J'ai un virus cheval de troie generic 17Fermé

Question

Bonjour,depuis hier soir j'ai un virus ou plusieurs je crois je n'ai aucune idée comment faire pour tout les enlevé car j'ai peur d'enlever tout fichiers important....svp quelqun aider moi

musikfranc · Answer

Voilà le résultat du scan hijackthis..si cela peut aider






Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\arservice.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\DNA\btdna.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AVG\AVG9\avgui.exe
C:\Program Files\AVG\AVG9\avgscanx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://hp-consumer.my.aol.qc.ca/?icid=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://fr.search.yahoo.com/?fr=cb-hp06
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.facebook.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Barre d'outils - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Autres\Application Data\sdra64.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\Webtools\webtools.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\mlJCTliI.dll (file missing)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A646141E-9C9E-4E44-8D2B-63BD4D73CC14} - C:\WINDOWS\system32\ddcAsRKb.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: CCAB - {C6A91056-83E0-4C6E-8DCC-43FC0DFE7A0A} - C:\WINDOWS\system32\d1WSm8CH.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: HelloWorldBHO - {D88E1558-7C2D-407A-953A-C044F5607CEA} - C:\Program Files\Mjcore\Mjcore.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: LimeWire Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Yahoo! Barre d'outils - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AntiSpywareXP 2009] "C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe" /hide
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe"  -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Amok Eggs Four Web] C:\Documents and Settings\All Users\Application Data\part dead amok eggs\city mags.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [skb] rundll32 "aztrojjq.dll",,Run
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKCU\..\Run: [gadcom] "C:\Documents and Settings\Autres\Application Data\gadcom\gadcom.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKCU\..\Run: [X'nBeep] C:\Program Files\X'nBeep 1.1\XnBeep.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [Speeder] "C:\Program Files\Speed Gear\SpeedGear.exe"  /Minimize
O4 - HKCU\..\Run: [32 dale] C:\DOCUME~1\Autres\APPLIC~1\CLOCKB~1\BitsBoob.exe
O4 - HKCU\..\Run: [GameShadow] C:\Program Files\GameShadow\GameShadow.exe /q
O4 - HKCU\..\Run: [M5T8QL3YW3] C:\DOCUME~1\Autres\LOCALS~1\Temp\Fgw.exe
O4 - HKCU\..\Run: [setupupdater0000.exe] C:\Documents and Settings\Autres\Application Data\9C93D1FB128B8ED85D8499F26DA7593D\setupupdater0000.exe
O4 - HKCU\..\Run: [spdfotqb¸] C:\Documents and Settings\Autres\spdfotqb¸.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; InfoPath.2)" -"http://www.southparkstudios.com/games/cc/shootup/main.php"
O4 - HKLM\..\Policies\Explorer\Run: [h612wm] C:\DOCUME~1\Autres\LOCALS~1\Temp\917ded.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - S-1-5-18 Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'SYSTEM')
O4 - S-1-5-18 Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O4 - Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE
O4 - Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - c:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\karna.dat
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O20 - Winlogon Notify: csbdll - C:\WINDOWS\SYSTEM32\csbdll.dll
O20 - Winlogon Notify: mlJCTliI - mlJCTliI.dll (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service Google Update (gupdate1c9af1dd3930f74) (gupdate1c9af1dd3930f74) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Smart91 · Answer

Bonjour, 

En effet tu as plusieurs infectons, mais on va faire une analyse plus poussée: 
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 
  
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.  
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.  
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) 
-  Clique sur la loupe pour lancer l'analyse.  
-  Laisse l'outil travailler, il peut être assez long.  
-  Ferme ZHPDiag en fin d'analyse.  
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/  
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).  
-  Sélectionne le fichier ZHPDiag.txt.  
-  Clique sur "Cliquez ici pour déposer le fichier".  
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.  
-  Copie ce lien dans ta réponse. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

OK. On va faire autrement: 

- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/  
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.  
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :  

