Trojan virulentRésolu/Fermé

Question

Bonjour, 

Configuration: Windows 7 / Firefox 17.0

je n'arrive pas à me débarrasser de deux TROJANs ; " oleup.dll " et  " oleup.exe " un fichier et une application dans le dossier System32 du dossier Windows.

Est-ce que quelqu'un pourrait-il m'aider .... Merci à vous. Mouatan.

Fish66 · Answer

Salut, * Télécharge puis enregistre sur le bureau de ton PC ZHPDiag(de Nicolas Coolman) à partir : ce lien * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7) * Clique sur l'icône en forme de loupe pour lancer le diagnostique * Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com * Fais copier/coller le lien fourni dans ta prochaine réponse * Aide ZHPDiag : <<< ICI >>>

mouatan · Answer

Bonjour, merci de me tendre la perche.

Voici le dernier rapport que j'ai obtenu :

1) https://www.cjoint.com/?BLtbhPadUHE 

Mais je joins qd même celui obtenu il y a qques jours :

2) https://www.cjoint.com/?BLtbjspJYF4

mouatan · Answer

Re bonjour, 

mais je viens de me rendre compte que le rapport généré (le dernier) n'est pas du type "  ZHPDiag.txt " mais plutôt " ZHPFix[R1] ". Et je ne vois pas l'autre rapport. pourquoi ?

Merci.

mouatan · Answer

Re-re bonsoir, 

autant pour moi ... j'avais pas activé la bonne loupe. Voici le bon lien du coup :

https://www.cjoint.com/?BLtbKh1jGTN

Voilà, ça devrait aller maintenant. Merci.

Fish66 · Answer

Bonjour,
Le dernier lien est bon!  :-)
---------------------
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ] 
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

mouatan · Answer

Voici le rapport : https://www.cjoint.com/?BLuaBFPbQp7

Mais j'ai cru qu'il fallait faire aussi "suppression" et je te laisse également le rapport qui suit l'opération : https://www.cjoint.com/?BLuaHh8tuQM

Peut-être n'aurais-je pas dù. Mais comme c'est celui qui avait comme suffixe S3, je pense que c'est ça.

Fish66 · Answer

Bonjour,
1/
S'il est possible désinstalle :
 - Logiciel: SweetIM for Messenger
 - Logiciel: SweetPacks bundle uninstaller 
- Logiciel: Update Manager for SweetPacks 1.1 
2/
=> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").



[MD5.00000000000000000000000000000000] [APT] [DealPlyUpdate] (...) -- C:\Program Files\DealPly\DealPlyUpdate.exe (.not file.)    => Infection PUP (PUP.DealPly)  
[MD5.00000000000000000000000000000000] [APT] [YourFile Update] (...) -- C:\Program Files\YourFileDownloader\YourFileUpdater.exe (.not file.)    => Infection PUP (PUP.YourFileDownloader)  
[MD5.00000000000000000000000000000000] [APT] [{01F0610B-CC74-4784-AEC5-FCF36D83FBCF}] (...) -- C:\Users\Enseignant\Downloads\20080128135518500_Samsung_PC_Studio_313_HA4.exe (.not file.)    => Fichier absent  
[MD5.00000000000000000000000000000000] [APT] [{682BC62D-35B6-41D8-89E3-122CE5D8FE43}] (...) -- C:\Users\Enseignant\Downloads\20080128135518500_Samsung_PC_Studio_313_HA4.exe (.not file.)    => Fichier absent  
[MD5.00000000000000000000000000000000] [APT] [{7C9211A1-0CF2-4FBA-9E53-27963FE525B5}] (...) -- C:\Users\Enseignant\Downloads\20080128135518500_Samsung_PC_Studio_313_HA4.exe (.not file.)    => Fichier absent  
[MD5.00000000000000000000000000000000] [APT] [{7F2A9893-FF2E-4A5E-A0EF-9D7912327815}] (...) -- C:\Users\Enseignant\Downloads\20080128135518500_Samsung_PC_Studio_313_HA4.exe (.not file.)    => Fichier absent  
[MD5.00000000000000000000000000000000] [APT] [{8F28471A-6AD1-4A6A-989D-551962334CCE}] (...) -- C:\Users\Enseignant\Downloads\20080128135518500_Samsung_PC_Studio_313_HA4.exe (.not file.)    => Fichier absent  
[MD5.00000000000000000000000000000000] [APT] [{CDAC9BDC-4B85-4AD1-B312-2497AD716BA4}] (...) -- C:\Users\Enseignant\Downloads\20080128135518500_Samsung_PC_Studio_313_HA4.exe (.not file.)    => Fichier absent  
[MD5.00000000000000000000000000000000] [APT] [{F8AB083C-0EC1-4D10-9C0B-4294C115315E}] (...) -- C:\Users\Enseignant\Downloads\20080128135518500_Samsung_PC_Studio_313_HA4.exe (.not file.)    => Fichier absent  
SR - | Demand 16/06/2011 345616 |  (TMBMServer) . (.Trend Micro Inc..) - C:\Program Files\Trend Micro\BM\TMBMSRV.exe    => Trend Micro%Internet Security Suite
SR - | Auto 07/09/2011 1828032 |  (tmlisten) . (.Trend Micro Inc..) - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe    => Trend Micro%OfficeScan
O43 - CFD: 09/11/2012 - 09:59:49 - [0] ----D C:\ProgramData\McAfee
[HKCU\Software\MCAFEE]

EmptyFlash
EmptyTemp


=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

=> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".

=> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

=> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

=> Une fois terminé, copie-colle le rapport dans ton prochain message.

mouatan · Answer

Bonsoir fish66,

1) voici le rapport qui est hébergé ici :      http://cjoint.com/?BLwbqM0wJ6P

2) Je ne trouve nulle part sur mon PC les trois programmes Sweet, même dans " Désinstaller ou modifier un programme " .... !

Merci.

Fish66 · Answer

Bonjour,

Lance Malwarebytes, fais la mise à jour, choisis une analyse complète, supprime tout ce qu'il trouve puis poste le rapport stp

mouatan · Answer

salut à toi, 

voilà le rapport de MBAM : http://cjoint.com/?BLwqURh22t6 
Merci.

Fish66 · Answer

Salut,
Lance ZHPDiag depuis le bureau, ensuite coche tout au tournevis (aide ici) puis lance l'analyse, ferme le et héberge le rapport. colle le lien dans  ta prochaine réponse

mouatan · Answer

Bonsoir Fish, voici le rapport MBAM : http://cjoint.com/?BLxaswuLgcf
A bientôt.

Fish66 · Answer

Bonjour, 
Bonsoir Fish, voici le rapport MBAM 
Tu veux dire : ZHPDiag!  :-) 
----------------------------------------- 
1/ 
Avast et Trend micro sont lancés au démarrage. 
On doit avoir qu'un seul antivirus pour éviter les problèmes de conflits...
Utilise ce lien : https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces pour désinstaller celui que tu n'as pas besoin! 

2/ 
=> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier"). 


