besoin d'aide PC infectéFermé

Question

Bonjour,

Je pense avoir malencontreusement infecté mon ordi car depuis quelques jours firefox ouvre des onglets de manière intempestive, ce qui peut être assez gênant car il s'agit parfois de sites qui lance automatiquement le téléchargement d'executables qui m'ont l'air assez suspects. A côté de il y a quelques fonctionnalités de navigation qui ne marchent plus me semble-t-il. et puis il y a peut etre d'autres choses plus graves que je vois pas comme ça....
J'ai fait un scan antivir et Ad aware mais ss effet.
J'y connais pas grand chose, je sais pas si c grave mais en tout cas c'est assez stressant et très pénible. SI quelqu'un pouvait m'aider à nettoyer tout ça j'en serai vraiment très reconnaissante. 
J'aurais bien posté un rapport pour faciliter la tâche mais je savais pas trop quel logiciel utiliser...


Merci beaucoup !

Configuration: Windows XP / Firefox 3.0.19

Utilisateur anonyme · Answer

Bonjour
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

- http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

* Double-clique sur RSIT.exe pour le lancer .
* Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
* Devant l'option List files/folders created ... , tu choisis  2 months
* Clique ensuite sur Continue pour lancer l'analyse ...
* Laisse faire le scan et ne touche pas au PC ...
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
* Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de  info.txt ici.  
Clique sur parcourir
Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt

Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit

Sophie91 · Answer

Merci pour ton aide !

J'espère que je ne me suis pas trompée dans la manoeuvre, j'ai tout fait hors connexion. voici les 2 fichiers : 

http://www.cijoint.fr/cjlink.php?file=cj201004/cijdUAosVd.txt

http://www.cijoint.fr/cjlink.php?file=cj201004/cijkHM5KCR.txt

Utilisateur anonyme · Answer

Tu dois désactiver le TeaTimer de Spybot, car il va gêner les outils:
* Ouvre Spybot S&D
* Dans le menu Mode, séléctionne le mode avancé.
* Une fenêtre demande confirmation clique sur oui.
* Une fois le mode avancé actif, va dans l'onglet Outils.
* Clique sur Résident.
* La partie Résident comporte deux lignes qui sont normalement cochées :
=>Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
=>Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
* Décoche la ligne TeaTimer.
* Redémarre Spybot (le fermer et le réouvrir)
* Retourne dans le menu Résident  et vérifie qu'il soit bien désactivé.


Télécharge USBFix (de El Desaparecido, C_XX et Chimay8)  sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.txt­
ou
https://www.ionos.fr/?affiliate_id=77097 

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Sélectionne l'option 2 (suppression)

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Je dois partir, je reviendrai ce soir

Sophie91 · Answer

voilà tout ça c'est fait, voici le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201004/cijE98ylah.txt


du coup les icônes d'antivir, ad-aware, etc que j'avais en bas à droite ont disparues, c'est normal ?


merci et à plus tard !

Sophie91 · Answer

ah oui j'ai oublié de préciser, j'ai pas branché mon disque dur externe car j'avais bien pris soin de ne pas le connecter depuis que "l'incident" est arrivé...

Utilisateur anonyme · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em et enregistre le sur ton bureau
http://sd-1.archive-host.com/...
double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Une fois terminée , clic sur "terminer" et le programme se lancera seul

Choisis l'option Search

Une icône blanche et noire va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
Une autre rouge et noir te servira a désinstaller le prog a la fin de la désinfection.

? laisse travailler l'outil

A l'apparition de la fenêtre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

Un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

Sophie91 · Answer

désolé ! je pense avoir tout désactivé cette fois.

voila le rapport List'em : 

http://www.cijoint.fr/cjlink.php?file=cj201004/cij8im43GA.txt


dois je désinstaller le programme ?

Utilisateur anonyme · Answer

non, attends c'est pas finit
? Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

? choisis l'Option Clean

Ton PC va redemarrer,

Laisse travailler l'outil.

En fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

? Colle le contenu dans ta réponse

Sophie91 · Answer

voici le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201004/cijOsjN9i8.txt

Utilisateur anonyme · Answer

as tu toujours ces onglets intempestif ?

Sophie91 · Answer

ben disons que c'était pas tout le temps donc je pourrais pas te dire, je les avais pendant ton absence cette aprem mais là je sais pas encore. 

si jamais ils réapparaissent, je peux réactiver le fil de discussion ?

est ce que le rapport final te semblait bon ?  

en tous les cas merci pour ton aide (et ta patience ! )

Utilisateur anonyme · Answer

l'outil a fait du nettoyage

Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller

Sophie91 · Answer

bon ce fut long mais je dirais positif : 

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4028

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

24/04/2010 01:34:03
mbam-log-2010-04-24 (01-34-03).txt

Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 201223
Temps écoulé: 1 heure(s), 27 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



donc un grand merci à toi Nathandre, je te tiens au courant si les soucis reviennent (ou pas). tu me conseilles de désinstaller tous les logiciels que j'ai téléchargé ? (ou peut etre est ce pas fini ?)

Sophie91 · Answer

bon ben je me suis un peu avancée, c'est toujours là.

Sophie91 · Answer

si ça peut aider le site sur lequel il se connecte régulièrement est le suivant : 
http://www2.securepccare6.xorg.pl

Utilisateur anonyme · Answer

Bonjour
Supprime RSIT, USBFix et List Kill'em, et tout ce qui les concerne placé dans C

Ensuite, on va faire un examen plus détaillé


* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

Sophie91 · Answer

Bonjour Nathandre,

désolée de n'avoir pas pu te répondre plus tôt. Je devrai encore m'absenter tout à l'heure, il est donc possible que je n'ai ta réponse qu'à mon retour, j'espere que ça ne te derange pas.
je poste le rapport directement ds le message car cijoint n'en veux pas (?).
il est en 2 morceaux : 

Rapport de ZHPDiag v1.25.1408 par Nicolas Coolman
Run by Ludovic at 24/04/2010 16:39:23
Web site :  http://www.premiumorange.com/zeb-help-process/zhpdiag.html

---\ Web Browser
MSIE: Internet Explorer v6.0.2900.2180
MFIE: Mozilla Firefox (3.0.19)

---\ System Information
Platform : Microsoft Windows XP (5.1.2600) Service Pack 2
Processor: x86 Family 6 Model 15 Stepping 6, GenuineIntel
Operating System: 32 Bits
Boot mode: Normal (Normal boot)
Total RAM: 1023 MB (26% free)
System drive C: has 22 GB (55%) free of 39 GB

---\ DOS/Devices
C:\ Hard drive, Flash drive, Thumb drive (Free 22 Go of 39 Go)
D:\ Hard drive, Flash drive, Thumb drive (Free 8 Go of 20 Go)
E:\ Hard drive, Flash drive, Thumb drive (Free 8 Go of 108 Go)
G:\ Hard drive, Flash drive, Thumb drive (Free 160 Go of 259 Go)
H:\ CD-ROM drive (Not Inserted)
I:\ CD-ROM drive (Not Inserted)


---\ Security Center & Tools Informations
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiSpywareOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: OK