--------------------------------------------------------------------------------- 
:reg 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15421B84-3488-49A7-AD18-CBF84A3EFAF6}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{15421B84-3488-49A7-AD18-CBF84A3EFAF6}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C6A91056-83E0-4C6E-8DCC-43FC0DFE7A0A}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C6A91056-83E0-4C6E-8DCC-43FC0DFE7A0A}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D88E1558-7C2D-407A-953A-C044F5607CEA}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D88E1558-7C2D-407A-953A-C044F5607CEA}] 
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=- 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"AntiSpywareXP 2009"=- 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"brastk"=- 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"prunnet"=- 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Amok Eggs Four Web"=- 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"brastk"=- 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"prunnet"=- 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"gadcom"=- 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"32 dale"=- 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"M5T8QL3YW3"=- 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"setupupdater0000.exe"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"AppInit_DLLs"="" 

:files 
c:\program files\webtools\webtools.dll 
c:\windows\system32\d1wsm8ch.dll 
c:\program files\ask.com\genericasktoolbar.dll 
c:\program files\mjcore\mjcore.dll 
c:\program files\antispywarexp2009\antispywarexp2009.exe 
c:\windows\system32\prunnet.exe 
c:\documents and settings\all users\application data\part dead amok eggs\city mags.exe 
c:\windows\system32\brastk.exe 
c:\documents and settings\autres\application data\gadcom\gadcom.exe 
c:\program files\clockb~1\bitsboob.exe 
c:\documents and settings\autres\locals~1	emp\fgw.exe 
c:\documents and settings\autres\application data\9c93d1fb128b8ed85d8499f26da7593d\setupupdater0000.exe 

:commands  
[purity]  
[emptytemp]  
[Reboot]  

---------------------------------------------------------------------------------- 


- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved.  

- Clique maintenant sur le bouton MoveIt!  

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log

Smart 

"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Désolé du retard de ma réponse mais j'étais absent ce week-end.
Est que tu peus essyer maintenat de un ZHPDiag. Comme je l'avais demandé au débute ici ==> https://forums.commentcamarche.net/forum/affich-18178228-j-ai-un-virus-cheval-de-troie-generic-17#2

Smart

Smart91 · Answer

On va faire aurement:
/!\ Utilisateur de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard : 
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
 
Télécharge RSIT et mets l'exécutable sur ton Bureau. ==>http://images.malwareremoval.com/random/RSIT.exe 
Ferme toutes les applications et déconnecte toi dinternet 
Lance RSIT: 
- Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 
- Devant l'option "List files/folders created ..." , tu choisis : 1 months
- Clique ensuite sur " Continue " pour lancer l'analyse ...
- Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
 
Le scan démarre et ne touche pas au PC ... 
Une fois l'analyse terminée, deux fichiers texte s'ouvriront (avec le bloc-note). 
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), 
Tu peux utiliser www.cijoint.fr pour mettre un lien vers les deux rapports 

PS: Pour info les rapports se trouvent dans C:\rsit 

Smart

Smart91 · Answer

Run by Autres at 2010-06-21 19:03:16 
Est-ce un rapport récent ou alors tu n'es pas en France 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Je ne sais pas si ton rapport est à la bonne date, car de plus je vois que tu as un second antivirus Avast 5 qui n'était pas présent dans le premier rapport. Il faut garder un seul antivirus. Et comme tu es sacrément infecté, evite d'aller sur des sites non viables le temps de la désinfection. Fais ceci: - Télécharge Malwarebytes - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement. - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) - Lance une analyse complète en cliquant sur "Exécuter un examen complet" - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen" - L'analyse peut durer un bon moment..... - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats" - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée Ensuite : - Télécharger et enregistrer lopSD sur ton bureau - Double-clic Lop S&D - Faire l'installation - Fermer toutes les applications - Double-clic sur le raccourci qui est sur le bureau * Avec VISTA => click-droit et => Exécuter en tant qu'administrateur - Taper F pour français , puis presser entrée - Taper 1 - Presser Entrée - Le PC va redémarrer * Note= si l'antivirus annonce une infection dans TEMP , l'ignorer - Attendre l'apparition du rapport - Copier le rapport et le coller dans la réponse * le rapport se trouve aussi à C:\lopR Cela te fait deux rapports à poster Smart