 
M3 - MFPP: Plugins - [Enseignant] -- C:\Users\Enseignant\AppData\Roaming\Mozilla\Firefox\Profiles\utyheag7.default\searchplugins\babylon1.xml    => Infection BT (Toolbar.Babylon)   
[HKCU\Software\YourFileDownloader]  
O44 - LFC:[MD5.A95C55B0E5E3E99A439633B21B61764A] - 14/12/2012 - 18:41:12 ---A- . (...) -- C:\Windows\System32\rpcnetp.dll   [17920]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\482AA67AD25E6E74E9F48BD5FBE8533C] 
O90 - PUC: "B2FD9C0A5B9838449838816A28001F4B" . (.SweetIM for Messenger 3.7.) -- C:\Windows\Installer\{A0C9DF2B-89B5-4483-8983-18A68200F1B4}\ARPPRODUCTICON.exe  
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:dllName="BrowserProtect.dll"     
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:exeName="BrowserProtect.exe"    
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:folderName="BrowserProtect"     
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"   
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:serviceName="BrowserProtect"     
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:version="2.5.1005.80"    

 



=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau. 
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur) 

=> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier". 

=> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

=> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien. 

=> Une fois terminé, copie-colle le rapport dans ton prochain message. 
  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

mouatan · Answer

Salut Fish, joyeux Noel, 

je pensais t'avoir envoyé le rapport mais je constate que non, apparemment. 

Voilà, c'est chose faite. Je colle ici le texte qui n'est pas très long.
-------------------
Rapport de ZHPFix 1.3.10 par Nicolas Coolman, Update du 11/12/2012
Fichier d'export Registre : 
Run by Enseignant at 24/12/2012 01:09:11
Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\YourFileDownloader
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\482AA67AD25E6E74E9F48BD5FBE8533C
SUPPRIME Key: \Software\Classes\Installer\Products\B2FD9C0A5B9838449838816A28001F4B
SUPPRIME Key: \Software\Classes\Installer\Features\B2FD9C0A5B9838449838816A28001F4B

========== Valeur(s) du Registre ==========
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:dllName="BrowserProtect.dll"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:exeName="BrowserProtect.exe"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:folderName="BrowserProtect"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:serviceName="BrowserProtect"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:version="2.5.1005.80"

========== Fichier(s) ==========
SUPPRIME File: c:\users\enseignant\appdataoaming\mozilla\firefox\profiles\utyheag7.default\searchplugins\babylon1.xml
SUPPRIME File: c:\windows\system32pcnetp.dll


========== Récapitulatif ==========
4 : Clé(s) du Registre
6 : Valeur(s) du Registre
2 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 19/12/2012 00:56:50 [381]
C:\ZHP\ZHPFix[R2].txt - 22/12/2012 01:15:05 [1508]
C:\ZHP\ZHPFix[R3].txt - 24/12/2012 01:09:12 [1918]

Fish66 · Answer

Bonjour,
Merci..
Quel antivirus tu as gardé ? 

@+

mouatan · Answer

Salut Fish, j'ai gardé Avast. Mais je ne suis pas sur d'avoir entièrement désinstallé Trend car je vois encore trend micro office scan.  J'ai pourtant utilisé un désinstalleur dédié. !

Fish66 · Answer

Voici : comment désinstaller proprement Trend micro 

  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

mouatan · Answer

J'ai bien vérifié et Trend Micro est encore là.

1) Il est demandé de chercher le fichier PCCTOOL.EXE que je ne trouve pas-j'ai pourtant fouillé tous les dossiers.

Les seuls cinq fichiers trouvé sont : PccNT, PccNTMon, PccNTRes.dll, PccNTUpd et PccWFWMo.dll.

2) Si je tâche de le désinstaller par le fichier NTRmv (Désinstaller le client OfficeScan), il me demande un code client. Or, je ne l'ai pas car ce logiciel fait partie d'un pack inclus à l'achat. Et c'est l'éducation nationale qui nous a donné ces machines. Ce sont eux qui doivent avoir le code.

Sinon je vire Avast et je garde Trend. Sur mon autre portable j'ai toujours mon Avast.

Fish66 · Answer

Salut,
On va virer Trend Micro autrement!
Tu vas suivre : ces procédures la paragraphe : Windows Vista or Windows 7
-------------------------------
1. Télécharge : ce fichier

Tu termines les procédures jusqu'au 7.

mouatan · Answer

Bonsoir, 

c'est ce que je te disais au message précédent, et je viens de le refaire une deuxième fois. Ca ne marche pas, Trend micro est toujours là ... !

Que faire alors ?

Fish66 · Answer

Bonjour,
c'est ce que je te disais au message précédent, et je viens de le refaire une deuxième fois. Ca ne marche pas, Trend micro est toujours là ... !  
Ce ne sont pas les mêmes procédures!
Clique sur ce lien : https://helpcenter.trendmicro.com/en-us/
Sachant que tu as vista 32 bits tu suis les procédures (en anglais) de 1. à 7.

mouatan · Answer

Par deux fois, j'ai suivi la procédure (en anglais effectivement) de 1 à 7 ( pour Windows Vista or Windows 7) en téléchargeant "32bit.exe", et comme je te l'ai dit, ce sacré TREND persiste.

Fish66 · Answer

D'accord!
Télécharge SEAF


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape Trend Micro dans cette fenêtre

confirme la recherche "aussi" dans le registre et informations complementaires , puis [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

mouatan · Answer

Voici, Fish : 