---\ Processus lancés
[MD5.8408BF02EDFF7916FC3C61BAB7C0A994] - (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- C:\WINDOWS\system32\NvCpl.dll   [7323648]
[MD5.42453173843A7AFF35AADF66F8B2FBAE] - (.NVIDIA Corporation - NVIDIA Media Center Library.) -- C:\WINDOWS\system32\NvMcTray.dll   [86016]
[MD5.6F8F0EF862C6F67A09674620B7F5F418] - (.Lavasoft - Ad-Aware Tray Application.) -- C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe   [524632]
[MD5.1983A11F702BDC5DB65B4B0F376FF6FD] - (.Analog Devices, Inc. - SMax4PNP.) -- C:\Program Files\Analog Devices\Core\smax4pnp.exe   [868352]
[MD5.AC3197063BF23C53D5DCBA0D575FD2E9] - (.Analog Devices, Inc. - Audio Control Panel.) -- C:\Program Files\Analog Devices\SoundMAX\Smax4.exe   [729088]
[MD5.64A87C2EFBAF1E03500C73E43E6B505A] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Winamp\winampa.exe   [37888]
[MD5.8112D0DACAE746290FC87B3A980FA719] - (.Nero AG - NeroCheck.) -- C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe   [153136]
[MD5.A2D390F1F2408B94EF34BFE3A00C29D3] - (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe   [148888]
[MD5.452FA961163EF4AEE4815796A13AB2CF] - (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe   [35696]
[MD5.5676E75F98FF8E0F81DFF604A09288BB] - (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe   [198160]
[MD5.29680A793F690EEF4AAA68479D2A6DF8] - (.Avira GmbH - Antivirus System Tray Tool.) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe   [209153]
[MD5.DA1919D896DBD5895E138932AE9E398B] - (.Microsoft Corporation - Choix de navigateur .) -- C:\WINDOWS\system32\browserchoice.exe   [293376]
[MD5.5584247B568C2E53934873F4B655FE6A] - (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe   [15360]
[MD5.86F0D0B3A07C142C81DAB47E8495A822] - (.Nero AG - Nero Home.) -- C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe   [152872]
[MD5.390679F7A217A5E73D756276C40AE887] - (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe   [2260480]
[MD5.9015BC03F62940527EC92D45EE89E46F] - (.Avira GmbH - Antivirus Scheduler.) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe   [108289]
[MD5.B8720A787C1223492E6F319465E996CE] - (.Avira GmbH - Antivirus On-Access Service.) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe   [185089]
[MD5.FD2C83A58FEAB0751E723B1676BDBF46] - (.ASUSTeK COMPUTER INC. - ASUS Keyboard Service.) -- C:\WINDOWS\ATKKBService.exe   [241152]
[MD5.1BD6C2F707A275CB7C16FD99FE0F31CA] - (.Microsoft Corporation - Generic Host Process for Win32 Services.) -- C:\WINDOWS\System32\svchost.exe   [14336]
[MD5.9D6BF82FE50D55F20F8E10E0F6653886] - (.Microsoft Corporation - Applications Services et Contrôleur.) -- C:\WINDOWS\system32\services.exe   [111104]
[MD5.890369AED0DDE1A98F09F7DC239CA2BD] - (.Sun Microsystems, Inc. - Java(TM) Quick Starter Service.) -- C:\Program Files\Java\jre6\bin\jqs.exe   [152984]
[MD5.B30F37242DD1C640DD5C770FF5B378AE] - (.Lavasoft - Ad-Aware Service Application.) -- C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe   [1029456]
[MD5.7A424E40495C01B61C6DD61E38D99024] - (.NVIDIA Corporation - NVIDIA Driver Helper Service, Version 82.65.) -- C:\WINDOWS\system32
vsvc32.exe   [143427]
[MD5.9F3744A5C6F49291A7A685040A013399] - (.Microsoft Corporation - LSA Shell (Export Version).) -- C:\WINDOWS\system32\lsass.exe   [13312]
[MD5.16713686A3C7FE73DDFC553EB4D21829] - (.Microsoft Corporation - Service SNMP.) -- C:\WINDOWS\System32\snmp.exe   [33280]
[MD5.B4EF928E4FAD79364A80ACBA6D999934] - (.Microsoft Corporation - Spooler SubSystem App.) -- C:\WINDOWS\system32\spoolsv.exe   [57856]
[MD5.AB0A7CA90D9E3D6A193905DC1715DED0] - (.Microsoft Corporation - Windows User Mode Driver Manager.) -- C:\WINDOWS\system32\wdfmgr.exe   [38912]


---\ Modification d'une valeur Ini (Changed inifile value, mapped to Registry) (F2)
F2 - REG:system.ini: Shell=explorer.exe


---\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm


---\ Internet Explorer URLSearchHook (R3)
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Bibliothèque d'objets et de contrôles de do.) (No version) -- %SystemRoot%\system32\shdocvw.dll


---\ Browser Helper Objects de navigateur (O2)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} . (.Adobe Systems Incorporated - Adobe PDF Helper for Internet Explorer.) -- C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} . (.AOL LLC. - Winamp IE Toolbar Dynamic Link Library.) -- C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} . (.RealPlayer - RealPlayer Download and Record Plugin.) -- C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} . (.Safer Networking Limited - SBSD IE Protection.) -- C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} . (.Sun Microsystems, Inc. - Java(TM) Quick Starter binary.) -- C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll


---\ Internet Explorer Toolbars (O3)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} . (.AOL LLC. - Winamp IE Toolbar Dynamic Link Library.) -- C:\Program Files\Winamp Toolbar\winamptb.dll


---\ Applications démarrées automatiquement par le registre (O4)
O4 - HKLM\..\Run: [NvCplDaemon] . (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- C:\WINDOWS\system32\NvCpl.dll 
O4 - HKLM\..\Run: [NvMediaCenter] . (.NVIDIA Corporation - NVIDIA Media Center Library.) -- C:\WINDOWS\system32\NvMcTray.dll 
O4 - HKLM\..\Run: [Ad-Watch] . (.Lavasoft - Ad-Aware Tray Application.) -- C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe 
O4 - HKLM\..\Run: [SoundMAXPnP] . (.Analog Devices, Inc. - SMax4PNP.) -- C:\Program Files\Analog Devices\Core\smax4pnp.exe 
O4 - HKLM\..\Run: [SoundMAX] . (.Analog Devices, Inc. - Audio Control Panel.) -- C:\Program Files\Analog Devices\SoundMAX\Smax4.exe 
O4 - HKLM\..\Run: [WinampAgent] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Winamp\winampa.exe 
O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe 
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe 
O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe 
O4 - HKLM\..\Run: [avgnt] . (.Avira GmbH - Antivirus System Tray Tool.) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 
O4 - HKLM\..\RunOnce: [KB976002-v5] . (.Microsoft Corporation - Choix de navigateur .) -- C:\WINDOWS\system32\browserchoice.exe 
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] . (.Nero AG - Nero Home.) -- C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe 
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - Global Startup: OpenOffice.org 3.1.lnk . (.Pas de propriétaire - Pas de description.)  -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe


