Virus Win 32 trojan gen récurant [Résolu]

>Fais une analyse antivirus complete avec bitdfender online(avec internet explorer) puis pose le rapport.

http://www.bitdefender.fr/scan_fr/scan8/ie.html
Tutoriel:http://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1


>puis télécharge et installe spybot.laisse toi guider
http://telechargement.journaldunet.com/fiche/5092/2/spybot/index.html
fait une sauvegarde du registre.met le a jour. vaccine le système. puis "vérifier tout"
tutoriel:http://www.malekal.com/tutorial_spybot.php

>>>>>>>>>1) Télécharge et installe Malwarebyte's Anti-Malware:

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK

Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.

Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK

Laisse les Mises à jour se télécharger

*** Referme le programme ***


2) Scan avec Malwarebyte's Anti-Malware

Lance Malwarebyte's Anti-Malware
Onglet "Recherche" >>> coche Executer un exame complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen
A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
Suppression des éléments détectés >>>>
supprime ce qu'il a trouvé vide également les éléments de la quarantaineS'il t'es demandé de redémarrer >>> clique sur "Yes"

--> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse.

Voila le rapport du scan de MalwareBytes:

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1433
Windows 5.1.2600 Service Pack 2

28/11/2008 20:55:03
rapport malware

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 136795
Temps écoulé: 41 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
F:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL (Adware.AskSBAR) -> No action taken.
F:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll (Trojan.Agent) -> No action taken.
F:\Program Files\AskSBar\bar\1.bin\A2PLUGIN.DLL (Adware.MyWebSearch) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\TypeLib\{f0d4b230-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f0d4b23a-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f0d4b23c-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b15fd82e-85bc-430d-90cb-65db1b030510} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f0d4b23b-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{f0d4b23b-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
F:\resycled (Trojan.DNSChanger) -> No action taken.
F:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken.

Fichier(s) infecté(s):
F:\WINDOWS\system32\WinSys2.exe (Trojan.FakeAlert.H) -> No action taken.
F:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL (Adware.AskSBAR) -> No action taken.
F:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll (Trojan.Agent) -> No action taken.
F:\Program Files\AskSBar\bar\1.bin\A2PLUGIN.DLL (Adware.MyWebSearch) -> No action taken.
F:\Program Files\AskSBar\bar\1.bin\A2HIGHIN.EXE (Trojan.Agent) -> No action taken.
F:\Program Files\AskSBar\bar\1.bin\NPASKSBR.DLL (Trojan.Agent) -> No action taken.
F:\System Volume Information\_restore{9AE9D8C2-5574-4A37-81A9-89CBC020DCC4}\RP37\A0001332.exe (Adware.RK) -> No action taken.



Merci beaucoup pour ta réponse très rapide !

bonjour ,pour le log va sur hijacthis.de
pour désinfecter ton ordi supprime avast et remplace le par antivir , fait un scan
met ajour ton ordi la sp3 existe eta marche

Bonsoir à tous,



@ mac ware :

"pour le log va sur hijacthis.de"

==> Sûrement pas, c'est un robot qui donne beaucoup de mauvais résultats !



@ Mmsl35 :

Arrête de proposer des scans généraux (BitDefender / MalwareBytes) en début de désinfection, commence par les outils spécifiques... Ici :

O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - F:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
==> barre d'outil infectée ==> ToolbarS&D

O4 - HKLM\..\Run: [WinSys2] F:\WINDOWS\system32\winsys2.exe
==> SmitFraudFix et seulement après MBAM



@ Barthix :


Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
http://eric.71.mespages.googlepages.com/ToolBarSD.exe

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)



Télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse stp.

Tutoriel ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php

Voila le rapport de Toolbar :


-----------\\ ToolBar S&D 1.2.5 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) D CPU 3.06GHz )
BIOS : Award Modular BIOS v6.00PG
USER : barthi ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1290 [VPS 081128-0] 4.8.1290 (Activated)
Firewall : ZoneAlarm Firewall 7.0.483.000 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - FAT32 - Total:1 Go (Free:1 Go)
D:\ (Local Disk) - FAT32 - Total:10 Go (Free:4 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:76 Go (Free:18 Go)
G:\ (CD or DVD)
H:\ (CD or DVD)
I:\ (CD or DVD)

"F:\ToolBar SD" ( MAJ : 20-11-2008|20:25 )
Option : [1] ( 29/11/2008| 8:48 )

-----------\\ Recherche de Fichiers / Dossiers ...