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 11:45:58 le 26/12/2012
4. 
5. Valeur(s) recherchée(s):
6. Trend Micro
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Informations supplémentaires
11. (!) --- Recherche registre
12. 
13. ====== Fichier(s) ======
14. 
15. Aucun fichier trouvé
16. 
17. 
18. ====== Entrée(s) du registre ======
19. 
20. 
21. [HKLM\Software\Classes\TypeLib\{A00B957E-3315-46CB-B090-9EF2187641E2}\1.0\0\win32]
22. ""="C:\Program Files\Trend Micro\OfficeScan Client\perfiCrcPerfMonMgr.dll" (REG_SZ)
23. 
24. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
25. "OfficeScanNT Monitor"=""C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow" (REG_SZ)
26. 
27. [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT]
28. "DisplayName"="Trend Micro OfficeScan Client" (REG_SZ)
29. 
30. [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT]
31. "UninstallString"=""C:\Program Files\Trend Micro\OfficeScan Client
trmv.exe"" (REG_SZ)
32. 
33. [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT]
34. "DisplayIcon"="C:\Program Files\Trend Micro\OfficeScan Client\Pccntmon.exe" (REG_SZ)
35. 
36. [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT]
37. "Publisher"="Trend Micro" (REG_SZ)
38. 
39. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
40. "C:\Program Files\Trend Micro\OfficeScan Client\NTRmv.exe"="VISTARTM" (REG_SZ)
41. 
42. [HKLM\Software\Policies\Microsoft\WindowsFirewall\FirewallRules]
43. "{B716CDAB-5A3F-4B39-933A-989205D472C1}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=2088|Name=Trend Micro OfficeScan Listener|" (REG_SZ)
44. 
45. [HKLM\Software\TrendMicro\AEGIS]
46. "TMBMServicePath"="C:\Program Files\Trend Micro\BM\TMBMSRV.exe" (REG_EXPAND_SZ)
47. 
48. [HKLM\Software\TrendMicro\NSC\TmProxy]
49. "TempPath"="C:\Program Files\Trend Micro\OfficeScan Client\Temp\TmpxTmp\" (REG_SZ)
50. 
51. [HKLM\Software\TrendMicro\NSC\TmProxy]
52. "InstallPath"="C:\Program Files\Trend Micro\OfficeScan Client\" (REG_SZ)
53. 
54. [HKLM\Software\TrendMicro\NSC\TmProxy]
55. "LogPath"="C:\Program Files\Trend Micro\OfficeScan Client\Temp\TmpxTmp\Log\" (REG_SZ)
56. 
57. [HKLM\Software\TrendMicro\NSC\TmProxy]
58. "ErrTitle"="Installation du service proxy de Trend Micro" (REG_SZ)
59. 
60. [HKLM\Software\TrendMicro\NSC\TmProxy\Scan\Common\AntiSpam\config]
61. "RulePath"="C:\Program Files\Trend Micro\Client Server Security Agent\AspmData\" (REG_SZ)
62. 
63. [HKLM\Software\TrendMicro\NSC\TmProxy\Scan\Common\MailManager\config]
64. "DisclaimerSubject"="Trend Micro OfficeScan detected and took action on a malicious email" (REG_SZ)
65. 
66. [HKLM\Software\TrendMicro\NSC\TmProxy\Scan\Common\MailManager\config]
67. "DisclaimerAddress"="Trend Micro" (REG_SZ)
68. 
69. [HKLM\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion]
70. "Application Path"="C:\Program Files\Trend Micro\OfficeScan Client\" (REG_SZ)
71. 
72. [HKLM\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.]
73. "ProductName"="Trend Micro OfficeScan" (REG_SZ)
74. 
75. [HKLM\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\Real Time Scan Configuration]
76. "VSApiNTHome"="C:\Program Files\Trend Micro\OfficeScan Client\" (REG_SZ)
77. 
78. [HKLM\System\ControlSet001\Enum\Root\LEGACY_TMFILTER\0000]
79. "DeviceDesc"="Trend Micro Filter" (REG_SZ)
80. 
81. [HKLM\System\ControlSet001\Enum\Root\LEGACY_TMPREFILTER\0000]
82. "DeviceDesc"="Trend Micro PreFilter" (REG_SZ)
83. 
84. [HKLM\System\ControlSet001\Enum\Root\LEGACY_TMTDI\0000]
85. "DeviceDesc"="Trend Micro TDI Driver" (REG_SZ)
86. 
87. [HKLM\System\ControlSet001\Enum\Root\LEGACY_VSAPINT\0000]
88. "DeviceDesc"="Trend Micro VSAPI NT" (REG_SZ)
89. 
90. [HKLM\System\ControlSet001\services
trtscan]
91. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe"" (REG_EXPAND_SZ)
92. 
93. [HKLM\System\ControlSet001\services\Perf_iCrcPerfMonMgr\Performance]
94. "Library"="C:\Program Files\Trend Micro\OfficeScan Client\perfiCrcPerfMonMgr.dll" (REG_SZ)
95. 
96. [HKLM\System\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
97. "{15A81E3E-F333-4C65-AEB1-5BAC9E6AC132}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=2088|Name=Trend Micro OfficeScan Listener|" (REG_SZ)
98. 
99. [HKLM\System\ControlSet001\services	mactmon]
100. "Description"="Trend Micro Activity Monitor Driver" (REG_SZ)
101. 
102. [HKLM\System\ControlSet001\services\TMBMServer]
103. "ImagePath"=""C:\Program Files\Trend Micro\BM\TMBMSRV.exe" /service" (REG_EXPAND_SZ)
104. 
105. [HKLM\System\ControlSet001\services\TMBMServer]
106. "DisplayName"="Trend Micro Unauthorized Change Prevention Service" (REG_SZ)
107. 
108. [HKLM\System\ControlSet001\services\TMBMServer]
109. "Description"="Manages the Trend Micro unauthorized change prevention feature" (REG_SZ)
110. 
111. [HKLM\System\ControlSet001\services\TMBMServer]
112. "HomeDir"="C:\Program Files\Trend Micro\BM" (REG_EXPAND_SZ)
113. 
114. [HKLM\System\ControlSet001\services	mcomm]
115. "Description"="Trend Micro Common Engine Driver" (REG_SZ)
116. 
117. [HKLM\System\ControlSet001\services	mevtmgr]
118. "Description"="Trend Micro Event Manager Driver" (REG_SZ)
119. 
120. [HKLM\System\ControlSet001\services\TmFilter]
121. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmXPFlt.sys" (REG_EXPAND_SZ)
122. 
123. [HKLM\System\ControlSet001\services\TmFilter]
124. "DisplayName"="Trend Micro Filter" (REG_SZ)
125. 
126. [HKLM\System\ControlSet001\services\TmFilter]
127. "CurrentPatternName"="C:\Program Files\Trend Micro\OfficeScan Client\ssaptn.355" (REG_SZ)
128. 
129. [HKLM\System\ControlSet001\services	mlisten]
130. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe"" (REG_EXPAND_SZ)
131. 
132. [HKLM\System\ControlSet001\services\TmPreFilter]
133. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmPreFlt.sys" (REG_EXPAND_SZ)
134. 
135. [HKLM\System\ControlSet001\services\TmPreFilter]
136. "DisplayName"="Trend Micro PreFilter" (REG_SZ)
137. 
138. [HKLM\System\ControlSet001\services\VSApiNt]
139. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\VSApiNt.sys" (REG_EXPAND_SZ)
140. 
141. [HKLM\System\ControlSet001\services\VSApiNt]
142. "DisplayName"="Trend Micro VSAPI NT" (REG_SZ)
143. 
144. [HKLM\System\ControlSet002\Enum\Root\LEGACY_TMFILTER\0000]
145. "DeviceDesc"="Trend Micro Filter" (REG_SZ)
146. 
147. [HKLM\System\ControlSet002\Enum\Root\LEGACY_TMPREFILTER\0000]
148. "DeviceDesc"="Trend Micro PreFilter" (REG_SZ)
149. 
150. [HKLM\System\ControlSet002\Enum\Root\LEGACY_TMTDI\0000]
151. "DeviceDesc"="Trend Micro TDI Driver" (REG_SZ)