---\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)
O8 - Extra context menu item: &Winamp Search . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbaresources\en-US\local\search.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver . (.Google Inc. - Google Photos Screensaver.) -- C:\WINDOWS\system32\GPhotos.scr


---\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} . (.not file.) - (.not file.)
O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} . (.Microsoft Corporation - Windows Messenger.) -- C:\Program Files\Messenger\msmsgs.exe


---\ Winsock hijacker (Layered Service Provider) (O10)
O10 - WLSP:\000000000001\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll
O10 - WLSP:\000000000002\Winsock LSP File . (.Microsoft Corporation - LDAP RnR Provider DLL.) -- C:\WINDOWS\system32\winrnr.dll
O10 - WLSP:\000000000003\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll


---\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab


---\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} . (.Microsoft Corporation - Contrôleur de site Web.) -- C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} . (.Microsoft Corporation - Objet du service d'environnement Systray.) -- C:\WINDOWS\system32\stobject.dll


---\ Clé de Registre autorun SharedTaskScheduler (STS) (O22)
O22 - SharedTaskScheduler: (no name) - {8C7461EF-2B13-11d2-BE35-3078302C2030} . (.Microsoft Corporation - Bibliothèque de l'interface utilisateur du.) -- C:\WINDOWS\system32\browseui.dll


---\ Liste des services NT non Microsoft et non désactivés (O23)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) . (.Avira GmbH - Antivirus Scheduler.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) . (.Avira GmbH - Antivirus On-Access Service.) - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) . (.ASUSTeK COMPUTER INC. - ASUS Keyboard Service.) - C:\WINDOWS\ATKKBService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) . (.Sun Microsystems, Inc. - Java(TM) Quick Starter Service.) - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service (Lavasoft Ad-Aware Service) . (.Lavasoft - Ad-Aware Service Application.) - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) . (.NVIDIA Corporation - NVIDIA Driver Helper Service, Version 82.65.) - C:\WINDOWS\system32
vsvc32.exe


---\ Tâches planifiées en automatique (O39)
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\WGASetup.job


---\ Composants installés (ActiveSetup Installed Components) (O40)
O40 - ASIC: Personnalisation du navigateur - >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS . (.Pas de propriétaire - Pas de description.) -- RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
O40 - ASIC: Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608500} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\binegutils.dll
O40 - ASIC: NetMeeting 3.01 - {44BBA842-CC51-11CF-AAFA-00AA00B6015B} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msnetmtg.inf
O40 - ASIC: Windows Messenger 4.7 - {5945c046-1e7d-11d1-bc44-00c04fd912be} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msmsgs.inf
O40 - ASIC: Microsoft Windows Media Player - {6BF52A52-394A-11d3-B153-00C04F79FAA6} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\wmp.inf
O40 - ASIC: Adobe Flash Player - {D27CDB6E-AE6D-11cf-96B8-444553540000} . (.Adobe Systems, Inc. - Adobe Flash Player 10.0 r42.) -- C:\WINDOWS\system32\Macromed\Flash\Flash10d.ocx


---\ Pilotes lancés au démarrage (O41)
O41 - Driver: Enhanced Display Driver Helper Service (asuskbnt) . (.ASUSTeK COMPUTER INC. - ASUS Help driver For Keyboard Service..) - C:\WINDOWS\system32\drivers\atkkbnt.sys
O41 - Driver: avgio (avgio) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
O41 - Driver: avipbb (avipbb) . (.Avira GmbH - Avira Driver for RootKit Detection.) - C:\WINDOWS\system32\DRIVERS\avipbb.sys
O41 - Driver: ssmdrv (ssmdrv) . (.Avira GmbH - AVIRA SnapShot Driver.) - C:\WINDOWS\system32\DRIVERS\ssmdrv.sys


---\ Logiciels installés (O42)
O42 - Logiciel: ASUS Enhanced Display Driver - (.ASUSTeK COMPUTER INC..) [HKLM]
O42 - Logiciel: ASUS GameFace Library - (.ASUSTeK Computer Inc..) [HKLM]
O42 - Logiciel: ASUS GameLiveShow - (.ASUSTeK Computer Inc..) [HKLM]
O42 - Logiciel: ASUS SmartDoctor - (.Nom de votre société.) [HKLM]
O42 - Logiciel: ASUS Utilities - (.ASUSTeK Computer Inc..) [HKLM]
O42 - Logiciel: ASUS VideoSecurity Online - (.ASUSTeK Computer Inc..) [HKLM]
O42 - Logiciel: ASUS nVIDIA Driver - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Ad-Aware - (.Lavasoft.) [HKLM]
O42 - Logiciel: Adobe Flash Player 10 ActiveX - (.Adobe Systems Incorporated.) [HKLM]
O42 - Logiciel: Adobe Flash Player 10 Plugin - (.Adobe Systems Incorporated.) [HKLM]
O42 - Logiciel: Adobe Reader 9.1 - Français - (.Adobe Systems Incorporated.) [HKLM]
O42 - Logiciel: Archiveur WinRAR - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: AsusUpdate - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Avira AntiVir Personal - Free Antivirus - (.Avira GmbH.) [HKLM]
O42 - Logiciel: BitTorrent - (.BitTorrent, Inc.) [HKLM]
O42 - Logiciel: DVD Shrink 3.2 - (.DVD Shrink.) [HKLM]
O42 - Logiciel: GameFace Messenger - (.AceGain, Inc..) [HKLM]
O42 - Logiciel: GigaTribe 2.52 - (.ShalSoft.) [HKLM]
O42 - Logiciel: High Definition Audio Driver Package - KB835221 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Hotfix for Windows XP (KB954550-v5) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Hotfix for Windows XP (KB976002-v5) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Intel(R) PRO Network Connections SNMP Agent - (.Intel.) [HKLM]
O42 - Logiciel: Java(TM) 6 Update 13 - (.Sun Microsystems, Inc..) [HKLM]
O42 - Logiciel: MSXML 4.0 SP2 (KB954430) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: MSXML 4.0 SP2 (KB973688) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: MSXML 6 Service Pack 2 (KB973686) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Malwarebytes' Anti-Malware - (.Malwarebytes Corporation.) [HKLM]
O42 - Logiciel: Marvell Miniport Driver - (.Marvell.) [HKLM]
O42 - Logiciel: Microsoft .NET Framework 2.0 Service Pack 2 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft .NET Framework 3.0 Service Pack 2 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft .NET Framework 3.5 SP1 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Mozilla Firefox (3.0.19) - (.Mozilla.) [HKLM]
O42 - Logiciel: NVIDIA Drivers - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Nero 7 Essentials - (.Nero AG.) [HKLM]
O42 - Logiciel: OpenOffice.org 3.1 - (.OpenOffice.org.) [HKLM]
O42 - Logiciel: PC Wizard 2008.1.871 - (.Laurent KUTIL & Franck DELATTRE.) [HKLM]
O42 - Logiciel: Picasa 3 - (.Google, Inc..) [HKLM]
O42 - Logiciel: REALTEK GbE & FE Ethernet PCI-E NIC Driver - (.Realtek.) [HKLM]
O42 - Logiciel: RealPlayer - (.RealNetworks.) [HKLM]
O42 - Logiciel: SoulSeek 157 NS 13e - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: SoundMAX - (.Analog Devices.) [HKLM]
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM]
O42 - Logiciel: TVAnts 1.0 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: TVUPlayer 2.5.0.1 - (.TVU networks.) [HKLM]
O42 - Logiciel: Time Adjuster STANDARD 3.1 - (.IrekSoftware.com.) [HKCU]
O42 - Logiciel: Update for Microsoft .NET Framework 3.5 SP1 (KB963707) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: VLC media player 1.0.1 - (.VideoLAN Team.) [HKLM]
O42 - Logiciel: Veetle TV 0.9.15 - (.Veetle, Inc.) [HKLM]
O42 - Logiciel: Visual C++ 2008 x86 Runtime - (v9.0.30729) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Visual C++ 2008 x86 Runtime - v9.0.30729.01 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Winamp - (.Nullsoft, Inc.) [HKLM]
O42 - Logiciel: Winamp Toolbar - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Windows Imaging Component - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Installer 3.1 (KB893803) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Media Format Runtime - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: neroxml - (.Nero AG.) [HKLM]