Smart91 · Answer

OK relance MBAM, vide la quarantaine et redémarre le PC

Ensuite
- Télécharge The Avenger par Swandog46 sur ton Bureau: 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

- Click sur Avenger.zip pour ouvrir le fichier 
- Extraire avenger.exe sur ton bureau 
- Lance The Avenger en cliquant sur son icône du bureau. 
- Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 


--------------------------------------------------------------------------------------

Drivers to disable: 
lpwkmem.sys 
zihowdlphnklk5.sys
ntndis.sys
ipsecndis.sys

Drivers to delete: 
lpwkmem.sys 
zihowdlphnklk5.sys
ntndis.sys
ipsecndis.sys

Files to delete: 
C:\WINDOWS\system32\drivers\lpwkmem.sys
C:\WINDOWS\system32\drivers\zihowdlphnklk5.sys
C:\WINDOWS\system32\Drivers
tndis.sys
C:\WINDOWS\system32\ipsecndis.sys
-------------------------------------------------------------------------------------


- Colle ce texte (Ctrl+V) dans le cadre :Input script here 
-  Appuie sur Execute 
- Le PC va redémarrer 
- Colle le rapport qui va apparaître dans ta réponse

Et colle également le rapport  LOP SD tu ne m'as donné que le nom du fichier , il me faut le contenu

Smart

musikfranc · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "lpwkmem.sys"
Disablement of driver "lpwkmem.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "zihowdlphnklk5.sys"
Disablement of driver "zihowdlphnklk5.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "ntndis.sys"
Disablement of driver "ntndis.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "ipsecndis.sys"
Disablement of driver "ipsecndis.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\lpwkmem.sys" not found!
Deletion of driver "lpwkmem.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\zihowdlphnklk5.sys" not found!
Deletion of driver "zihowdlphnklk5.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services
tndis.sys" not found!
Deletion of driver "ntndis.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\ipsecndis.sys" not found!
Deletion of driver "ipsecndis.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open file "C:\WINDOWS\system32\drivers\lpwkmem.sys"
Deletion of file "C:\WINDOWS\system32\drivers\lpwkmem.sys" failed!
Status: 0xc0000001 (STATUS_UNSUCCESSFUL)


Error:  file "C:\WINDOWS\system32\drivers\zihowdlphnklk5.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\zihowdlphnklk5.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open file "C:\WINDOWS\system32\Drivers
tndis.sys"
Deletion of file "C:\WINDOWS\system32\Drivers
tndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error:  could not open file "C:\WINDOWS\system32\ipsecndis.sys"
Deletion of file "C:\WINDOWS\system32\ipsecndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished!  Terminate.

musikfranc · Answer

Désolé de ne pas l'avoir envoyé mais c'est parce qu'il ne veut pas se valider et j'ai essayé plusieurs fois de l'envoyer mais rien à faire sa donnait toujours le même résultat.

Smart91 · Answer

Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
- Clique sur Parcourir et cherche le répertoire où est installé C:\Lop SD\LopR_1.txt
- Sélectionne le fichier  
- Clique sur "Cliquez ici pour déposer le fichier". 
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
- Copie ce lien dans ta réponse. 

Smart

musikfranc · Answer

Même avec cijoint ça ne fonctionne pas..j'ai essayer avec d'autre fichier et ça marchais.Y a t'il un autre moyen ?

musikfranc · Answer

svchost.exe est ce que c'est un virus ?parce que quand je fais gestionnaire des tâches et que je regarde dans processus il y a environ 10 svchost.exe.Je dis ça parce que sur avg sa dit que c'est de la que viens le virus

Smart91 · Answer

Désolé du retard de ma réponse, mais j'étais absent pendant deux jours.
Essaie de poster le rapport Lop SD avec ce site:
https://www.androidworld.fr/

Smart

musikfranc · Answer

Désolé,J'ai essayé de tout les moyens mais à chaque fois ça ne marche pas parce sois sa marque ''Inernet Explorer ne peut pas afficher cette page''ou si je fait un copier-coller.Sa ne valide pas le rapport.Quel coincidence parce que c'est la seule chose que je ne peut pas vous envoyer...Je suis vraiment désolé de vous faire perdre votre temps ainsi. 