152. 
153. [HKLM\System\ControlSet002\Enum\Root\LEGACY_VSAPINT\0000]
154. "DeviceDesc"="Trend Micro VSAPI NT" (REG_SZ)
155. 
156. [HKLM\System\ControlSet002\services
trtscan]
157. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe"" (REG_EXPAND_SZ)
158. 
159. [HKLM\System\ControlSet002\services\Perf_iCrcPerfMonMgr\Performance]
160. "Library"="C:\Program Files\Trend Micro\OfficeScan Client\perfiCrcPerfMonMgr.dll" (REG_SZ)
161. 
162. [HKLM\System\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
163. "{15A81E3E-F333-4C65-AEB1-5BAC9E6AC132}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=2088|Name=Trend Micro OfficeScan Listener|" (REG_SZ)
164. 
165. [HKLM\System\ControlSet002\services	mactmon]
166. "Description"="Trend Micro Activity Monitor Driver" (REG_SZ)
167. 
168. [HKLM\System\ControlSet002\services\TMBMServer]
169. "ImagePath"=""C:\Program Files\Trend Micro\BM\TMBMSRV.exe" /service" (REG_EXPAND_SZ)
170. 
171. [HKLM\System\ControlSet002\services\TMBMServer]
172. "DisplayName"="Trend Micro Unauthorized Change Prevention Service" (REG_SZ)
173. 
174. [HKLM\System\ControlSet002\services\TMBMServer]
175. "Description"="Manages the Trend Micro unauthorized change prevention feature" (REG_SZ)
176. 
177. [HKLM\System\ControlSet002\services\TMBMServer]
178. "HomeDir"="C:\Program Files\Trend Micro\BM" (REG_EXPAND_SZ)
179. 
180. [HKLM\System\ControlSet002\services	mcomm]
181. "Description"="Trend Micro Common Engine Driver" (REG_SZ)
182. 
183. [HKLM\System\ControlSet002\services	mevtmgr]
184. "Description"="Trend Micro Event Manager Driver" (REG_SZ)
185. 
186. [HKLM\System\ControlSet002\services\TmFilter]
187. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmXPFlt.sys" (REG_EXPAND_SZ)
188. 
189. [HKLM\System\ControlSet002\services\TmFilter]
190. "DisplayName"="Trend Micro Filter" (REG_SZ)
191. 
192. [HKLM\System\ControlSet002\services\TmFilter]
193. "CurrentPatternName"="C:\Program Files\Trend Micro\OfficeScan Client\ssaptn.355" (REG_SZ)
194. 
195. [HKLM\System\ControlSet002\services	mlisten]
196. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe"" (REG_EXPAND_SZ)
197. 
198. [HKLM\System\ControlSet002\services\TmPreFilter]
199. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmPreFlt.sys" (REG_EXPAND_SZ)
200. 
201. [HKLM\System\ControlSet002\services\TmPreFilter]
202. "DisplayName"="Trend Micro PreFilter" (REG_SZ)
203. 
204. [HKLM\System\ControlSet002\services\VSApiNt]
205. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\VSApiNt.sys" (REG_EXPAND_SZ)
206. 
207. [HKLM\System\ControlSet002\services\VSApiNt]
208. "DisplayName"="Trend Micro VSAPI NT" (REG_SZ)
209. 
210. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_TMFILTER\0000]
211. "DeviceDesc"="Trend Micro Filter" (REG_SZ)
212. 
213. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_TMPREFILTER\0000]
214. "DeviceDesc"="Trend Micro PreFilter" (REG_SZ)
215. 
216. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_TMTDI\0000]
217. "DeviceDesc"="Trend Micro TDI Driver" (REG_SZ)
218. 
219. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_VSAPINT\0000]
220. "DeviceDesc"="Trend Micro VSAPI NT" (REG_SZ)
221. 
222. [HKLM\System\CurrentControlSet\services
trtscan]
223. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe"" (REG_EXPAND_SZ)
224. 
225. [HKLM\System\CurrentControlSet\services\Perf_iCrcPerfMonMgr\Performance]
226. "Library"="C:\Program Files\Trend Micro\OfficeScan Client\perfiCrcPerfMonMgr.dll" (REG_SZ)
227. 
228. [HKLM\System\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
229. "{15A81E3E-F333-4C65-AEB1-5BAC9E6AC132}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=2088|Name=Trend Micro OfficeScan Listener|" (REG_SZ)
230. 
231. [HKLM\System\CurrentControlSet\services	mactmon]
232. "Description"="Trend Micro Activity Monitor Driver" (REG_SZ)
233. 
234. [HKLM\System\CurrentControlSet\services\TMBMServer]
235. "ImagePath"=""C:\Program Files\Trend Micro\BM\TMBMSRV.exe" /service" (REG_EXPAND_SZ)
236. 
237. [HKLM\System\CurrentControlSet\services\TMBMServer]
238. "DisplayName"="Trend Micro Unauthorized Change Prevention Service" (REG_SZ)
239. 
240. [HKLM\System\CurrentControlSet\services\TMBMServer]
241. "Description"="Manages the Trend Micro unauthorized change prevention feature" (REG_SZ)
242. 
243. [HKLM\System\CurrentControlSet\services\TMBMServer]
244. "HomeDir"="C:\Program Files\Trend Micro\BM" (REG_EXPAND_SZ)
245. 
246. [HKLM\System\CurrentControlSet\services	mcomm]
247. "Description"="Trend Micro Common Engine Driver" (REG_SZ)
248. 
249. [HKLM\System\CurrentControlSet\services	mevtmgr]
250. "Description"="Trend Micro Event Manager Driver" (REG_SZ)
251. 
252. [HKLM\System\CurrentControlSet\services\TmFilter]
253. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmXPFlt.sys" (REG_EXPAND_SZ)
254. 
255. [HKLM\System\CurrentControlSet\services\TmFilter]
256. "DisplayName"="Trend Micro Filter" (REG_SZ)
257. 
258. [HKLM\System\CurrentControlSet\services\TmFilter]
259. "CurrentPatternName"="C:\Program Files\Trend Micro\OfficeScan Client\ssaptn.355" (REG_SZ)
260. 
261. [HKLM\System\CurrentControlSet\services	mlisten]
262. "ImagePath"=""C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe"" (REG_EXPAND_SZ)
263. 
264. [HKLM\System\CurrentControlSet\services\TmPreFilter]
265. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\TmPreFlt.sys" (REG_EXPAND_SZ)
266. 
267. [HKLM\System\CurrentControlSet\services\TmPreFilter]
268. "DisplayName"="Trend Micro PreFilter" (REG_SZ)
269. 
270. [HKLM\System\CurrentControlSet\services\VSApiNt]
271. "ImagePath"="\??\C:\Program Files\Trend Micro\OfficeScan Client\VSApiNt.sys" (REG_EXPAND_SZ)
272. 
273. [HKLM\System\CurrentControlSet\services\VSApiNt]
274. "DisplayName"="Trend Micro VSAPI NT" (REG_SZ)
275. 
276. [HKU\S-1-5-21-661192484-2001334658-1786885396-1000\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{0C2EDBF2-AF44-4A10-BC1B-D1EB6127977C}Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules]
277. "{B716CDAB-5A3F-4B39-933A-989205D472C1}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=2088|Name=Trend Micro OfficeScan Listener|" (REG_SZ)
278. 
279. [HKU\S-1-5-21-661192484-2001334658-1786885396-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted]
280. "C:\Program Files\Trend Micro\OfficeScan Client\NTRmv.exe"="1" (REG_DWORD)
281. 
282. =========================
283. 
284. Fin à: 11:48:35 le 26/12/2012
285. 370342 Éléments analysés
286. 
287. =========================
288. E.O.F