---\ HKCU & HKLM Software Keys
[HKCU\Software\ALWIL Software]
[HKCU\Software\ASUS]
[HKCU\Software\Adobe]
[HKCU\Software\Ahead]
[HKCU\Software\Analog Devices]
[HKCU\Software\Avira]
[HKCU\Software\Classes]
[HKCU\Software\Clients]
[HKCU\Software\DVD Shrink]
[HKCU\Software\Gameface]
[HKCU\Software\Google]
[HKCU\Software\Intel]
[HKCU\Software\IrekZielinskiSoft]
[HKCU\Software\JavaSoft]
[HKCU\Software\Lavasoft]
[HKCU\Software\Macromedia]
[HKCU\Software\Malwarebytes' Anti-Malware]
[HKCU\Software\Memeo]
[HKCU\Software\Mozilla]
[HKCU\Software\NVIDIA Corporation]
[HKCU\Software\Nero]
[HKCU\Software\Netscape]
[HKCU\Software\OpenOffice.org]
[HKCU\Software\PC Wizard]
[HKCU\Software\Policies]
[HKCU\Software\RealNetworks]
[HKCU\Software\Safer Networking Limited]
[HKCU\Software\ShalSoft]
[HKCU\Software\SoulSeek]
[HKCU\Software\Soulseek2]
[HKCU\Software\TVANTS]
[HKCU\Software\TVU networks]
[HKCU\Software\Veetle]
[HKCU\Software\WinRAR SFX]
[HKCU\Software\WinRAR]
[HKCU\Software\Winamp Toolbar]
[HKCU\Software\Winamp]
[HKLM\Software\471]
[HKLM\Software\781]
[HKLM\Software\ALWIL Software]
[HKLM\Software\ASUSTeK COMPUTER INC.]
[HKLM\Software\ASUS]
[HKLM\Software\AceGain]
[HKLM\Software\Adobe]
[HKLM\Software\Ahead]
[HKLM\Software\America Online]
[HKLM\Software\Analog Devices]
[HKLM\Software\Andrea Electronics]
[HKLM\Software\Audible]
[HKLM\Software\Avira]
[HKLM\Software\C07ft5Y]
[HKLM\Software\CDDB]
[HKLM\Software\Classes]
[HKLM\Software\Clients]
[HKLM\Software\DivXNetworks]
[HKLM\Software\Gemplus]
[HKLM\Software\Google]
[HKLM\Software\INTEL]
[HKLM\Software\InstallShield]
[HKLM\Software\InstalledOptions]
[HKLM\Software\JavaSoft]
[HKLM\Software\Lavasoft]
[HKLM\Software\Macromedia]
[HKLM\Software\Marvell]
[HKLM\Software\MimarSinan]
[HKLM\Software\MozillaPlugins]
[HKLM\Software\Mozilla]
[HKLM\Software\NVIDIA Corporation]
[HKLM\Software\Nero]
[HKLM\Software\Nullsoft]
[HKLM\Software\ODBC]
[HKLM\Software\OpenOffice.org]
[HKLM\Software\Policies]
[HKLM\Software\Program Groups]
[HKLM\Software\RTLSetup]
[HKLM\Software\RealNetworks]
[HKLM\Software\Realtek]
[HKLM\Software\RegisteredApplications]
[HKLM\Software\RichFX]
[HKLM\Software\Safer Networking Limited]
[HKLM\Software\Schlumberger]
[HKLM\Software\Secure]

Sophie91 · Answer

bon en + j'arrive pas à poster la seconde moitié, "syntax error". faut vraiment que j'y aille. à mon retour, je te fais une réponse nickel, désolée !

Sophie91 · Answer

ca y est il a fallu que je mette le rapport sur un fichier .odt pour que cijoint l'accepte, j'espere que c pas un problème.

http://www.cijoint.fr/cjlink.php?file=cj201004/cijVbZNZIS.odt

sinon j'ai une question : j'ai relancé spybot et du coup il constate tt un tas de modifs, dois je les accepter ou les refuser ?

Utilisateur anonyme · Answer

* Lance ZHPFix (tu dois avoir un raccourci sur ton Bureau, sinon tu peux le lancer à partir de ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle la ligne suivante et place la dans ZHPFix : 

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

Sophie91 · Answer

j'espere que c de ce rapport là dt tu parles : 

ZHPFix v1.12.3093  by Nicolas Coolman - Rapport de suppression du 24/04/2010 23:16:54
Fichier d'export Registre : C:\ZHPExportRegistry-24-04-2010-23-16-54.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified  => Donnée supprimée avec succès

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 2
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 1
Autre : 0


End of the scan

Utilisateur anonyme · Answer

toujours des problèmes après cela ?

Sophie91 · Answer

ah bah pour l'instant non, mais j'ai un peu peur  que ça fasse comme hier. 
je te fais signe demain pour te dire si c bon, merci en tt cas. a+

Sophie91 · Answer

Bonjour,

mauvaise nouvelle au rallumage ce matin : le probleme est toujours là.

Utilisateur anonyme · Answer

Bonjour
Excuse moi, désolée, entre temps j'ai eu des petits soucis avec mon PC, il est 
comme sa propriétaire, parfois capricieux, je plaisante, revenons au problème

C'est qu'au niveau de Firefox que tu as ce problème ?

Sophie91 · Answer

bonjour, 
désolée aussi pour l'attente. oui c qu'au niveau de firefox (quoi je n'utilise jamais IE). d'ailleurs àça me fait penser j'ai oublié de dire je ne sais pas si ça a la moindre importance, mais le probeleme date de la semaine passée, l'ordi a crashé et après j'avais ça. il un point un fichier hs_err_pid224.log qui est apparu ds le dossier Mozilla : An unexpected error has been detected by Java Runtime Environment:
#
#  EXCEPTION_ACCESS_VIOLATION (0xc0000005) at pc=0x02fc668f, pid=224, tid=3012

etc...

je m'excuse si ça présente aucun intérêt j'y connais rien.
depuis j'ai aussi des problemes avec java (enfin il me semble).