Merci de ne pas m'avoir abandonner comme d'autre aurait peut être fait.

Smart91 · Answer

Bon, laisse de côté le rapport LOP. 
Refais un scan ZHPPDiag et poste le rapoort. Je verrais si l'infection LOP a bien été traité. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

musikfranc · Answer

Quand je fais le diag après 54%.Sa fait un message d'erreur ''Windows - Pas de disque''Exeception processing message etc.... et j'ai le choix entres ''annuler,recommencer,continuer''.Si je prend commencer par exemple le processus de scan continue jusqu'à environ 74 % et ensuite il est écrit un autre message d'erreur''ZHPDiag.''Le service n'a pas pu être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.

Encore une fois désolé et encore merci de votre grande patience et de coopérativité.

Smart91 · Answer

Re-télécharge ZHPDiag:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
Et réinstalle le

Smart

Smart91 · Answer

Si tu as refait le téléchargement il si'installe automatiquement par-dessus l'ancien et sur ton bureau ce n'est qu'un raccourci donc c'est bon.
Refais un scan et poste le rapport

Smart

musikfranc · Answer

Même résultat...le scan s'arrête avec deux messages d'erreurs à chaque fois

Smart91 · Answer

Est-ce que tu peux poster les deux messges d'errreurs et je vais demander de l'aide au développeur de ZHPDiag

Smart

musikfranc · Answer

Le Premier à 54 % est ''Exception Processing Message c0000013 Parameters 75afb9c 75afbf9c''  Et J'ai le choix entre annuler,recommencer ou continuer comme option.

Le Deuxieme à 74% est ''ZHPDiag.''Le service n'a pas pu être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.

Smart91 · Answer

Je me renseigne et reviens vers toi

Smart

Smart91 · Answer

Vu. Avant de trouver d'où vient le problème avec ZHPDiag, on va continuer avec RSIT 
Donc refais un scan RSIT et poste le ou les rapports 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

musikfranc · Answer

Désolé pour le grand retard,Voila le rapport rist et celui pour l'info n'était pas à date alors je ne l'ai pas envoyé.        

http://www.cijoint.fr/cjlink.php?file=cj201007/cijmtlqe2W.txt

Smart91 · Answer

Tu es toujours aussi infecté. Il faudrait éviter de retourner sur les sites malicieux lors d'une désinfections en tre le 7 et le 17 Juillet (soit une semaine) tu t'es rechoppé plein de virus. Il faut repartir à zéro.

Tout d'abord relance MBAM
-  Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) 
-  Lance une analyse complète en cliquant sur "Exécuter un examen complet"
-  Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
-  L'analyse peut durer un bon moment.....
-  Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
-  Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
-  Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Ensuite :

Relance LOP S&D
-  Choisis cette fois-ci l'option 2 (Suppression)
-  Ne ferme pas la fenêtre lors de la suppression !
-  Poste le rapport généré (C:\lopR.txt)

* (Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

Enfin :
-  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/ 
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours 
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.  
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] . 
- Laisse travailler l'outil et ne touche à rien ... 
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log) 
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : 
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Voilà cela te fait 3 rapports à poster

Smart

musikfranc · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4322

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

2010-07-17 19:34:20
mbam-log-2010-07-17 (19-34-20).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 290193
Temps écoulé: 3 heure(s), 11 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 18

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{c6a91056-83e0-4c6e-8dcc-43fc0dfe7a0a} (Trojan.SearchRedir.M) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c6a91056-83e0-4c6e-8dcc-43fc0dfe7a0a} (Trojan.SearchRedir.M) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
et (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prunnet (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gadcom (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\setupupdater0000.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywarexp 2009 (Rogue.AntiSpywareXP) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{455E1CE2-7699-421B-A818-81927FB5CC40}\RP3\A0005094.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{455E1CE2-7699-421B-A818-81927FB5CC40}\RP3\A0005099.exe (Trojan.Zapchast) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\lpwkmem.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\a3539ba9.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\759777f1.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN9.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BNA.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BNB.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Drivers
tndis.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> Delete on reboot.