Fish66 · Answer

Bonjour,

* Télécharge OTM (OldTimer) sur ton Bureau

ICI >> OTM (OldTimer)
* Double clic "OTMoveIt3.exe"
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :



:files
C:\Program Files\Trend Micro

:Reg
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"OfficeScanNT Monitor"=-
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT] 
[-HKLM\Software\TrendMicro\AEGIS] 
[-HKLM\Software\TrendMicro\NSC\TmProxy] 
[-HKLM\Software\TrendMicro\NSC\TmProxy\Scan\Common\AntiSpam\config] 
[-HKLM\Software\TrendMicro\NSC\TmProxy\Scan\Common\MailManager\config]
[-HKLM\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion] 
[-HKLM\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\Real Time Scan Configuration] 
[-HKLM\System\ControlSet001\services\TMBMServer] 
[-HKLM\System\ControlSet001\services	mactmon] 
[-HKLM\System\ControlSet001\services\TmFilter] 
[-HKLM\System\ControlSet001\services	mlisten] 
 
:commands
[emptytemp]




- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

mouatan · Answer

voici le dernier rapport, ça a l'air d'avoir marché !

All processes killed
========== FILES ==========
C:\Program Files\Trend Micro\OfficeScan Client\Temp\TmpxTmp\Log folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Temp\TmpxTmp folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Temp\PFW folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Temp scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\SUSPECT\Backup	emp folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\SUSPECT\Backup folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\SUSPECT folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Rollback scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Clienteport folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\OppLog folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Misc folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Log folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\HLog folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\FLog folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\components scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\Chrome\locale\en-US folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\Chrome\locale folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\Chrome folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\ConnLog folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\whxdata folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\whgdata folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\whdata folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\osce_topics\images folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\osce_topics folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp\images folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\ClientHelp folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Cache\Patterns folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Cache scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\BackupAS folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Backup folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Data\AU_Temp folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Data\AU_Log folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Data folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3\2048 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3\1208221731 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3\1090519040 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3\1082130432 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3\1073741840 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup\3 folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AU_Backup folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\AOSHTML folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client scheduled to be moved on reboot.
C:\Program Files\Trend Micro\BM\update folder moved successfully.
C:\Program Files\Trend Micro\BM\Profiles folder moved successfully.
C:\Program Files\Trend Micro\BM\Patterns\OEM folder moved successfully.
C:\Program Files\Trend Micro\BM\Patterns folder moved successfully.
C:\Program Files\Trend Micro\BM\log folder moved successfully.
C:\Program Files\Trend Micro\BM\cache folder moved successfully.
C:\Program Files\Trend Micro\BM folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro scheduled to be moved on reboot.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OfficeScanNT Monitor deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT\ deleted successfully.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\AEGIS\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\Scan\Common\AntiSpam\config\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\Scan\Common\MailManager\config\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\Real Time Scan Configuration\ scheduled to be deleted on reboot.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\services\TMBMServer\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\services	mactmon\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\services\TmFilter\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\services	mlisten\ deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 81920 bytes
->Temporary Internet Files folder emptied: 442770 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 44081197 bytes
->Flash cache emptied: 57431 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default.old
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56475 bytes
 
User: Enseignant
->Temp folder emptied: 1778992 bytes
->Temporary Internet Files folder emptied: 15569287 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 486805186 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 62908 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1057986 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 741 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 525,00 mb
 
 
OTM by OldTimer - Version 3.1.21.0 log created on 12272012_015837

Files moved on Reboot...
C:\Program Files\Trend Micro\OfficeScan Client\Temp\PFW folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Temp scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Rollback scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\components scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\components scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\Cache\Patterns folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Cache scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Temp scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\Suspect\Backup	emp folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Suspect\Backup folder moved successfully.
C:\Program Files\Trend Micro\OfficeScan Client\Suspect folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Rollback scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\Misc folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\components scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Cache scheduled to be moved on reboot.
C:\Program Files\Trend Micro\OfficeScan Client\Backup folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Temp scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Rollback scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension\components scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\FirefoxExtension scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client\Cache scheduled to be moved on reboot.
Folder move failed. C:\Program Files\Trend Micro\OfficeScan Client scheduled to be moved on reboot.
C:\Program Files\Trend Micro\BM\update folder moved successfully.
C:\Program Files\Trend Micro\BM\Profiles folder moved successfully.
C:\Program Files\Trend Micro\BM\Patterns\OEM folder moved successfully.
C:\Program Files\Trend Micro\BM\Patterns folder moved successfully.
C:\Program Files\Trend Micro\BM\log folder moved successfully.
C:\Program Files\Trend Micro\BM\cache folder moved successfully.
C:\Program Files\Trend Micro\BM folder moved successfully.
Folder move failed. C:\Program Files\Trend Micro scheduled to be moved on reboot.
File move failed. C:\Windows	emp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\AEGIS\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\Scan\Common\AntiSpam\config\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\Scan\Common\MailManager\config\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\ scheduled to be deleted on reboot.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\TrendMicro\PC-cillinNTCorp\CurrentVersion\Real Time Scan Configuration\ scheduled to be deleted on reboot.

Fish66 · Answer

Bonjour,
Redémarre ton PC.
Lance ZHPDiag depuis le bureau, clique sur la flèche verte (mise à jour)
Ensuite coche tout au tournevis (aide ici) puis lance l'analyse, ferme le et héberge le rapport. colle le lien dans  ta prochaine réponse

mouatan · Answer

bonsoir Fish, je te laisse l'adresse du fichier ZHP hébergé : 

http://cjoint.com/?BLCbYdg0wEZ

Un certain nombre de lignes sont encore bleues. Subsiste t-il encore des problèmes de virus ou sont-ce des programmes mal installés, ou incomplets, voire des clés de registre orphelines qui ont été oubliées ? Qu'en pense-tu ?

Fish66 · Answer

Bonjour,
Tu n'as pas tout au tournevis, on va relancer ZHPDiag!  :-)
-----------------------------
Un certain nombre de lignes sont encore bleues.
Est ce que tu peux encore expliquer ?
1/
=> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").