Utilisateur anonyme · Answer

J'ai compris, ton Java comporte une énorme faille de sécurité qui a été 
exploitée
Désactive tout de suite Java deployment toolkit, en attendant
Dans firefox, clique sur outils, et sur modules
complémentaires, clique sur plugins, puis clique sur
désactiver
lorsque tu auras fini de désinfecter le PC, je te conseille après de changer tous tes mots de passe, et d'installer la toute nouvelle version de Java

 Avant de lancer Gmer, je te conseille de sauvegarder tous tes documents,
car on est pas à l'abri d'un plantage                                                                                                                                                                 Il faut impérativement désactiver tous tes logiciels de protection (antivirus, 
antispyware, pare-feu) pour utiliser ce programme
Télécharge Gmer  http://www.gmer.net/
* Clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.

Sophie91 · Answer

je trouve pas Java deployment toolkit

j'ai java platform c la meme chose ?

Utilisateur anonyme · Answer

non, c'est pas la même chose, n'y touche pas
on verra cela après

Sophie91 · Answer

tu es sûre que je dois faire ça car ça fait un peur ! si je sauvegarde tout et que je risque lke plantage est ce que ça serait pas plus simple de formater?

Utilisateur anonyme · Answer

c'est à toi de voir

Sophie91 · Answer

ben je sais pas trop.
est ce que tu peux m'expliquer un peu ce que c'est cette faille et ce que je risque ? il y a pas de traitement moins radical ? si je branche un disque dur externe pour faire des sauvegardes, j'imagine qu'il sera infecté ?

Utilisateur anonyme · Answer

Cette faille
La méthode d'attaque permet d'exécuter du code arbitraire à l'exécution du lanceur web Java. Donc par la suite exécuter avec permissions administratives, des gestes graves et prise de contrôle des machines ciblées. 
C'est une info qui a été diffusée
Si ton PC est infecté, tu rsques d'infecter le disque dur externe

On va faire autre chose
 Télécharge Dr Web CureIt sur ton Bureau :

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

- Double clique drweb-cureit.exe et ensuite clique sur Analyse;

- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
- De retour à la fenêtre principale : clique pour activer Analyse complète
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

Sophie91 · Answer

merci pour ta réponse, est ce que d'après ce que tu as vu des différents rapports tu crois qu'il y eu tt celà sur mon PC : prise de contrôles ou autre, c assez flippant comme truc.
sinon j'ai aussi une question stupide, dois je désactiver les antivirus avant de lancer Dr.Web ?

Sophie91 · Answer

ah oui et aussi j'enlève à nouveau TeaTimer ?

Utilisateur anonyme · Answer

spybot, c'est pas très utile
c'est pas indiqué qu'il faut désactiver l'anti-virus, mais tu peux le faire

Sophie91 · Answer

voila le rapport : 

Processus en mémoire: C:\WINDOWS\System32\svchost.exe:1100;;BackDoor.Tdss.565;Eradiqué.;
RegUBP2b-Ludovic.reg;C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2;Trojan.StartPage.1505;Supprimé.;
A0020720.reg;C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP224;Trojan.StartPage.1505;Supprimé.;
A0020768.exe;C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP224;Program.FPort.20;Irréparable.Quarantaine.;
A0020769.exe;C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP224;Tool.Prockill;Irréparable.Quarantaine.;
File\data007;C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP224\A0020799.exe/data002/{app}\File;Program.FPort.20;;
{app}\File;C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP224\A0020799.exe/data002/{app};Conteneur comporte des objets infectés;;
A0020799.exe/data002\{app}\Proc_end.exe;C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP224\A0020799.exe/data002;Tool.Prockill;;
A0020799.exe/data002\{app}\Prt.exe;C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP224\A0020799.exe/data002;Program.FPort.20;;
data002;C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP224;L'archive contient des éléments infectés;;
A0020799.exe;C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP224;Conteneur comporte des objets infectés;Quarantaine.;
A0020936.reg;C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP225;Trojan.StartPage.1505;Supprimé.;
04 Gefährliche Clowns.mp3;E:
ew4\der plan - geri reig & normalette surprise (1980-81) (1996 ata tak reissue)\geri reig (1980);Modification de Trojan.GhostDog.760;Quarantaine.;

Utilisateur anonyme · Answer

d'accord, je vois

Attention, cet outil n'est pas à utiliser à la légère, et doit
être recommandé que par une personne formée à cet outil
Imprime la procédure

 Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tutoriel pour bien utiliser l'outil
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
Surtout, accepte d'installer la console de récupération
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Sophie91 · Answer

voila : 

ComboFix 10-04-21.01 - Ludovic 25/04/2010  21:41:30.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.1023.567 [GMT 2:00]
Lancé depuis: c:\documents and settings\Ludovic\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Ludovic.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-03-25 au 2010-04-25  ))))))))))))))))))))))))))))))))))))
.

2010-04-25 16:10 . 2010-04-25 16:10	--------	d-----w-	c:\documents and settings\Ludovic\DoctorWeb
2010-04-24 14:39 . 2010-04-24 21:16	--------	d-----w-	c:\program files\ZHPDiag
2010-04-23 22:05 . 2010-04-23 22:05	--------	d-----w-	c:\documents and settings\Ludovic\Application Data\Malwarebytes
2010-04-23 22:05 . 2010-03-29 22:46	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-23 22:05 . 2010-04-23 22:05	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-04-23 22:05 . 2010-04-23 22:05	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-23 22:05 . 2010-03-29 22:45	20824	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-23 20:10 . 2010-04-24 14:34	--------	d-----w-	c:\program files\List_Kill'em
2010-04-21 09:37 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-04-20 12:38 . 2010-04-20 12:38	--------	d-----w-	c:\documents and settings\LocalService\Menu Démarrer
2010-04-20 12:38 . 2010-04-21 09:43	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-04-20 12:38 . 2009-03-30 08:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-04-20 12:38 . 2009-02-13 10:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-04-20 12:38 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-04-20 12:38 . 2010-04-20 12:38	--------	d-----w-	c:\program files\Avira
2010-04-20 12:38 . 2010-04-20 12:38	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2010-04-19 22:02 . 2010-04-19 22:02	--------	d-s---w-	c:\documents and settings\NetworkService\UserData

