 18/09/2010 07:47:17
VBASE031.VDF : 7.10.11.226 75776 Bytes 20/09/2010 16:54:31
Version du moteur : 8.2.4.58
AEVDF.DLL : 8.1.2.1 106868 Bytes 01/08/2010 19:28:39
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 17/09/2010 17:30:25
AESCN.DLL : 8.1.6.1 127347 Bytes 13/05/2010 09:57:32
AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 18:04:09
AERDL.DLL : 8.1.9.0 631156 Bytes 17/09/2010 17:30:14
AEPACK.DLL : 8.2.3.7 471413 Bytes 17/09/2010 17:30:07
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21/07/2010 19:02:27
AEHEUR.DLL : 8.1.2.26 2916727 Bytes 17/09/2010 17:30:00
AEHELP.DLL : 8.1.13.3 242038 Bytes 29/08/2010 13:30:43
AEGEN.DLL : 8.1.3.22 401780 Bytes 17/09/2010 17:29:31
AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 18:04:07
AECORE.DLL : 8.1.16.2 192887 Bytes 20/07/2010 19:10:05
AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 18:04:06
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 30/09/2009 18:15:22
AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 18:52:06
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 30/09/2009 18:15:20
RCTEXT.DLL : 9.0.73.0 88321 Bytes 20/11/2009 18:08:45

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : lundi 20 septembre 2010 19:28

La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'11' processus ont été contrôlés avec '11' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '57' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Qoobox\Quarantine\C\WINDOWS\system32\czkccfyi.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\dlo31.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\ghmfp.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
C:\Qoobox\Quarantine\C\WINDOWS\system32\_czkccfyi_.dll.zip
[0] Type d'archive: ZIP
--> czkccfyi.dll
[RESULTAT] Contient le cheval de Troie TR/BHO.akob
C:\Qoobox\Quarantine\C\WINDOWS\system32\_ghmfp_.dll.zip
[0] Type d'archive: ZIP
--> ghmfp.dll
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\tcpip.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen3
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\_yuvvudgy_.sys.zip
[0] Type d'archive: ZIP
--> yuvvudgy.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000051.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen3
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000123.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000124.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000127.dll
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN

Début de la désinfection :
C:\Qoobox\Quarantine\C\WINDOWS\system32\czkccfyi.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d02c11d.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\dlo31.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d06c10f.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\ghmfp.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d04c10b.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\_czkccfyi_.dll.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d11c106.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\_ghmfp_.dll.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cffc10a.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\tcpip.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen3
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d07c107.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\_yuvvudgy_.sys.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d0cc11d.qua' !
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000051.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen3
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cc7c0d4.qua' !
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000123.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d43915d.qua' !
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000124.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f65514d.qua' !
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP3\A0000127.dll
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f626825.qua' !


Fin de la recherche : lundi 20 septembre 2010 22:14
Temps nécessaire: 2:46:05 Heure(s)

La recherche a été effectuée intégralement

6450 Les répertoires ont été contrôlés
211507 Des fichiers ont été contrôlés
11 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
11 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
211495 Fichiers non infectés
6963 Les archives ont été contrôlées
1 Avertissements
12 Consignes

Bonjour,

Très bien, on va finaliser :

Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

ComboFix /uninstall

( respecte l'espace entre "Combofix et "/uninstall" ) puis valide

.............................

- Télécharge Toolscleaner2 sur ton bureau :

- Clique sur " Recherche " et patientes
- Clique ensuite sur" supprimer " pour finaliser
- Clique sur exit >> un rapport sera généré, postes son contenu


...............................

Télécharge ATF Cleaner par Atribune sur ton bureau : http://www.atribune.org/ccount/click.php?id=1
- Démarre ATF-Cleaner et coche toutes les cases.
- Clique sur <Empty Selected> et au message "Done Cleaning" sur <Ok>
NB : Si tu utilises Firefox ou Opera :
- Clique sur Firefox ou Opera en haut puis choisis <Select All>.
- Clique sur le bouton <Empty Selected> (NB : Si tu veux conserver tes mots de passe sauvegardés alors clique sur <No> à l'invite).
- Clique sur <Main> pour revenir à menu principal
- Clique sur <Exit>, du menu prinicipal, pour quitter ATFcleaner.
NB : Si le prefetch est nettoyé le redémarrage du PC sera plus lent.

.............................

Mets Adobe à jour ici

..............................

* Installe la dernière version de Java

...............