SR - | Auto 07/09/2011 1900904 |  (ntrtscan) . (.Trend Micro Inc..) - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe    => Trend Micro%OfficeScan
SR - | Demand 16/06/2011 345616 |  (TMBMServer) . (.Trend Micro Inc..) - C:\Program Files\Trend Micro\BM\TMBMSRV.exe    => Trend Micro%Internet Security Suite
OPT:O4 - Global Startup: C:\Users\Enseignant\Desktop\dwhelper - Raccourci.lnk . (...)  -- C:\Users\Enseignant\dwhelper      
OPT:O4 - Global Startup: C:\Users\Enseignant\Desktop\ELEVES.lnk . (...)  -- D:\ELEVES      
OPT:O4 - Global Startup: C:\Users\Enseignant\Desktop\Superbus_-_Whisper - Raccourci.lnk . (...)  -- C:\Users\Enseignant\dwhelper\Superbus_-_Whisper.mp4      
OPT:O4 - Global Startup: C:\Users\Enseignant\Desktop\Superbus_-_Whisper_Paroles_-_Lyrics - Raccourci.lnk . (...)  -- C:\Users\Enseignant\dwhelper\Superbus_-_Whisper_Paroles_-_Lyrics.mp4      
OPT:O4 - Global Startup: C:\Users\Enseignant\Desktop\Téléchargements - Raccourci.lnk . (...)  -- C:\Users\Enseignant\Downloads      
OPT:O4 - HKLM\..\Run: [ThpSrv] Clé orpheline 
[MD5.F02A533F517EB38333CB12A9E8963773] [APT] [GoogleUpdateTaskMachineCore] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe  
[MD5.F02A533F517EB38333CB12A9E8963773] [APT] [GoogleUpdateTaskMachineUA] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe  
[MD5.00000000000000000000000000000000] [APT] [{D4BD3AA1-0FCA-4F14-9411-ABA689905494}] (...) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.4.9\GUninstaller.exe (.not file.)    => Infection BT (Toolbar.Babylon)  
[HKLM\Software\YourFileDownloader] 
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:dllName="BrowserProtect.dll"    
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:exeName="BrowserProtect.exe"    
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:folderName="BrowserProtect"    
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"    
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:serviceName="BrowserProtect"    
[HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:version="2.5.1005.80"    



=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

=> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".

=> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

=> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

=> Une fois terminé, copie-colle le rapport dans ton prochain message.

2/
* Télécharge sur le bureau RogueKiller (par tigzy)    
https://www.luanagames.com/index.fr.html    
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )    
* Quitte tous tes programmes en cours    
* Lance RogueKiller.exe   
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe   
* Laisse le prescan se terminer, clique sur Scan   
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message 

3/
 Est ce que le virus est encore détecté ?

@+

mouatan · Answer

1) Voici le rapport de ZHPFix :

Rapport de ZHPFix 1.3.10 par Nicolas Coolman, Update du 11/12/2012
Fichier d'export Registre : 
Run by Enseignant at 29/12/2012 02:55:10
Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)



========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Program Files\Google\Update\GoogleUpdate.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: Service: ntrtscan
SUPPRIME Key: Service: TMBMServer
SUPPRIME Key: HKLM\Software\YourFileDownloader

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: ThpSrv
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:dllName="BrowserProtect.dll"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:exeName="BrowserProtect.exe"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:folderName="BrowserProtect"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:serviceName="BrowserProtect"
ABSENT [HKCU\Software\58688d9e63cea49\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.5.1005.80]:version="2.5.1005.80"

========== Fichier(s) ==========
SUPPRIME Reboot c:\program files	rend micro\officescan client
trtscan.exe
SUPPRIME Reboot c:\program files	rend micro\bm	mbmsrv.exe
SUPPRIME File: c:\users\enseignant\desktop\dwhelper - raccourci.lnk
SUPPRIME File: c:\users\enseignant\desktop\eleves.lnk
SUPPRIME File: c:\users\enseignant\desktop\superbus_-_whisper - raccourci.lnk
SUPPRIME File: c:\users\enseignant\desktop\superbus_-_whisper_paroles_-_lyrics - raccourci.lnk
SUPPRIME File: c:\users\enseignant\desktop	éléchargements - raccourci.lnk
SUPPRIME File***: c:\program files\google\update\googleupdate.exe
ABSENT Folder/File: c:\program files\google\update\googleupdate.exe

========== Tache planifiée ==========
SUPPRIME Task: GoogleUpdateTaskMachineCore
SUPPRIME Task: GoogleUpdateTaskMachineUA
SUPPRIME Task: {D4BD3AA1-0FCA-4F14-9411-ABA689905494}


========== Récapitulatif ==========
1 : Processus mémoire
3 : Clé(s) du Registre
7 : Valeur(s) du Registre
9 : Fichier(s)
3 : Tache planifiée


End of clean in 00mn 14s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 19/12/2012 00:56:50 [381]
C:\ZHP\ZHPFix[R2].txt - 22/12/2012 01:15:05 [1508]
C:\ZHP\ZHPFix[R3].txt - 24/12/2012 01:09:12 [1970]
C:\ZHP\ZHPFix[R4].txt - 29/12/2012 02:55:10 [2585]

REMARQUE : Je parle des lignes bleues qui apparaissent sur les rapports originaux. le bleu disparaît lors des copier-coller. Par ex. ici deux lignes m'apparaissent en bleu : dans FICHIER(S)/ 
SUPPRIME Reboot c:\program files	rend micro\officescan client
trtscan.exe
SUPPRIME Reboot c:\program files	rend micro\bm	mbmsrv.exe

2) prochaine réponse

mouatan · Answer

2) rapport de RogueKiller : RogueKiller V8.4.1 [Dec 28 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Enseignant [Droits d'admin] Mode : Recherche -- Date : 29/12/2012 03:11:29 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 5 ¤¤¤ [RUN][SUSP PATH] HKLM\[...]\RunOnce : InnoSetupRegFile.0000000001 ("C:\Windows\is-5U0ON.exe" /REG /REGSVRMODE) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[70] : NtCreateKey @ 0x83240F46 -> HOOKED (Unknown @ 0x885A3474) SSDT[74] : NtCreateMutant @ 0x832502B2 -> HOOKED (Unknown @ 0x8957AEA4) SSDT[79] : NtCreateProcess @ 0x8331C0C3 -> HOOKED (Unknown @ 0x89521B8C) SSDT[80] : NtCreateProcessEx @ 0x8331C10E -> HOOKED (Unknown @ 0x895073C4) SSDT[86] : NtCreateSymbolicLinkObject @ 0x83241911 -> HOOKED (Unknown @ 0x89537314) SSDT[87] : NtCreateThread @ 0x8331BECA -> HOOKED (Unknown @ 0x89536574) SSDT[88] : NtCreateThreadEx @ 0x832B036B -> HOOKED (Unknown @ 0x8957AF24) SSDT[93] : NtCreateUserProcess @ 0x832AE29D -> HOOKED (Unknown @ 0x8953EC14) SSDT[103] : NtDeleteKey @ 0x8322BA27 -> HOOKED (Unknown @ 0x885A310C) SSDT[106] : NtDeleteValueKey @ 0x8321D43E -> HOOKED (Unknown @ 0x89536634) SSDT[111] : NtDuplicateObject @ 0x8327167A -> HOOKED (Unknown @ 0x895372D4) SSDT[155] : NtLoadDriver @ 0x83205C20 -> HOOKED (Unknown @ 0x8957AEE4) SSDT[190] : NtOpenProcess @ 0x83251AF8 -> HOOKED (Unknown @ 0x89508C7C) SSDT[194] : NtOpenSection @ 0x832A98BB -> HOOKED (Unknown @ 0x895365F4) SSDT[290] : NtRenameKey @ 0x832DBFAB -> HOOKED (Unknown @ 0x8953513C) SSDT[302] : NtRestoreKey @ 0x832D1B5C -> HOOKED (Unknown @ 0x895350FC) SSDT[350] : NtSetSystemInformation @ 0x8328E29A -> HOOKED (Unknown @ 0x8957AE64) SSDT[358] : NtSetValueKey @ 0x8324A543 -> HOOKED (Unknown @ 0x89536C14) SSDT[370] : NtTerminateProcess @ 0x8329ABFB -> HOOKED (Unknown @ 0x894290BC) SSDT[371] : NtTerminateThread @ 0x832B8584 -> HOOKED (Unknown @ 0x895367DC) SSDT[399] : NtWriteVirtualMemory @ 0x8329F958 -> HOOKED (Unknown @ 0x895365B4) S_SSDT[584] : NtUserSetWindowsHookAW -> HOOKED (Unknown @ 0x8944E144) S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8A0283DC) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK3261GSYN +++++ --- User --- [MBR] 03038ca829308455ca9de3ee13b573d3 [BSP] 5eb3f2f8526f805eb3ff380deb7c6b6f : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 153000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 314165248 | Size: 151843 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_29122012_031129.txt >> RKreport[1]_S_29122012_031129.txt -------------------- Dans mes programmes, j'ai toujours le Client OfficeScan ... !!! Pfff !!!