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-25 15:55 . 2009-08-08 12:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\Soulseek
2010-04-25 08:22 . 2009-08-08 11:51	--------	d-----w-	c:\documents and settings\Ludovic\Application Data\Winamp
2010-04-24 20:37 . 2009-08-09 11:22	1	----a-w-	c:\documents and settings\Ludovic\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-24 14:38 . 2009-08-08 11:42	--------	d-----w-	c:\program files\exe
2010-04-23 21:38 . 2004-08-05 12:00	80748	----a-w-	c:\windows\system32\perfc00C.dat
2010-04-23 21:38 . 2004-08-05 12:00	500900	----a-w-	c:\windows\system32\perfh00C.dat
2010-04-23 14:06 . 2009-08-07 22:02	6527	----a-w-	c:\program files\hijackthis.log
2010-04-23 12:19 . 2009-12-04 19:24	--------	d-----w-	c:\program files	emp
2010-04-23 08:24 . 2004-08-05 12:00	68608	----a-w-	c:\windows\system32\drivers\pci.sys
2010-04-21 13:38 . 2009-08-08 18:55	--------	d-----w-	c:\documents and settings\Ludovic\Application Data\vlc
2010-04-20 12:16 . 2009-08-07 17:29	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-04-20 11:24 . 2009-09-06 11:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\DVD Shrink
2010-04-19 21:21 . 2010-03-08 19:02	443912	----a-w-	c:\documents and settings\Ludovic\Application Data\Real\Update\setup3.10\setup.exe
2010-04-14 18:08 . 2009-11-24 07:08	79488	----a-w-	c:\documents and settings\Ludovic\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-04-11 20:14 . 2009-05-17 20:43	--------	d-----w-	c:\documents and settings\Ludovic\Application Data\U3
2010-04-11 18:46 . 2009-08-09 18:48	--------	d-----w-	c:\documents and settings\Ludovic\Application Data\dvdcss
2010-03-24 17:00 . 2010-03-24 16:59	21292528	----a-w-	c:\documents and settings\Ludovic\Application Data\Real\Update\setup3.10p\RealPlayerSPGold_fr.exe
2010-03-23 09:21 . 2009-08-01 10:03	16504	----a-w-	c:\documents and settings\Ludovic\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-23 09:13 . 2010-03-23 09:13	--------	d-----w-	c:\program files\MSBuild
2010-03-23 09:12 . 2010-03-23 09:12	--------	d-----w-	c:\program files\Reference Assemblies
2010-03-23 09:05 . 2010-03-23 09:05	--------	d-----w-	c:\program files\MSXML 6.0
2010-03-18 19:02 . 2010-03-18 19:02	--------	d-----w-	c:\documents and settings\All Users\Application Data\Western Digital
2010-03-16 20:50 . 2010-03-16 20:49	5514304	----a-w-	c:\documents and settings\Ludovic\Application Data\TVU Networks\AutoUpgrade\TVUPlayer2.5.2.2.exe
2010-03-16 20:49 . 2010-03-16 20:49	--------	d-----w-	c:\documents and settings\Ludovic\Application Data\TVU Networks
2010-03-10 08:03 . 2004-08-05 12:00	417792	----a-w-	c:\windows\system32\vbscript.dll
2010-03-09 18:00 . 2010-03-09 18:00	8405312	----a-w-	c:\documents and settings\Ludovic\Application Data\Real\Update\setup3.10\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
2010-03-09 18:00 . 2010-03-09 18:00	149000	----a-w-	c:\documents and settings\Ludovic\Application Data\Real\Update\setup3.10\chr_helper\LaunchHelper.exe
2010-03-09 18:00 . 2010-03-09 18:00	10309448	----a-w-	c:\documents and settings\Ludovic\Application Data\Real\Update\setup3.10\chr\ChromeInstaller.exe
2010-03-09 17:59 . 2010-03-09 17:59	79368	----a-w-	c:\documents and settings\Ludovic\Application Data\Real\Update\setup3.10\RUP\vista.exe
2010-03-09 17:59 . 2010-03-09 17:59	64000	----a-w-	c:\documents and settings\Ludovic\Application Data\Real\Update\setup3.10\RUP\inst_config\gcapi_dll.dll
2010-03-09 17:59 . 2010-03-09 17:59	52288	----a-w-	c:\documents and settings\Ludovic\Application Data\Real\Update\setup3.10\RUP\inst_config\gtapi.dll
2010-03-09 17:59 . 2010-03-09 17:59	50688	----a-w-	c:\documents and settings\Ludovic\Application Data\Real\Update\setup3.10\RUP\inst_config\fftbapi.dll
2010-03-09 17:59 . 2010-03-09 17:59	49152	----a-w-	c:\documents and settings\Ludovic\Application Data\Real\Update\setup3.10\RUP\inst_config\CarboniteCompatibility.dll
2010-03-09 17:59 . 2010-03-09 17:59	118784	----a-w-	c:\documents and settings\Ludovic\Application Data\Real\Update\setup3.10\RUP\inst_config\compat.dll
2010-02-26 06:12 . 2004-08-05 12:00	666112	----a-w-	c:\windows\system32\wininet.dll
2010-02-26 06:12 . 2004-08-05 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2010-02-24 12:31 . 2004-08-05 12:00	454016	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:32 . 2004-08-05 12:00	2139136	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:32 . 2004-08-04 00:49	2018816	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 04:46 . 2004-08-05 12:00	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:01 . 2004-08-05 12:00	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
2009-12-26 16:15 . 2009-12-26 16:15	10053112	----a-w-	c:\program files\picasa3-setup.exe
2009-12-16 20:34 . 2009-12-16 20:33	5336876	----a-w-	c:\program files\TVUPlayer.zip
2009-11-29 22:15 . 2009-11-29 22:15	953448	----a-w-	c:\program files	ime-adjuster_time_adjuster_3.1_francais_11087.zip
2009-11-07 18:07 . 2009-11-07 18:07	429290	----a-w-	c:\program files\u95.zip
2009-10-30 20:25 . 2009-10-30 20:25	3004832	----a-w-	c:\program files\BitTorrent-6.3.exe
2009-10-04 15:33 . 2009-10-04 15:33	3823704	----a-w-	c:\program files\veetle-0.9.15.exe
2009-09-21 12:34 . 2009-09-21 12:33	1665325	----a-w-	c:\program files\agfreesetup.exe
2009-09-19 13:56 . 2009-09-19 13:56	2771584	----a-w-	c:\program files	vants.exe
2009-09-07 13:35 . 2009-09-07 13:35	1734086	----a-w-	c:\program files\gigatribe_setup252.exe
2009-09-06 11:20 . 2009-09-06 11:20	1104734	----a-w-	c:\program files\dvdshrink_dvdshrink_3.2.0.16_vf_francais_11021.zip
2009-08-07 17:31 . 2009-08-07 17:31	212843	----a-w-	c:\program files\hijackthis_199.zip
2009-08-07 17:30 . 2009-08-07 17:30	401720	----a-w-	c:\program files\HiJackThis.exe
2009-07-10 11:39 . 2009-09-18 20:20	350720	----a-w-	c:\program files\hjsplit.exe
2009-06-15 12:22 . 2009-06-15 12:22	7645176	----a-w-	c:\program files\Firefox Setup 3.0.11.exe
2004-08-04 10:17 . 2009-09-06 11:21	1128203	----a-w-	c:\program files\dvdshrink32setup_FR.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-14 7323648]
"nwiz"="nwiz.exe" [2005-12-14 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-14 86016]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-12 524632]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-09 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2009-08-10 198160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\Ludovic\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^Ludovic^Menu Démarrer^Programmes^Démarrage^GigaTribe.lnk]
path=c:\documents and settings\Ludovic\Menu Démarrer\Programmes\Démarrage\GigaTribe.lnk
backup=c:\windows\pss\GigaTribe.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS SmartDoctor]
2005-12-27 18:33	1064960	----a-w-	c:\program files\ASUS\SmartDoctor\SmartDoctor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GameFace Messenger]
2005-08-11 02:39	1916928	----a-w-	c:\program files\GameFace Messenger\GameFace.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\GameFace Messenger\GameFace.exe"=
"c:\Program Files\SoulseekNS\slsk.exe"=
"c:\Program Files\Java\jre6\bin\javaw.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Program Files\GigaTribe\gigatribe.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\TVUPlayer\TVUPlayer.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [07/08/2009 19:28 64160]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [20/04/2010 14:38 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1029456]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys --> c:\windows\system32\DRIVERS\wdcsam.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-04-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 18:28]