Smart91 · Answer

Relance MBM et vide la quarantaine. Ensuite redémarre ton PC
Et fais ce que je t'ai dit pus haut

Smart

musikfranc · Answer

Oui desolé pour ne pas avoir fais les deux autres étape.je ne peux pas envoyer Lop SD j'ai essayé avec cijoint et puis en copier-coller mais sa ne l'envoie pas.À chaque fois que j'ai essayé sa n'a pas marché.Aussi la troisième je ne peux pas faire marcher l'application quand j'arrive à l'étape double cliquer sur le fichier sa marque un message d'erreur.

Smart91 · Answer

Bon on va faire autrement 
- Télécharge The Avenger par Swandog46 sur ton Bureau:  
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/  

- Click sur Avenger.zip pour ouvrir le fichier  
- Extraire avenger.exe sur ton bureau  
- Lance The Avenger en cliquant sur son icône du bureau.  
- Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):  


-------------------------------------------------------------------------------------- 

Drivers to disable:  
ntndis.sys  
ipsecndis.sys 
lpwkmem.sys

Files to delete:  
C:\WINDOWS\system32\Drivers
tndis.sys  
C:\WINDOWS\system32\ipsecndis.sys
C:\WINDOWS\system32\drivers\lpwkmem.sys 
------------------------------------------------------------------------------------- 


- Colle ce texte (Ctrl+V) dans le cadre :Input script here  
-  Appuie sur Execute  
- Le PC va redémarrer  
- Colle le rapport qui va apparaître dans ta réponse 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

musikfranc · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "ntndis.sys"
Disablement of driver "ntndis.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "ipsecndis.sys"
Disablement of driver "ipsecndis.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "lpwkmem.sys"
Disablement of driver "lpwkmem.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open file "C:\WINDOWS\system32\Drivers
tndis.sys"
Deletion of file "C:\WINDOWS\system32\Drivers
tndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error:  could not open file "C:\WINDOWS\system32\ipsecndis.sys"
Deletion of file "C:\WINDOWS\system32\ipsecndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error:  could not open file "C:\WINDOWS\system32\drivers\lpwkmem.sys"
Deletion of file "C:\WINDOWS\system32\drivers\lpwkmem.sys" failed!
Status: 0xc0000001 (STATUS_UNSUCCESSFUL)


Completed script processing.

*******************

Finished!  Terminate.

Smart91 · Answer

Télécharge la dernière version de ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

musilkfranc · Answer

Salut,parfois j'écris des messages et quand je reviens sur le forum,ils ne sont plus là et c'est très fatiguant car j'ai l'impression de vous faire perdre votre temps.J'ai posté le rapport mais il n'est plus là.

Smart91 · Answer

On va relancer the avenger car j'ai fait une erreur dans le script
- Lance The Avenger en cliquant sur son icône du bureau. 
- Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 


--------------------------------------------------------------------------

Drivers to disable: 
ntndis 
ipsecndis 
lpwkmem

Drivers to delete:
ntndis 
ipsecndis 
lpwkmem 

Files to delete: 
C:\WINDOWS\system32\Drivers
tndis.sys 
C:\WINDOWS\system32\ipsecndis.sys 
C:\WINDOWS\system32\drivers\lpwkmem.sys

--------------------------------------------------------------------------

- Colle ce texte (Ctrl+V) dans le cadre :Input script here 
- Appuie sur Execute 
- Le PC va redémarrer 
- Colle le rapport qui va apparaître dans ta réponse 

Smart

J'ai un virus cheval de troie generic 17

34 réponses

Discussions similaires

Newsletters