Fish66 · Answer

Bonjour,
Relance RogueKiller puis choisis "Suppression" et poste
 le rapport stp 
Ensuite, lance mbam, supprime tout ce qu'il trouve puis poste le rapport

@+

mouatan · Answer

Bonsoir Fish, voici les deux rapports : ------------------------------------------------------------------------- RogueKiller V8.4.1 [Dec 28 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Enseignant [Droits d'admin] Mode : Suppression -- Date : 29/12/2012 22:55:17 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1) [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[70] : NtCreateKey @ 0x83208F46 -> HOOKED (Unknown @ 0x8932DDBC) SSDT[74] : NtCreateMutant @ 0x832182B2 -> HOOKED (Unknown @ 0x86183534) SSDT[79] : NtCreateProcess @ 0x832E40C3 -> HOOKED (Unknown @ 0x8942F314) SSDT[80] : NtCreateProcessEx @ 0x832E410E -> HOOKED (Unknown @ 0x8951090C) SSDT[86] : NtCreateSymbolicLinkObject @ 0x83209911 -> HOOKED (Unknown @ 0x8618342C) SSDT[87] : NtCreateThread @ 0x832E3ECA -> HOOKED (Unknown @ 0x861835F4) SSDT[88] : NtCreateThreadEx @ 0x8327836B -> HOOKED (Unknown @ 0x861835B4) SSDT[93] : NtCreateUserProcess @ 0x8327629D -> HOOKED (Unknown @ 0x8950D2FC) SSDT[103] : NtDeleteKey @ 0x831F3A27 -> HOOKED (Unknown @ 0x8932DD3C) SSDT[106] : NtDeleteValueKey @ 0x831E543E -> HOOKED (Unknown @ 0x8932DC7C) SSDT[111] : NtDuplicateObject @ 0x8323967A -> HOOKED (Unknown @ 0x861833EC) SSDT[155] : NtLoadDriver @ 0x831CDC20 -> HOOKED (Unknown @ 0x86183574) SSDT[190] : NtOpenProcess @ 0x83219AF8 -> HOOKED (Unknown @ 0x8951425C) SSDT[194] : NtOpenSection @ 0x832718BB -> HOOKED (Unknown @ 0x8932DC3C) SSDT[290] : NtRenameKey @ 0x832A3FAB -> HOOKED (Unknown @ 0x8932DCFC) SSDT[302] : NtRestoreKey @ 0x83299B5C -> HOOKED (Unknown @ 0x8932DCBC) SSDT[350] : NtSetSystemInformation @ 0x8325629A -> HOOKED (Unknown @ 0x861834F4) SSDT[358] : NtSetValueKey @ 0x83212543 -> HOOKED (Unknown @ 0x8932DD7C) SSDT[370] : NtTerminateProcess @ 0x83262BFB -> HOOKED (Unknown @ 0x8949135C) SSDT[371] : NtTerminateThread @ 0x83280584 -> HOOKED (Unknown @ 0x894902F4) SSDT[399] : NtWriteVirtualMemory @ 0x83267958 -> HOOKED (Unknown @ 0x8932DBFC) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK3261GSYN +++++ --- User --- [MBR] 03038ca829308455ca9de3ee13b573d3 [BSP] 5eb3f2f8526f805eb3ff380deb7c6b6f : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 153000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 314165248 | Size: 151843 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[4]_D_29122012_225517.txt >> RKreport[1]_S_29122012_031129.txt ; RKreport[2]_S_29122012_031155.txt ; RKreport[3]_S_29122012_225436.txt ; RKreport[4]_D_29122012_225517.txt ---------------------------------------------------------------------------- Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Version de la base de données: v2012.12.29.11 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 Enseignant :: CG943C170716H [administrateur] 29/12/2012 23:02:34 mbam-log-2012-12-29 (23-02-34).txt Type d'examen: Examen complet (C:\|) Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 358128 Temps écoulé: 45 minute(s), 11 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté) (fin)

Fish66 · Answer

Bonjour,
1/
Télécharger Eset Nod32 :
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
* Lancer le fichier
* Accepter les conditions
* Autoriser le programme à accéder à Internet
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
* Téléchargement des signatures


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !

* Le scan débute dés la fin du téléchargement
* Générer le rapport
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt

Pour vous aider voici un tuto rédigé par dorgane :
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

2/
Fais une analyse antivirus en ligne sur BitDefender on line avec Internet Explorer
Laisse-toi guider. Colle son rapport ici.

mouatan · Answer

1) Salut Fish, voilà fle rapport de ESET. Il a trouvé deux fichiers dans un dossier de Cubase. Mais comme je me sers de ce logiciel et ne sachant ce qu'étaient ces deux 
" Setup.exe	Win32/PrcView Application ", je les ai restauré. Peut-être ne le fallait-il pas ...

2) jpour BitDefender çl n y avait rien.. Crois-tu qu'il serait judicieux d'installer ce logiciel comme cela me l'est proposé ?

