Backdoor.Agent.DC : Virus à supprimerRésolu/Fermé

Question

Bonjour, Je sais que mon pc est rempli de virus et de petites saloperies qui lui font du mal (^ = ^^, le gestionnaire de tache/registre désactive...). Je profite de ce dimanche pour m'en occuper (enfin). J'ai déjà fait quelques scans, mais je ne sais pas quel est la procédure à suivre ensuite. Pourriez vous m'aider ? Voici quelques rapports : AVIRA : Avira Free Antivirus Date de création du fichier de rapport : dimanche 9 juin 2013 00:09 Le programme fonctionne en version intégrale illimitée. Les services en ligne sont disponibles. Détenteur de la licence : Avira Free Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows 7 Home Premium Version de Windows : (Service Pack 1) [6.1.7601] Mode Boot : Démarré normalement Identifiant : Pierre Nom de l'ordinateur : PIERRE-PC Informations de version : BUILD.DAT : 13.0.0.3640 54852 Bytes 18/04/2013 14:18:00 AVSCAN.EXE : 13.6.0.1262 636984 Bytes 08/06/2013 21:31:22 AVSCANRC.DLL : 13.4.0.360 65312 Bytes 08/06/2013 21:31:22 LUKE.DLL : 13.6.0.1262 65080 Bytes 08/06/2013 21:31:59 AVSCPLR.DLL : 13.6.0.1262 92216 Bytes 08/06/2013 21:31:22 AVREG.DLL : 13.6.0.1262 247864 Bytes 08/06/2013 21:31:20 avlode.dll : 13.6.2.1262 432184 Bytes 08/06/2013 21:31:17 avlode.rdf : 13.0.1.12 25921 Bytes 08/06/2013 21:32:46 VBASE000.VDF : 7.11.70.0 66736640 Bytes 04/04/2013 21:29:58 VBASE001.VDF : 7.11.74.226 2201600 Bytes 30/04/2013 21:30:05 VBASE002.VDF : 7.11.80.60 2751488 Bytes 28/05/2013 21:30:11 VBASE003.VDF : 7.11.80.61 2048 Bytes 28/05/2013 21:30:12 VBASE004.VDF : 7.11.80.62 2048 Bytes 28/05/2013 21:30:12 VBASE005.VDF : 7.11.80.63 2048 Bytes 28/05/2013 21:30:12 VBASE006.VDF : 7.11.80.64 2048 Bytes 28/05/2013 21:30:12 VBASE007.VDF : 7.11.80.65 2048 Bytes 28/05/2013 21:30:12 VBASE008.VDF : 7.11.80.66 2048 Bytes 28/05/2013 21:30:12 VBASE009.VDF : 7.11.80.67 2048 Bytes 28/05/2013 21:30:12 VBASE010.VDF : 7.11.80.68 2048 Bytes 28/05/2013 21:30:12 VBASE011.VDF : 7.11.80.69 2048 Bytes 28/05/2013 21:30:13 VBASE012.VDF : 7.11.80.70 2048 Bytes 28/05/2013 21:30:13 VBASE013.VDF : 7.11.80.71 2048 Bytes 28/05/2013 21:30:13 VBASE014.VDF : 7.11.81.57 145408 Bytes 29/05/2013 21:30:13 VBASE015.VDF : 7.11.81.137 130048 Bytes 30/05/2013 21:30:14 VBASE016.VDF : 7.11.81.255 207360 Bytes 31/05/2013 21:30:15 VBASE017.VDF : 7.11.82.91 156160 Bytes 03/06/2013 21:30:15 VBASE018.VDF : 7.11.82.169 220160 Bytes 04/06/2013 21:30:16 VBASE019.VDF : 7.11.83.27 325632 Bytes 06/06/2013 21:30:17 VBASE020.VDF : 7.11.83.121 320512 Bytes 07/06/2013 21:30:18 VBASE021.VDF : 7.11.83.135 2048 Bytes 07/06/2013 21:30:18 VBASE022.VDF : 7.11.83.136 2048 Bytes 07/06/2013 21:30:18 VBASE023.VDF : 7.11.83.137 2048 Bytes 07/06/2013 21:30:18 VBASE024.VDF : 7.11.83.138 2048 Bytes 07/06/2013 21:30:18 VBASE025.VDF : 7.11.83.139 2048 Bytes 07/06/2013 21:30:18 VBASE026.VDF : 7.11.83.140 2048 Bytes 07/06/2013 21:30:18 VBASE027.VDF : 7.11.83.141 2048 Bytes 07/06/2013 21:30:19 VBASE028.VDF : 7.11.83.142 2048 Bytes 07/06/2013 21:30:19 VBASE029.VDF : 7.11.83.143 2048 Bytes 07/06/2013 21:30:19 VBASE030.VDF : 7.11.83.144 2048 Bytes 07/06/2013 21:30:19 VBASE031.VDF : 7.11.83.176 57344 Bytes 08/06/2013 21:30:19 Version du moteur : 8.2.12.56 AEVDF.DLL : 8.1.3.2 102774 Bytes 08/06/2013 21:30:33 AESCRIPT.DLL : 8.1.4.120 487806 Bytes 08/06/2013 21:30:33 AESCN.DLL : 8.1.10.4 131446 Bytes 08/06/2013 21:30:32 AESBX.DLL : 8.2.5.12 606578 Bytes 08/06/2013 21:30:34 AERDL.DLL : 8.2.0.118 684408 Bytes 08/06/2013 21:30:31 AEPACK.DLL : 8.3.2.14 754041 Bytes 08/06/2013 21:30:30 AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08/06/2013 21:30:29 AEHEUR.DLL : 8.1.4.402 5960058 Bytes 08/06/2013 21:30:29 AEHELP.DLL : 8.1.27.2 266617 Bytes 08/06/2013 21:30:22 AEGEN.DLL : 8.1.7.4 442741 Bytes 08/06/2013 21:30:22 AEEXP.DLL : 8.4.0.34 201079 Bytes 08/06/2013 21:30:34 AEEMU.DLL : 8.1.3.2 393587 Bytes 08/06/2013 21:30:21 AECORE.DLL : 8.1.31.2 201080 Bytes 08/06/2013 21:30:21 AEBB.DLL : 8.1.1.4 53619 Bytes 08/06/2013 21:30:20 AVWINLL.DLL : 13.6.0.480 26480 Bytes 08/06/2013 21:26:48 AVPREF.DLL : 13.6.0.480 51056 Bytes 08/06/2013 21:31:20 AVREP.DLL : 13.6.0.480 178544 Bytes 08/06/2013 21:31:21 AVARKT.DLL : 13.6.0.1262 258104 Bytes 08/06/2013 21:31:04 AVEVTLOG.DLL : 13.6.0.1262 164920 Bytes 08/06/2013 21:31:08 SQLITE3.DLL : 3.7.0.1 397704 Bytes 08/06/2013 21:32:21 AVSMTP.DLL : 13.6.0.480 63344 Bytes 08/06/2013 21:31:24 NETNT.DLL : 13.6.0.480 16240 Bytes 08/06/2013 21:32:07 RCIMAGE.DLL : 13.4.0.141 4782880 Bytes 08/06/2013 21:26:51 RCTEXT.DLL : 13.6.0.976 70880 Bytes 08/06/2013 21:26:53 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp Documentation.................................: par