2010-04-25 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-08-07 20:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbaresources\en-US\local\search.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - c:\documents and settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\em6ibau1.default\
FF - prefs.js: browser.search.selectedEngine - WikipÃ©dia (fr)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Real\RealPlayer\browserrecord\components
prpbrowserrecordplugin.dll
FF - plugin: c:\documents and settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\em6ibau1.default\extensions\firefox@tvunetworks.com\plugins
pTVUAx.dll
FF - plugin: c:\program files\Google\Picasa3
pPicasa3.dll
FF - plugin: c:\program files\Veetle\Player
pvlc.dll
FF - plugin: c:\program files\Veetle\plugins
pVeetle.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-GameFace_Messenger - c:\windows\iun6002.exe
AddRemove-HijackThis - c:\documents and settings\Ludovic\Bureau\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-25 21:44
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-04-25  21:45:38
ComboFix-quarantined-files.txt  2010-04-25 19:45

Avant-CF: 23 348 617 216 octets libres
Après-CF: 23 505 174 528 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
g:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 016B3DB139394E7C4C91C419BCEAA8DB

Utilisateur anonyme · Answer

comment va le PC ?

Sophie91 · Answer

Bonjour,

Désolée de n'avoir pas répondu plus tôt. Je suis au travail et pas le temps d'accéder à un ordi avant maintenant. Je te dirais comment va le PC ds le soirée une fois rentrée. 
Qu'est ce que tu penses du rapport, il est clean ? est ce que tu voudra que je fasse un autre scan avec Dr Web (ou autres) pour vérif ?
a+

Sophie91 · Answer

ça y est, alors depuis mon retour pas de resurgence du probleme, donc à ce niveau ça a marché, par contre antivir m'a détecté de choses, du coup j'ai fait un scan, il y avait 4 virus (voir rapport plus bas)

Je me demandais également faut il que je fasse quelque chose pour la faille ds JAVA dt tu m'as parlé car j'imagine que du coup je suis tjs vulnérable ? 




La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Ludovic\Application Data\Sun\Java\Deployment\cache\6.0\7\17d93e07-6077ff45
  [0] Type d'archive: ZIP
    --> myf/y/AppletX.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Agent.nai
    --> myf/y/LoaderX.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Agent.nai
C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP225\A0021069.sys
    [RESULTAT]  Contient le cheval de Troie TR/Patched.Gen
Recherche débutant dans 'D:\'
Recherche débutant dans 'E:\'
E:\stuff\TVTool.v9.7.Incl.Keygen-ORiON.zip
  [0] Type d'archive: ZIP
    --> o-ud7fsq.zip
      [1] Type d'archive: ZIP
      --> ORiON.rar
        [2] Type d'archive: RAR
        --> keygen.exe
          [RESULTAT]  Contient le cheval de Troie TR/Orsam.A.788
Recherche débutant dans 'G:\' <Donnees>

Début de la désinfection :
C:\Documents and Settings\Ludovic\Application Data\Sun\Java\Deployment\cache\6.0\7\17d93e07-6077ff45
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c39dc0b.qua' !
C:\System Volume Information\_restore{A76CEAAC-19B3-479B-9E37-CCA4267FEF82}\RP225\A0021069.sys
    [RESULTAT]  Contient le cheval de Troie TR/Patched.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c05dc04.qua' !
E:\stuff\TVTool.v9.7.Incl.Keygen-ORiON.zip
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c29dc2a.qua' !

Utilisateur anonyme · Answer

tu as branché des disques amovibles ?
Vide la quarantaine d'Antivir

Désinstalle complètement Java et télécharge la nouvelle version
https://java.com/fr/
La nouvelle version doit être 6 Update 20

Sophie91 · Answer

ça y est c fait. merci pour ton aide jusqu'à présent nathandre.

est ce que tu peux me dire si tu penses que ça a marché ?

Sophie91 · Answer

ah j'ai oublié de répondre, non j'ai pas branché de disques amovibles récemment, pas depuis l'apparition des problèmes.

Utilisateur anonyme · Answer

tu as combien de disques durs ?

Sophie91 · Answer

décidément je me couche trop tôt ! j'ai 2 disques durs chacun étant partitionnés.

Utilisateur anonyme · Answer

bonjour
décidément je me couche trop tôt
j'ai pas compris ce que tu voulais dire

Sophie91 · Answer

salut. juste que j'ai pas pu répondre hier soir

Utilisateur anonyme · Answer

Apparemment, Antivir a supprimé des cochonneries

on va faire un peu de ménage, et je vais te faire installer après des mises à jour
car ton PC comporte encore 2 grosses failles de sécurité

Il faut nettoyer le outils de désinfection:

* Télécharge ToolsCleaner2 sur ton Bureau 
https://www.commentcamarche.net/telecharger/
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
                          
supprime toolscleaner2 manuellement


*Désactive ta restauration pour supprimer les points de restauration infectés:

Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système                                                                                            Coche la case désactiver la restauration                                                            Clique sur appliquer, puis sur OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur Poste de travail,  clique sur Propriétés, puis sur Restauration système                                                                                           Décoche la case désactiver la restauration                                                                                                                                                                       Clique sur appliquer, puis sur OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). 

Créer un point de restauration propre manuellement:
Démarrer, Programmes
Va dans accessoires, et dans outils système
Sélectionne restauration système
Clique sur suivant
Entre la date du point de restauration que tu veux créer
Clique sur créer, et le point de restauration se crée automatiquement


Un dernier petit nettoyage pour ton PC:

Télécharge C Cleaner Slim
   * Enregistre le sur le Bureau
   * Double-clique sur le fichier pour lancer l'installation
   * Sur la fenêtre de l'installation langage bien choisir français et OK
   * Clique sur suivant
   * Lit la licence, et clique sur j'accepte
   * Clique sur suivant, sur installer, puis sur fermer
   * Double-clique sur l'icône de C Cleaner pour l'ouvrir
   * Clique sur option, et puis avancé
   * Tu décoches effacer uniquement les fichiers du dossier temp de windows plus vieux que 48 heures
   * Clique sur nettoyeur
   * Clique sur windows, et dans la colonne avancé
   * Coche la première case vieilles données du perfetch que celle-là, ce qui te donnes la case vieilles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-là
   *  Clique sur analyser 
   *Clique sur nettoyer et sur la demande de confirmation OK. Tu recommences jusqu'à ce que C Cleaner ne trouve plus rien
   * Clique maintenant sur registre et puis sur chercher les erreurs
   *  Laisse tout coché, et clique sur corriger les erreurs sélectionnées
   *Il te demande de sauvegarder OUI
   *Tu lui donnes un nom pour pouvoir la retrouver et enregistre
   * Clique sur chercher les erreurs sélectionnées et sur la demande de confirmation OK
   * Il supprime, et fermer, tu vérifies en relançant chercher les erreurs
   *Tu retournes dans options, et tu recoches la case effacer uniquement les fichiers, du dossier temps de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du prefetch
   * Tu peux fermer C Cleaner

Sophie91 · Answer

merci pour ta réponse, je suis toujours au travail, donc je ferai celà ce soir en rentrant, mais pour être sûre que j'ai bien compris peux tu me confirmer que pour supprimer les points de restauration infectés, je dois : 
1/ désactiver la restau, redémarrer
2/ immédiatement après avoir redémarré, réactiver la restauration
3/ créer un point de restauration. ds cette ordre ? et il faut que j'entre une date antérieure à la date de l'infection, c bien ça ?