F:\Program Files\AskSBar
F:\Program Files\AskSBar\bar
F:\Program Files\AskSBar\SrchAstt
F:\Program Files\AskSBar\bar\1.bin
F:\Program Files\AskSBar\bar\Cache
F:\Program Files\AskSBar\bar\History
F:\Program Files\AskSBar\bar\Settings
F:\Program Files\AskSBar\bar\1.bin\A2FFXTBR.JAR
F:\Program Files\AskSBar\bar\1.bin\A2FFXTBR.MANIFEST
F:\Program Files\AskSBar\bar\1.bin\A2NTSTBR.JAR
F:\Program Files\AskSBar\bar\1.bin\A2NTSTBR.MANIFEST
F:\Program Files\AskSBar\bar\Cache\000640B5
F:\Program Files\AskSBar\bar\Cache\12BA1FA7.bin
F:\Program Files\AskSBar\bar\Cache\12BA23ED.bin
F:\Program Files\AskSBar\bar\Cache\12BA2AA4.bin
F:\Program Files\AskSBar\bar\Cache\files.ini
F:\Program Files\AskSBar\bar\History\search2
F:\Program Files\AskSBar\bar\Settings\prevcfg2.htm
F:\Program Files\AskSBar\SrchAstt\1.bin

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="F:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.google.fr/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"



1 - "F:\ToolBar SD\TB_1.txt" - 29/11/2008| 8:50 - Option : [1]

-----------\\ Fin du rapport a 8:50:25,71

et voila celui de SmitFraudFix


SmitFraudFix v2.378

Rapport fait à 9:01:23,70, 29/11/2008
Executé à partir de F:\Documents and Settings\barthi\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
F:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\Program Files\DAEMON Tools Lite\daemon.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Documents and Settings\barthi\Desktop\SmitfraudFix\Policies.exe
F:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» F:\


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\barthi


»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\barthi\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\barthi\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\barthi\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» F:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="F:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Relance Toolbar-S&D en double-cliquant sur le raccourci.
Tape sur "2" puis valide en appuyant sur "Entrée".

! Ne ferme pas la fenêtre lors de la suppression !

Un rapport sera généré, poste son contenu ici.



Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

Voila le rapport de Toolbar-S&D


-----------\\ ToolBar S&D 1.2.5 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) D CPU 3.06GHz )
BIOS : Award Modular BIOS v6.00PG
USER : barthi ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1290 [VPS 081128-0] 4.8.1290 (Activated)
Firewall : ZoneAlarm Firewall 7.0.483.000 (Activated)
A:\ (USB)
C:\ (Local Disk) - FAT32 - Total:1 Go (Free:1 Go)
D:\ (Local Disk) - FAT32 - Total:10 Go (Free:4 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:76 Go (Free:19 Go)
G:\ (CD or DVD)
H:\ (CD or DVD)
I:\ (CD or DVD)
J:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
K:\ (CD or DVD)

"F:\ToolBar SD" ( MAJ : 20-11-2008|20:25 )
Option : [2] ( 29/11/2008|18:20 )

-----------\\ SUPPRESSION

Supprime! - F:\Program Files\AskSBar\bar
Supprime! - F:\Program Files\AskSBar\SrchAstt
Supprime! - F:\Program Files\AskSBar

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="F:\\windows\\system32\\blank.htm"
"Start Page"="http://google.fr/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"="F:\\windows\\system32\\blank.htm"
"Start Page"="http://www.msn.com/"


--------------------\\ Recherche d'autres infections



1 - "F:\ToolBar SD\TB_1.txt" - 29/11/2008| 8:50 - Option : [1]
2 - "F:\ToolBar SD\TB_2.txt" - 29/11/2008|18:23 - Option : [2]

-----------\\ Fin du rapport a 18:23:47,68

OK, la barre d'outil a été supprimée, j'attends maintenant le rapport de SDFix :)

Le rapport hijackthis ne montre plus d'infection. Pour vérifier avant de passer à la dernière étape :


Scan en ligne Kaspersky

- Désactive ton antivirus

- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (avec Internet Explorer uniquement)