défaut Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, H:, Recherche dans les programmes actifs..........: marche Programmes en cours étendus...................: marche Recherche du registre.........................: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Recherche sur tous les fichiers...............: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: avancé Début de la recherche : dimanche 9 juin 2013 00:09 La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'H:\' [INFO] Aucun virus trouvé ! La recherche d'objets cachés commence. Pilote caché [REMARQUE] Une modification de la mémoire a été détectée, qui pourrait éventuellement être utilisée abusivement pour des accès fichiers cachés. La recherche sur les processus démarrés commence : Recherche en cours du processus 'svchost.exe' - '52' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '36' module(s) ont été recherchés Recherche en cours du processus 'atiesrxx.exe' - '26' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '69' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '102' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '154' module(s) ont été recherchés Recherche en cours du processus 'STacSV64.exe' - '36' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '61' module(s) ont été recherchés Recherche en cours du processus 'Hpservice.exe' - '28' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '75' module(s) ont été recherchés Recherche en cours du processus 'atieclxx.exe' - '34' module(s) ont été recherchés Recherche en cours du processus 'WLANExt.exe' - '35' module(s) ont été recherchés Recherche en cours du processus 'conhost.exe' - '14' module(s) ont été recherchés Recherche en cours du processus 'spoolsv.exe' - '91' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '62' module(s) ont été recherchés Recherche en cours du processus 'a2service.exe' - '102' module(s) ont été recherchés Recherche en cours du processus 'AESTSr64.exe' - '8' module(s) ont été recherchés Recherche en cours du processus 'Fuel.Service.exe' - '35' module(s) ont été recherchés Recherche en cours du processus 'mDNSResponder.exe' - '45' module(s) ont été recherchés Recherche en cours du processus 'dgnsvc.exe' - '29' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '34' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '61' module(s) ont été recherchés Recherche en cours du processus 'HiPatchService.exe' - '59' module(s) ont été recherchés Recherche en cours du processus 'kss.exe' - '136' module(s) ont été recherchés Recherche en cours du processus 'LSSrvc.exe' - '29' module(s) ont été recherchés Recherche en cours du processus 'PnkBstrA.exe' - '32' module(s) ont été recherchés Recherche en cours du processus 'RichVideo.exe' - '28' module(s) ont été recherchés Recherche en cours du processus 'c2c_service.exe' - '40' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '52' module(s) ont été recherchés Recherche en cours du processus 'WLIDSVC.EXE' - '60' module(s) ont été recherchés Recherche en cours du processus 'SearchIndexer.exe' - '58' module(s) ont été recherchés Recherche en cours du processus 'WLIDSvcM.exe' - '17' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '37' module(s) ont été recherchés Recherche en cours du processus 'taskhost.exe' - '54' module(s) ont été recherchés Recherche en cours du processus 'Dwm.exe' - '35' module(s) ont été recherchés Recherche en cours du processus 'Explorer.EXE' - '157' module(s) ont été recherchés Recherche en cours du processus 'SynTPEnh.exe' - '49' module(s) ont été recherchés Recherche en cours du processus 'SmartMenu.exe' - '63' module(s) ont été recherchés Recherche en cours du processus 'jusched.exe' - '26' module(s) ont été recherchés Recherche en cours du processus 'sttray64.exe' - '43' module(s) ont été recherchés Recherche en cours du processus 'ico.exe' - '24' module(s) ont été recherchés Recherche en cours du processus 'ISUSPM.exe' - '45' module(s) ont été recherchés Recherche en cours du processus 'Skype.exe' - '155' module(s) ont été recherchés Recherche en cours du processus 'HydraDM.exe' - '36' module(s) ont été recherchés Recherche en cours du processus 'SynTPHelper.exe' - '19' module(s) ont été recherchés Recherche en cours du processus 'kss.exe' - '96' module(s) ont été recherchés Recherche en cours du processus 'soffice.exe' - '27' module(s) ont été recherchés Recherche en cours du processus 'QLBCtrl.exe' - '63' module(s) ont été recherchés Recherche en cours du processus 'Pelmiced.exe' - '35' module(s) ont été recherchés Recherche en cours du processus 'HydraDM64.exe' - '24' module(s) ont été recherchés Recherche en cours du processus 'realsched.exe' - '45' module(s) ont