Utilisateur anonyme · Answer

il faut d'abord purger la restauration système, puis créer un point de restauration
propre après, tu mets la date d'aujourd'hui
tu fait dans l'ordre ce que j'ai indiqué
à ce soir

Sophie91 · Answer

ça marche ! à ce soir

Sophie91 · Answer

voilà déjà le rapport toolscleaner, je continue : 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Ludovic\Bureau\ComboFix.exe: trouvé !
C:\Program Files\HijackThis.exe: trouvé !
C:\Program Files\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\List_Kill'em\mbr.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Ludovic\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\hijackthis.log: supprimé !
C:\Program Files\List_Kill'em\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\ZHPDiag: supprimé !

Sophie91 · Answer

ça y est tt est fait à ceci près ccleaner continuait perpetuellement à me trouver la meme erreur, comme s'il arrivait pas à la corriger.

Utilisateur anonyme · Answer

serai-t-il possible de voir quelle erreur que c'est ?

Sophie91 · Answer

oui ça m'avait pas l'air trop méchant, mais je le posterai ce soir.

Sophie91 · Answer

voilà l'erreur persistante : 

Problème : extension de fichiers inutilisées
Donnée : {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Clé du registre : HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Utilisateur anonyme · Answer

Bonsoir
C'est rien du tout
On va faire les mises à jour:
Ton Windows n'est pas à jour
Télécharge et installe le service pack 3 pour Windows XP
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e


Ouvre Adobe
Clique sur aide, et sur recherche de mise à jour
Ensuite, fait ceci:
* Lance Adobe Reader
* Clique sur Edition --> Préférences --> JavaScript
* Décoche Activer Acrobat JavaScript
* Valide
C'est pour désactiver l'interprétation de Javascript dans Adobe,
car c'est source d'infections, et cela ne sert à rien

Il faut installer la dernière version d'Internet Explorer
Télécharge la nouvelle version
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
Désinstalle l'ancienne version, et installe la nouvelle version, plus sûre

Sophie91 · Answer

bonsoir nathandre

merci pour ces conseils, par contre je sais pas comment désinstaller IE ne le trouvant pas ds "ajout/supression de programme"

Sophie91 · Answer

j'ai donc suivi tes conseils en ce qui concerne windows et adobe, par contre je suis navrée mais je sais vraiment pas pour IE, qu'est ce que tu veux l'incompétence ça s'invente pas....

Utilisateur anonyme · Answer

bonjour
installe l'autre et tu verras bien

Sophie91 · Answer

salut,

ça y est. j'ai encore une question : je n'ai pas encore remis spybot mais je sais que quand je le ferai il remarquera forcement plusieurs modifs est ce qu'il faudra que je les accepte ou que je les refuse;

Utilisateur anonyme · Answer

Réactiver le TeaTimer de Spybot, car il va gêner les outils:
* Ouvre Spybot S&D
* Dans le menu Mode, séléctionne le mode avancé.
* Une fenêtre demande confirmation clique sur oui.
* Une fois le mode avancé actif, va dans l'onglet Outils.
* Clique sur Résident.
* La partie Résident comporte deux lignes qui sont normalement cochées :
=>Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
=>Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
* Recoche la ligne TeaTimer.
* Redémarre Spybot (le fermer et le réouvrir)
* Retourne dans le menu Résident  et vérifie qu'il soit bien désactivé.

S'il détecte des modifs, tu me diras ce qu'il détecte

Sophie91 · Answer

ok j'ai rien dit. la dernière fois que je l'avais relancé il avait détecté tout un tas de modifs mais là rien

Utilisateur anonyme · Answer

Dernières recommandations pour préserver et entretenir ton PC:

*Il faut garder Malwarebytes pour scanner une fois de temps en temps ton PC, et
pense à le mettre à jour avant chaque scan.
*Pense à garder à jour Windows et tous tes logiciels pour éviter les failles de sécurité
*Nettoye ton PC régulièrement avec C Cleaner.
*Il faut défragmenter régulièrement le disque dur pour éviter les ralentissements,
et une usure trop rapide du disque dur.
*Soit prudent quand tu surfes, et fait attention lorsque tu installes un logiciel gratuit 
et que tu le mets à jour, il faut refuser les compléments, telles que les barres d'outil.
*Ne télécharge pas de logiciel que tu ne connais pas, sur des sites que 
tu ne connais pas.
*Mieux vaut télécharger des logiciels connus sur des sites de très bonne réputation,
si tu as un doute sur un logiciel que tu veux télécharger, vérifie d'abord sa légitimité.
Je conseille de télécharger les logiciels sur les sites officiels.
*Les logicels P2P( Shaeraza, Bittorent, Emule, limewire), sont à bannir, car
on risque de télécharger avec des fichiers infectés. Attention, ne télécharge jamais 
de cracks avec les logiciels P2P, car tu risques d'attraper le Bagle (ver), ou le Virut, 
virus dangereux.
*Sache que le meilleur anti-virus, c'est ta propre vigilence.
*Fait très attention aussi aux pubs qui proposent des faux logiciels de sécurité, 
des faux anti-spyware, et des faux nettoyeurs de registre, qui sont appelés rogues,
ne clique jamais sur les bannières publicitaires, et fait attention aux fausses pages 
de scan qui te proposent sans rien installer, de scanner ton PC pour voir s'il
est infecté, en fait, ils te proposent un rogue qui va s'installer sans autorisation
sur ton PC, puis va effectuer de faux balayages, va afficher de fausses alertes
pour te pousser à acheter une version commerciale.
*Ne télécharge aussi jamais de logiciels proposés par EoRezo, car ils sont 
néfastes. Ils peuvent modifier la page d'accueil et la base de registre.
*Il est indispensable de faire des sauvegardes régulièrement dans un support
externe, car en cas d'infection, tu auras un double des tes documents importants.

Sophie91 · Answer

Je prends note, merci pour tout : le bon travail effectué  et le temps consacré.

ps : j'ai une dernière petite question : est ce que j'ai un moyen de savoir si mon DD externe est infecté ou pas ?

Utilisateur anonyme · Answer

il faut vérifier avec USBFix, tu branches ton disque dur externe sur ton PC 
sans l'ouvrir, et tu fait USBFix

Sophie91 · Answer

super merci

Utilisateur anonyme · Answer

de rien, et bonne fin de journée

Besoin d'aide PC infecté

70 réponses

Newsletters