______________________________________________________________________

1) ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6844
# api_version=3.0.2
# EOSSerial=6087f795b9485144a2abc19b001d0eec
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-12-30 11:34:53
# local_time=2012-12-31 12:34:53 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=774 16777213 100 91 2681840 133620365 0 0
# compatibility_mode=5893 16776573 100 94 228605 108541684 0 0
# scanned=151170
# found=2
# cleaned=2
# scan_time=2087

C:\Users\Enseignant\Desktop\Steinberg Cubase 5.1\CVPiano\CVPiano-GVI-Modeled_Setup.exe	Win32/PrcView Application (nettoyé par suppression - mis en quarantaine)	A2A40C73FB3D6BC61CBE921FBA4ED273CE32391B	C

D:\Cubase\CVPiano\CVPiano-GVI-Modeled_Setup.exe	Win32/PrcView Application (nettoyé par suppression - mis en quarantaine)	A2A40C73FB3D6BC61CBE921FBA4ED273CE32391B	C

Fish66 · Answer

Bonjour,
S'il sont infectés il ne faut pas les garder! On va les analyser avec virus total :
---------------------------- 
Pour bien vérifier que le  fichier ci-dessous est  infecté rend toi sur ce site
Virus Total
 
* 	Clique sur " choose  file "
* 	Vas sur ton disque chercher ce fichier à cet emplacement :
  	
emplacement du fichier à analyser

 
* 	Clique ensuite sur le bouton «  Scan it » 
* 	Patiente le temps de l'analyse qui dépend de la taille du fichier
* 	Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio)
* 	Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse

 
Fait de la même facon l'autre fichier.

@+

mouatan · Answer

1) 1er fichier sur disque C : Detection ratio: 	3 / 43

https://www.virustotal.com/file/3dded9361b2d0b72ddd7061f47733f0c2b23a666dc65d41baa4d9d1a8bddcd61/analysis/

2) 2ème fichier sur disque D : Detection ratio: 	3 / 43

https://www.virustotal.com/file/3dded9361b2d0b72ddd7061f47733f0c2b23a666dc65d41baa4d9d1a8bddcd61/analysis/
____________
En fait, il s'agit du même fichier car  le programme se trouve (dupliqué) sur C et sur D. C'est la raison pour laquelle les caractéristiques sont similaires.

Fish66 · Answer

Bonsoir,
Je te conseille de supprimer ces 2 fichiers!
Comment fonctionne le PC maintenant ?

mouatan · Answer

Meilleurs voeux 2013 à toi Fish !

> Fichiers supprimés. Je sais pas si Cubase fonctionnera sans ça... on verra.

Sinon, l'ordinateur a toujours bien fonctionné, ce n'est pas le problème. Mais j'avais des alertes.

Bon, faisons le point :

1) j'ai toujours Trend micro, mais est-ce vraiment gênant ?
2) Le pc est nettoyé semble-t-il.
3) Que deviennent les programmes de nettoyage installés (ESET, OTM, RogueKiller, seaf, ZHP, ...), je les désinstalle ? 
 Merci.

Fish66 · Answer

Bonjour, 
Merci, bonne année 2013 à toi aussi!  :-)
Trend Micro n'est pas actif, pas de soucis 
On va désinstaller les outils de désinfection, ne t'inquiète pas. 
Est ce que tu peux m'envoyer une capture d'écran et des détails  
concernant ces alertes!  
  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

mouatan · Answer

Salut à toi Fish, 

pour l'instant je n'ai pas d'alerte mais si cela se produit, je t'envoie un message.

Voilà un aperçu de mon bureau, c'est pour voir tout ce qui traîne dessus et qui doit être désinstallé?

Merci encore.

Fish66 · Answer

Bonsoir,
Voilà un aperçu de mon bureau, c'est pour voir tout ce qui traîne dessus et qui doit être désinstallé?  
Pour le moment, je n'ai rien vu!  :-)
-------------------------------------------------------
Tu peux faire ce grand ménage :
Updatechecker :
Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour  
Tu peux l'utiliser une fois par semaine          
===========================================
**Nettoyage 

Suppression des outils de désinfections:
* Télécharge  Delfix   sur ton bureau.         
* Lance le, tape suppression puis valide         
* Patiente pendant le scan jusqu'à l'ouverture du rapport.         
* Copie/Colle le contenu du rapport dans ta prochaine réponse.         
Note : Le rapport se trouve également sous C:\DelFix.txt         
* Tu peux le desinstaller         

===========================================        
<code>Défragmentation : :
Défragmente tes disques dur par defraggler
Tu peux lutiliser une fois par trimestre   
===========================================   
 Vacciner les supports amovibles :  :
*Télécharge : MKV (créé par El Desaparecido) sur ton Bureau.
*Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.
*Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
*Double clique sur MKV.exe.
*Clique sur Vacciner.

===========================================

Nettoyage des fichiers et des clés de registre :
* Télécharge et installe CCleaner version Slim              
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis        
* Avancé et décoche la case Effacer uniquement les fichiers etc....        
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.        
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .        
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/        
Tu peux utiliser Ccleaner une fois par semaine       

===========================================   
Purger les points de restauration système:  

* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :  

Windows XP   

Windows Vista   

Windows 7   

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...  

===========================================   
Conseils :      
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules         
complémentaires WOT pour t'indiquer les sites douteux et Adblock plus pour bloquer les publicités...        

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.         

3/ Un peu de lecture :       
* Les dangers du Peer-To-Peer, Emule etc..        
* Comment Sécuriser son ordinateur...       
*Pourquoi et comment je me fais infecter  
*pourquoi maintenir son navigateur à jour

mouatan · Answer

Hughhh ... !!! pardon j'ai oublié de te donner le lien ... 


> http://cjoint.com/?CAdaXDQNbRH 

Voilà, c'est chose faite. 

Je vais maintenant me jeter sur tes différents conseils. Merci Fish.

mouatan · Answer

Bonsoir, 

1) voici les rapports de DelFix (en recherche et en suppression) 

recherche : http://cjoint.com/?CAddnfleR9Y  

suppression : http://cjoint.com/?CAddoet921U 

2)  ! Sinon je voudrais ton avis sur la configuration de blocage de certaines adresses IP ( notamment la série 85 255 0 0 ; voir le dossier sur lequel tu m'as envoyé - vois les titres sur http://cjoint.com/?CAddtHNKdj5 ) que j'ai effectué car je ne suis pas sûr d'avoir bien suivi, vu que certaines fenêtres étaient différentes des miennes.
 
3) Dois-je désinstaller tous les programmes utilisés pour désinfecter ?

merci encore

Fish66 · Answer

Bonjour,

Pour le 2/  tout est expliqué, mais pour plus de sécurité tu peux installer les modules complémentaires WOT et Ad-block plus comme demandé ci-dessus.
-------------------------
En principe tous les outils de désinfection qu'on a utilisé sont supprimés!
As tu des outils non installés ?

@+

mouatan · Answer

salut, effectivement tout semble avoir disparu. Il reste juste "mkv", mais je crois que je vais le garder pour effectuer des vaccunations régulières.

Merci encore à toi Fish pour tout.

Fish66 · Answer

Bonjour,
1/
Même mkv tu peux le désinstaller, il sera développé et mis à jour régulièrement!

2/
Sois prudent et bon surf! :-)

@+

mouatan · Answer

Merci pour tout mon Fish, merci de m'avoir accompagné tout au long de ce chemin.

Ciao :-)).

Trojan virulent

48 réponses

Discussions similaires

Newsletters