été recherchés Recherche en cours du processus 'HPWAMain.exe' - '76' module(s) ont été recherchés Recherche en cours du processus 'upd.exe' - '71' module(s) ont été recherchés Recherche en cours du processus 'soffice.bin' - '106' module(s) ont été recherchés Recherche en cours du processus 'hpwuschd2.exe' - '32' module(s) ont été recherchés Recherche en cours du processus 'jusched.exe' - '36' module(s) ont été recherchés Recherche en cours du processus 'vcmd.exe' - '52' module(s) ont été recherchés Recherche en cours du processus 'hpqWmiEx.exe' - '46' module(s) ont été recherchés Recherche en cours du processus 'natspeak.exe' - '121' module(s) ont été recherchés Recherche en cours du processus 'wmiprvse.exe' - '34' module(s) ont été recherchés Recherche en cours du processus 'Com4QLBEx.exe' - '31' module(s) ont été recherchés Recherche en cours du processus 'dgnuiasvr_x64.exe' - '43' module(s) ont été recherchés Recherche en cours du processus 'hpsa_service.exe' - '56' module(s) ont été recherchés Recherche en cours du processus 'taskeng.exe' - '32' module(s) ont été recherchés Recherche en cours du processus 'DVDAgent.exe' - '67' module(s) ont été recherchés Recherche en cours du processus 'TVAgent.exe' - '98' module(s) ont été recherchés Recherche en cours du processus 'hpqToaster.exe' - '55' module(s) ont été recherchés Recherche en cours du processus 'wmpnetwk.exe' - '108' module(s) ont été recherchés Recherche en cours du processus 'uTorrent.exe' - '90' module(s) ont été recherchés Recherche en cours du processus 'firefox.exe' - '133' module(s) ont été recherchés Recherche en cours du processus 'avguard.exe' - '77' module(s) ont été recherchés Recherche en cours du processus 'plugin-container.exe' - '85' module(s) ont été recherchés Recherche en cours du processus 'FlashPlayerPlugin_11_7_700_202.exe' - '52' module(s) ont été recherchés Recherche en cours du processus 'FlashPlayerPlugin_11_7_700_202.exe' - '57' module(s) ont été recherchés Recherche en cours du processus 'avshadow.exe' - '29' module(s) ont été recherchés Recherche en cours du processus 'sched.exe' - '46' module(s) ont été recherchés Recherche en cours du processus 'avgnt.exe' - '90' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '28' module(s) ont été recherchés Recherche en cours du processus 'vssvc.exe' - '47' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '28' module(s) ont été recherchés Recherche en cours du processus 'avcenter.exe' - '117' module(s) ont été recherchés Recherche en cours du processus 'avscan.exe' - '121' module(s) ont été recherchés Recherche en cours du processus 'vlc.exe' - '148' module(s) ont été recherchés Recherche en cours du processus 'SearchProtocolHost.exe' - '31' module(s) ont été recherchés Recherche en cours du processus 'SearchFilterHost.exe' - '27' module(s) ont été recherchés Recherche en cours du processus 'svchost.exe' - '9' module(s) ont été recherchés Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés Recherche en cours du processus 'wininit.exe' - '26' module(s) ont été recherchés Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés Recherche en cours du processus 'services.exe' - '33' module(s) ont été recherchés Recherche en cours du processus 'lsass.exe' - '66' module(s) ont été recherchés Recherche en cours du processus 'lsm.exe' - '16' module(s) ont été recherchés Recherche en cours du processus 'winlogon.exe' - '31' module(s) ont été recherchés La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '2679' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' [0] Type d'archive: RSRC --> C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\628f1262-188f5ca3 [1] Type d'archive: ZIP --> bpac/a$1.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/Java.EG [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives --> bpac/a.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2010-0840 [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives --> bpac/b.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2010-0840.L [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives --> bpac/KAVS.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2010-0840.BB [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\628f1262-188f5ca3 [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2010-0840.BB --> C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\21e59a67-32640629 [1] Type d'archive: ZIP --> dev/s/AdgredY.