* Une fois à jour, télécharge JavaRa.zip

--> Décompresse le --> clic droit : extraire ici

--> Double-clique sur JavaRa.exe

---> Autorise le processus a se connecter si il te le demande
. Cliques sur Install et suis les instructions

- Quand l'installation est finie, reviens à l'écran JavaRa

-Clic sur " Remove Old Versions " ou " supprimer les anciennes versions " --> cliques sur " oui "

-l'outil va travailler, cliques ensuite sur " Ok " et à nouveau sur Ok

- Un rapport s'ouvrira, refermes l'application puis poste le

.........................

Télécharge et installe ccleaner

- Durant l'installation, décoche la case proposant la barre d'outils yahoo et celle : " ajouter l'option des mises à jour"

- Une fois installé, fermes toutes les applications en cours et lance ccleaner

- clic -->>option -->> avancé et décoche " effacer les fichiers etc... plus vieux que 24h

- Sélectionne " nettoyeur " >> clic sur Analyse puis nettoyage.

Puis, clique sur " Registre " -->" Chercher des erreurs " --> " corriger les erreurs "
--> Recommence l'opération jusqu'à 0 erreur --> réponds Oui à la sauvegarde, tu la supprimeras lorsque tu seras eure que le pc fonctionne bien.

............................

Installe SP3, si tu as un soucis, suis ce tutoriel

.........................

Afin de vérifier si tes applications sont bien à jour dans un souci de sécurité ( faille de sécurité), je te conseille de faire un scan de vulnérabilté :

Scan de vulnérabilité secunia

http://www.malekal.com/scan_vulnerabilite.php


..........................

Il faut également "purger" la restauration système, pour cela il faut la désactiver et la réactiver.


.Désactiver la restauration du système

Menu Démarrer => clic droit sur le Poste de travail => Propriétés.

Propriétés système => onglet Restauration du système => coche Désactiver la restauration du système sur tous les lecteurs=> valide en cliquant sur Appliquer.
Confirme en cliquant sur "OUI" et patiente quelques instants...

Réactiver la restauration du système

Décoche Désactiver la restauration du système sur tous les lecteurs, et valide en cliquant sur Appliquer.

Un nouveau point de restauration est alors créé et l'outil de restauration du système est ainsi réactivé.
Fermer la fenêtre en cliquant sur Ok.


Ce nouveau point de restauration te servira en cas de problèmes (infections...)

Dis moi comment se comporte le pc ;-))

salut!
J'ai téléchargé Toolscleaner mais quand je clique sur recherche ça ne se lance pas le programme ne répond pas
voici le rapport JavaRa:
JavaRa 1.16 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Tue Sep 21 21:32:46 2010

Found and removed: C:\Program Files\Java\jre1.5.0_03

------------------------------------

Finished reporting.

Salut
Je n'avais pas encore isntallé sp3 voici le rapport
WinFileReplace - ver : 1.1.0 - by Loup blanc

---------------------------
Microsoft Windows XP
Service Pack 2
Fran#ais
---------------------------
Contrôle du fichier téléchargé :
MD5 recherchée : 3d69b05e454ff7fce91670d4e3e9f473
sp2.000 MD5 : 3d69b05e454ff7fce91670d4e3e9f473
---------------------------

============ Comparaison des fichiers avant remplacement ============

---------
Les fichiers
"c:\WINDOWS\system32\Version.dll" MD5 : 8b142e6dac3bd370637e8af6e87c2321
"c:\WINDOWS\system32\Version.dll" MD5 : 8b142e6dac3bd370637e8af6e87c2321
et
"C:\FR-files\Version.dll" MD5 : abd4adfcdd1ed30eafea78a3a69596cd
"C:\FR-files\Version.dll" MD5 : abd4adfcdd1ed30eafea78a3a69596cd
sont différents...
-----------


============ Comparaison des fichiers après remplacement ============

-----------
Les fichiers
"c:\WINDOWS\system32\version.dll" MD5 : abd4adfcdd1ed30eafea78a3a69596cd
et
"C:\FR-files\version.dll" MD5 : abd4adfcdd1ed30eafea78a3a69596cd
sont identiques...

"c:\WINDOWS\system32\version.backup" présent...

Remplacement réussi
-----------

======= Fin du rapport =======

salut,

Très bien le fichier a été remplacé.

Mets un coup de Ccleaner Nettoyeur + registre

Installe le Sp3 et dis moi comment se comporte le pc...

salut
quand je fais le registre d eccleaner les erreurs disparaisent sauf une qui revienne et n'est pas corrigé:
L'extension de fichier {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} fait référence à un programme inexistant. Ce genre de référence est souvent laissé après la désinstallation d'un programme.
Faut-il que je fasse quelque chose en particulier?
J'ai installé SP3. le pc semble bien marcher.
plus aucune alerte de trojan

merci de ton aide

Salut!
ça a marché avec la dernière manip sur ccleaner
topic résolu!
merci de ton aide!