- En bas à droite clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

- Accepte les Contrôle ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé sauve (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne : http://www.malekal.com//scan_Av_en_ligne.php#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Voila le rapport Kaspersky, il ne m'a pas trouvé de virus :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, December 02, 2008 7:40:33 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 1/12/2008
Enregistrements dans la base antivirus Kaspersky : 1280654
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Statistiques de l'analyse:
Total d'objets analysés: 90593
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 02:14:57

Nom de l'objet infecté / Nom du virus / Dernière action
F:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
F:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Application Data\Mozilla\Firefox\Profiles\6hizx1qy.default\cert8.db L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Application Data\Mozilla\Firefox\Profiles\6hizx1qy.default\content-prefs.sqlite L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Application Data\Mozilla\Firefox\Profiles\6hizx1qy.default\cookies.sqlite L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Application Data\Mozilla\Firefox\Profiles\6hizx1qy.default\downloads.sqlite L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Application Data\Mozilla\Firefox\Profiles\6hizx1qy.default\formhistory.sqlite L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Application Data\Mozilla\Firefox\Profiles\6hizx1qy.default\key3.db L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Application Data\Mozilla\Firefox\Profiles\6hizx1qy.default\parent.lock L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Application Data\Mozilla\Firefox\Profiles\6hizx1qy.default\permissions.sqlite L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Application Data\Mozilla\Firefox\Profiles\6hizx1qy.default\places.sqlite L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Application Data\Mozilla\Firefox\Profiles\6hizx1qy.default\places.sqlite-journal L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Application Data\Mozilla\Firefox\Profiles\6hizx1qy.default\search.sqlite L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Cookies\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Local Settings\History\History.IE5\MSHist012008120120081202\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Local Settings\Temp\Perflib_Perfdata_b7c.dat L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\My Documents\Alcohol 120%\TMSUNRISE.iso L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\NTUSER.DAT L'objet est verrouillé ignoré
F:\Documents and Settings\barthi\ntuser.dat.LOG L'objet est verrouillé ignoré
F:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
F:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
F:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
F:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
F:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
F:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
F:\Documents and Settings\NetworkService\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
F:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
F:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
F:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
F:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
F:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
F:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
F:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
F:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log L'objet est verrouillé ignoré
F:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
F:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
F:\System Volume Information\_restore{9AE9D8C2-5574-4A37-81A9-89CBC020DCC4}\RP100\change.log L'objet est verrouillé ignoré
F:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
F:\WINDOWS\Internet Logs\BARTH.ldb L'objet est verrouillé ignoré
F:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré
F:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré
F:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
F:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
F:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
F:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
F:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
F:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
F:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
F:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré
F:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré
F:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
F:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré
F:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
F:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
F:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
F:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
F:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
F:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
F:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
F:\WINDOWS\Temp\Perflib_Perfdata_154.dat L'objet est verrouillé ignoré
F:\WINDOWS\Temp\Perflib_Perfdata_6cc.dat L'objet est verrouillé ignoré
F:\WINDOWS\Temp\ZLT04bb1.TMP L'objet est verrouillé ignoré
F:\WINDOWS\Temp\ZLT0780c.TMP L'objet est verrouillé ignoré
F:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
F:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

- Anti-virus :
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou AVG)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente.
Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast.
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast

Si tu choisis Antivir pour le remplacer, tu peux trouver un tutoriel et un lien pour le télécharger ici.
Note : cette version est en anglais, mais une pré-version en français est disponible en français ici

- Anti-spyware :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
* Garde Spybot pour ses vaccinations à faire régulièrement
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver des explications ici

- Internet Explorer n'est pas à jour, c'est une faille de sécurité importante (même si tu ne l'utilises pas) !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas, télécharge et installe IE 7 depuis ce lien : IE 7

- Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) :

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked"



3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner (si ce n’est déjà fait) : http://www.ccleaner.com/download/builds/downloading-slim

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés.
* Sélectionne l'onglet restauration du système
* Coche l'option Désactiver la restauration du système sur tous les lecteurs
* Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet



7) Enfin, si tu n as pas d'autres problèmes, tu peux changer le statut du sujet en résolu : Aide





Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Merci énormément pour ton aide et tes conseils si précieux qui m'ont permis de m'en sortir. Sans cela, j'aurai été contraint de formater mon disque dur !
En plus, j'ai maintenant un meilleure protection et suis mieux informé grâce au dossier "Prévention et sécurité sur internet".

Merci beaucoup !!! (Je m'empresse de changer le statut du sujet en résolu !)