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/JAVA.Niabil.Gen [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives --> dev/s/DyesyasZ.class [RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.GS [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives --> dev/s/LoaderX.class [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.BO [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\21e59a67-32640629 [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.BO --> C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\43458f85-4c9173ff [1] Type d'archive: ZIP --> vmain.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE.2009.3869.R [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\43458f85-4c9173ff [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE.2009.3869.R --> C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5ec44536-7d5d07fa [1] Type d'archive: ZIP --> bpac/a.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2010-0840 [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives --> bpac/b.class [RESULTAT] Contient le cheval de Troie TR/Dldr.OpenStream.AQ.1 [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives --> bpac/KAVS.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2010-0840.BB [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5ec44536-7d5d07fa [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2010-0840.BB --> C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\29f71afe-1c84a1e3 [1] Type d'archive: ZIP --> vload.class [2] Type d'archive: JAVACLASS [RESULTAT] Contient le modèle de détection de l'exploit EXP/JAVA.Ternub.Gen [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives --> vmain.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/JAVA.Ternub.Gen [AVERTISSEMENT] Impossible de réparer les fichiers dans les archives C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\29f71afe-1c84a1e3 [RESULTAT] Contient le modèle de détection de l'exploit EXP/JAVA.Ternub.Gen Recherche débutant dans 'D:\' Recherche débutant dans 'H:\' Début de la désinfection : C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\29f71afe-1c84a1e3 [RESULTAT] Contient le modèle de détection de l'exploit EXP/JAVA.Ternub.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5527e70e.qua' ! C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\5ec44536-7d5d07fa [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2010-0840.BB [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4dbdc885.qua' ! C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\43458f85-4c9173ff [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE.2009.3869.R [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '1c1d923b.qua' ! C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\21e59a67-32640629 [RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.BO [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '79dbddfb.qua' ! C:\Users\Pierre\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\628f1262-188f5ca3 [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2010-0840.BB [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '3faaf0c6.qua' ! Fin de la recherche : dimanche 9 juin 2013 11:29 Temps nécessaire: 11:20:09 Heure(s) La recherche a été effectuée intégralement 57790 Les répertoires ont été contrôlés 1157676 Des fichiers ont été contrôlés 18 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 5 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 0 Impossible de scanner des fichiers 1157658 Fichiers non infectés 9829 Les archives ont été contrôlées 13 Avertissements 6 Consignes 1062398 Des objets ont été contrôlés lors du Rootkitscan 1 Des objets cachés ont été trouvés Malwarebytes Anti-Malware : Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Version de la base de données: v2013.06.09.01 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 Pierre :: PIERRE-PC [administrateur] 09/06/2013 11:39:25 mbam-log-2013-06-09 (11-39-25).txt Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 217703 Temps écoulé: 8 minute(s), 24 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 1 HKLM\SOFTWARE\Boxore (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès. Valeur(s) du Registre détectée(s): 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MicroUpdate (Backdoor.Agent.DC) -> Données: C:\Users\Pierre\Documents\MSDCSC\msdcsc.exe -> Mis en quarantaine et supprimé avec succès. Elément(s) de données du Registre détecté(s): 4 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès Dossier(s) détecté(s): 1 C:\Users\Pierre\AppData\Roaming\dclogs (Stolen.Data) -> Mis en quarantaine et supprimé avec succès. Fichier(s) détecté(s): 2 C:\Users\Pierre\Documents\MSDCSC\msdcsc.exe (Backdoor.Agent.DC) -> Mis en quarantaine et supprimé avec succès. C:\Users\Pierre\AppData\Roaming\dclogs\2013-05-01-4.DC (Stolen.Data) -> Mis en quarantaine et supprimé avec succès. (fin) Configuration: Windows 7 / Firefox 21.0

Malekal_morte- · Answer

Salut,     


Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  

puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

reezan · Answer

Le premier :

# AdwCleaner v2.303 - Rapport créé le 09/06/2013 à 12:20:21
# Mis à jour le 08/06/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Pierre - PIERRE-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Pierre\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\BetterSoft
Dossier Supprimé : C:\ProgramData\Browse2sauVe
Dossier Supprimé : C:\ProgramData\InstallMate
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Browse2sauVe
Dossier Supprimé : C:\Users\Pierre\AppData\Local\BrightBreezeSA
Dossier Supprimé : C:\Users\Pierre\AppData\Local\moovida air
Dossier Supprimé : C:\Users\Pierre\AppData\Roaming\moovida-1
Dossier Supprimé : C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\fncenu2i.default\extensions\yo20f@qpoazffjt.co.uk
Dossier Supprimé : C:\Users\Pierre\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Users\Pierre\AppData\Roaming\vghd
Dossier Supprimé : C:\Windows\Installer\{2C8574B5-6935-4FCE-860E-F4E8602378FF}

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\AppDataLow\SProtector
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2A7BD67-0EAF-497F-B05B-748D7BF3C421}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\Spointer
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{AC329328-7EC4-4C34-B672-0A2B90CB9B00}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\offerbox_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\offerbox_RASMANCS
Clé Supprimée : HKLM\Software\SP Global
Clé Supprimée : HKLM\Software\SProtector
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{76C45B18-A29E-43EA-AAF8-AF55C2E1AE17}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7CD74AFF-3433-4E34-92E2-D98DFDB30754}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{96EF404C-24C7-43D0-9096-4CCC8BB7CCAC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97720195-206A-42AE-8E65-260B9BA5589F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97D69524-BB57-4185-9C7F-5F05593B771A}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{986F7A5A-9676-47E1-8642-F41F8C3FCF82}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B18788A4-92BD-440E-A4D1-380C36531119}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77F3B7A4-7F3F-69DD-EA74-305A4F4A336C}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C3F3165C-74D3-6FDB-3274-14FDA8698CFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Optimizer Pro_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OptimizerPro

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v21.0 (fr)

Fichier : C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\fncenu2i.default\prefs.js

Supprimée : user_pref("aol_toolbar.default.homepage.check", false);
Supprimée : user_pref("aol_toolbar.default.search.check", false);
Supprimée : user_pref("extensions.5144fee1f2b4d.scode", "(function(){try{if('aol.com,mail.google.com,premiumrepo[...]
Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 0);
Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
Supprimée : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
Supprimée : user_pref("sweetim.toolbar.previous.keyword.URL", "");
Supprimée : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_DS", "");
Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_HP", "");
Supprimée : user_pref("sweetim.toolbar.searchguard.enable", "");

-\ Google Chrome v27.0.1453.110

Fichier : C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [6416 octets] - [09/06/2013 12:20:21]

########## EOF - C:\AdwCleaner[S1].txt - [6476 octets] ##########

reezan · Answer

L'OLT :

OLT : https://pjjoint.malekal.com/files.php?id=20130609_o13f12q12d13x15
Extra : https://pjjoint.malekal.com/files.php?id=20130609_h9d8u5g6r13

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKLM..\Run: [Update] C:\Users\Pierre\AppData\Roaming\supfc\upd.exe () 
ActiveX: {OFYF3FUH-K678-CJVH-74FN-E3A43X4OP3M3} - C:\Users\Pierre\AppData\Roaming\install\server.exe
[2013/06/09 12:23:24 | 000,000,418 | -H-- | M] () -- C:\Windows	asks\schedule!3036567561.job
[2011/11/08 23:20:06 | 000,000,000 | ---D | M] -- C:\Users\Pierre\AppData\Roaming\supfc  

* redemarre le pc sous windows et poste le rapport ici 


~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Clic droit / Envoyer vers dossier compressé. 
Cela va créer un fichier C:\_OTL.zip 
Envoie ce fichier _OTL.zip sur http://upload.malekal.com

reezan · Answer

Le rapport : 

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Update deleted successfully.
File move failed. C:\Users\Pierre\AppData\Roaming\supfc\upd.exe scheduled to be moved on reboot.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{OFYF3FUH-K678-CJVH-74FN-E3A43X4OP3M3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{OFYF3FUH-K678-CJVH-74FN-E3A43X4OP3M3}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{OFYF3FUH-K678-CJVH-74FN-E3A43X4OP3M3}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{OFYF3FUH-K678-CJVH-74FN-E3A43X4OP3M3}\ not found.
C:\Windows\Tasks\schedule!3036567561.job moved successfully.
Folder move failed. C:\Users\Pierre\AppData\Roaming\supfc scheduled to be moved on reboot.
 
OTL by OldTimer - Version 3.2.69.0 log created on 06092013_135428

Files\Folders moved on Reboot...
C:\Users\Pierre\AppData\Roaming\supfc\upd.exe moved successfully.
C:\Users\Pierre\AppData\Roaming\supfc folder moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Malekal_morte- · Answer

ok :)

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Clic droit / Envoyer vers dossier compressé. 
Cela va créer un fichier C:\_OTL.zip 
Envoie ce fichier _OTL.zip sur http://upload.malekal.com

reezan · Answer

J'ai essayé mais le fichier est trop gros (14Mo). Donc ça fonctionne pas.

Le nettoyage est terminé ?

En tout cas merci beaucoup :)

Malekal_morte- · Answer

OK laisse tomber pour l'envoi alors.

~~

Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.

Faire attention à ce que vous téléchargez - change tous tes mots de passe


~~

Refais un scan Malwarebyte, ce soir histoire de.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

reezan · Answer

Ca marche. Merci pour ton aide :)

Malekal_morte- · Answer

pas de prb :)

Backdoor.Agent.DC : Virus à supprimer

10 réponses

Newsletters