rapport Hijackthis / cheval de troie facebookRésolu/Fermé

Question

Bonjour, 
en surfant sur facebook, mon amie aurait peut être attrapé un cheval de troie.

Elle a cliqué sur "cliquez ici pour voir la vidéo" sur cette page
https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fhome.php!/pages/Voir-pourquoi-cette-femme-divorcee-juste-apres-son-mariage/125753327479045

En faisant quelques recherche, j'ai trouvé que plusieurs personnes disaient que c'était un cheval de troie
http://www.facebook.com/pages/Voir-pourquoi-cette-femme-divorcee-juste-apres-son-mariage/125753327479045!/pages/Cheval-de-Troie/107063252664504

Antivir n'a rien détecté, du coup j'ai préféré faire un rapport Hijackthis pour être sur que mon pc ne soit pas infecté

En espérant que quelqu'un puisse un peu plus m'éclairer sur ce rapport.
Merci d'avance


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:53:49, on 19/10/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18975)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Programmes2\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\Pixart\Pac7302\Monitor.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\cedric\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmes2\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmes2\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\Windows\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\Users\cedric\AppData\Local\Temp\E_S3FC3.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [SEO Soft] C:\Programmes2\internet\stat\stat.exe close 20
O4 - HKCU\..\Run: [Google Update] "C:\Users\cedric\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: LimeWire On Startup.lnk = C:\Programmes2\internet\LimeWire\LimeWire.exe
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Programmes2\adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~3\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~3\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~3\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~3\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://s7.ikariam.fr
O15 - Trusted Zone: http://*.ikariam.fr
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmes2\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Adobe Version Cue CS3 {fr_FR}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN	nslsnr.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\Windows\system32\pr2ah4nc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: wampapache - Apache Software Foundation - C:\Programmes2\log_pro\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - C:\Programmes2\log_pro\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

--
End of file - 10842 bytes




Configuration: Windows Vista / Firefox 3.6.10

benurrr · Answer

salut,rien sur ton rapport pour être sure

télécharge

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

Une fois a jour, le programme va se lancer; clic sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

A la fin du scan clique sur Afficher les résultats

Vérifier si tout est coché et clic Supprimer la sélection

S'il t'es demandé de redémarrer >>> clique sur "Yes"

Et tu poste le rapport générer

cirdec21 · Answer

voila c'est fait voici le rapport 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4884

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

20/10/2010 22:27:31
mbam-log-2010-10-20 (22-27-31).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 933891
Temps écoulé: 8 heure(s), 9 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\cedric\mes document\a graver\instal\deja graver\alcohol\Alcohol 120% FR v1.9.6.5429 (XP_Vista) + Crack By GraineDH\Alcohol 120% FR v1.9.6.5429 (XP_Vista) + Crack\Alcohol 120% FR v1.9.6.5429 (Crack)\Alcohol.exe (Trojan.Agent) -> No action taken.
C:\Users\cedric\mes document\a graver\instal\deja graver\fichier instal Microsoft Office 2007 Entreprise\Microsoft Office 2007 Entreprise French KEYGEN Cd Key  Version Pro, Visio, Project,\Keygen office 2007 all versions.exe (RiskWare.Tool.CK) -> No action taken.

benurrr · Answer

No action taken.tu n'a pas supprimer se qu'il a trouver relance malwarbyte et va dans quarantaine et supprime se qui s'y trouve

cirdec21 · Answer

ah oui exact, voila c'est fait
J'ai fait un scann aussi avec spybot et j'ai refait un scann avec antivir
Y a t'il encore un risque que le cheval de troie soit encore présent ?

benurrr · Answer

Attention aux cracks, c'est un important vecteur d'infection (télécharger un crack ou même visiter un site de crack a de grandes chances d'infecter l'ordinateur) : plus de 40%des infections
1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;) 

https://forum.malekal.com/viewtopic.php?f=33&t=893 
Si tu en as, il faut les supprimer, ou il vont réinfecter continuellement ton pc... 


---------------------------

DÉSACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRÉSENTS !!!!!(car il est détecte a tort comme infection)  

Télécharge ici :List_Kill'em de gen-hackman   

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe


et enregistre le sur ton bureau 

 windows 7 => clic droit "exécuter en tant que administrateur 

sur le raccourci sur ton bureau pour lancer l'installation 

Laisse coché : 

  Exécuter List_Kill'em 

une fois terminée , clic sur "terminer" et le programme se lancera seul 

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu 

choisis l'option Search 

  laisse travailler l'outil 

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agrée" 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué. 

  Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED" 

------  NE LE POSTE PAS SUR LE FORUM------- 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

  Clique sur Parcourir et cherche le fichier C:\List'em.txt 

  Clique sur Ouvrir. 

 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

  Copie ce lien dans ta réponse.

cirdec21 · Answer

voici le rapport de list kill
http://www.cijoint.fr/cjlink.php?file=cj201010/cijjevdX1t.txt

benurrr · Answer

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN 

laisse travailler l'outil. 

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau

cirdec21 · Answer

je lancé l'option CLEAN, voici le rapport 
http://www.cijoint.fr/cjlink.php?file=cj201010/cijLUVvyYF.txt

benurrr · Answer

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

cirdec21 · Answer

voici le rapport
http://www.cijoint.fr/cjlink.php?file=cj201010/cijIF8xDUI.txt

benurrr · Answer

fait vérifier ces fichier sur virus total

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers par contre tu peut verifier le fichier :

C:\Windows\system32\conime.exe 

Clique sur envoyer le fichier.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

par moment il y'a déjà un rapport de prêt toi tu fera réanalyser le fichier maintenant

---------------------------------------

Télécharge UsbFix de C_XX & Chiquitine29

http://www.teamxscript.org/usbfixTelechargement.html


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

* Double clic sur "UsbFix.exe" présent sur ton bureau  ( clic droit "exécuter en tant qu'administrateur" pour Vista & 7 ) 

* Choisis l'option F pour français et tape sur [entrée] .

* Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

* Laisse travailler l'outil.

* Ensuite poste le rapport UsbFix.txt qui apparaitra.

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

cirdec21 · Answer

voici le rapport de virus total du fichier conime.exe   
http://www.cijoint.fr/cjlink.php?file=cj201010/cijRSmmDVd.txt 
ou sur 
http://www.virustotal.com/file-scan/report.html?id=2e661732f83521ab1e33749de7e1478a05bc182b14f101531e908b1b555aca18-1287857566

ce soir, j'ai pas trop le temps
je ferais le scann d'UsbFix demain

cirdec21 · Answer

voici le rapport d'usb fix


############################## | UsbFix 7.033 | [Recherche]

Utilisateur: cedric (Administrateur) # PC-DE-CEDRIC [MEDIONPC MS-7502]
Mis à jour le 23/10/10 par El Desaparecido / C_XX
Lancé à 10:03:04 | 24/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18975

Pare-feu Windows: Activé
RAM -> 3325 Mo 
C:\ (%systemdrive%) -> Disque fixe # 451 Go (66 Go libre(s) - 15%) [BOOT] # NTFS
D:\ -> Disque fixe # 15 Go (11 Go libre(s) - 74%) [RECOVER] # FAT32
H:\ -> Disque fixe # 233 Go (17 Go libre(s) - 7%) [DDPortable Save] # NTFS
I:\ -> Disque fixe # 233 Go (156 Go libre(s) - 67%) [DD Externe] # NTFS
J:\ -> Disque fixe # 298 Go (149 Go libre(s) - 50%) [LaCie] # NTFS
K:\ -> Disque amovible # 8 Go (3 Go libre(s) - 45%) [CED] # FAT32

################## | Éléments infectieux |


Présent! J:\Autorun.inf
Présent! C:	mp
Présent! J:\._autorun.inf

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{6041baaf-8919-11df-b84c-001d927cc104}
Shell\AutoRun\Command = "L:\WD SmartWare.exe" autoplay=true


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

benurrr · Answer

Suppression 

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir

(1) Double clic sur le raccourci UsbFix présent sur ton bureau

(2) Choisi l option 2 ( Suppression )

 Ton bureau disparaitra et le pc redémarrera .

 Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

 Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

cirdec21 · Answer

voila c'est fait, voici le rapport de usbfix 

############################## | UsbFix 7.033 | [Suppression]

Utilisateur: cedric (Administrateur) # PC-DE-CEDRIC [MEDIONPC MS-7502]
Mis à jour le 23/10/10 par El Desaparecido / C_XX
Lancé à 18:30:20 | 24/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18975

Pare-feu Windows: Activé
RAM -> 3325 Mo 
C:\ (%systemdrive%) -> Disque fixe # 451 Go (66 Go libre(s) - 15%) [BOOT] # NTFS
D:\ -> Disque fixe # 15 Go (11 Go libre(s) - 74%) [RECOVER] # FAT32
H:\ -> Disque fixe # 233 Go (17 Go libre(s) - 7%) [DDPortable Save] # NTFS
I:\ -> Disque fixe # 233 Go (161 Go libre(s) - 69%) [DD Externe] # NTFS
J:\ -> Disque fixe # 298 Go (149 Go libre(s) - 50%) [LaCie] # NTFS
K:\ -> Disque amovible # 8 Go (3 Go libre(s) - 45%) [CED] # FAT32

################## | Éléments infectieux |


Supprimé! J:\Autorun.inf
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1073999439-4042438935-1797713252-1000
Supprimé! H:\$RECYCLE.BIN\S-1-5-21-1073999439-4042438935-1797713252-1000
Supprimé! H:\$RECYCLE.BIN\S-1-5-21-1272795182-2165320053-3295772316-1000
Supprimé! H:\$RECYCLE.BIN\S-1-5-21-2829762285-4013729760-2763346447-1004
Supprimé! H:\Recycler\S-1-5-21-2418443846-3877666266-704846338-1006
Supprimé! H:\Recycler\S-1-5-21-3800075213-1282905551-4012676547-1006
Supprimé! H:\Recycler\S-1-5-21-823518204-1078081533-839522115-500
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-1073999439-4042438935-1797713252-1000
Supprimé! J:\$RECYCLE.BIN\S-1-5-21-1073999439-4042438935-1797713252-1000
Supprimé! C:	mp
Supprimé! J:\._autorun.inf

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6041baaf-8919-11df-b84c-001d927cc104}

################## | Listing |

[24/10/2010 - 18:46:55 | SHD ] 	C:\$RECYCLE.BIN
[09/02/2009 - 23:27:40 | N | 1024] 	C:\.rnd
[16/11/2009 - 19:37:21 | D ] 	C:\a
[22/10/2010 - 23:22:14 | N | 4] 	C:\autoexec.bat
[08/02/2010 - 14:48:56 | RASHD ] 	C:\autorun.inf
[06/11/2009 - 14:49:16 | D ] 	C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] 	C:\bootmgr
[26/03/2008 - 14:20:49 | N | 8192] 	C:\BOOTSECT.BAK
[29/10/2008 - 22:46:56 | D ] 	C:\cache
[18/09/2006 - 23:43:37 | N | 10] 	C:\config.sys
[02/11/2006 - 15:02:03 | SHD ] 	C:\Documents and Settings
[24/03/2010 - 21:07:46 | D ] 	C:\FyK
[24/03/2010 - 21:07:46 | N | 1383] 	C:\FyK.txt
[24/10/2010 - 09:19:52 | ASH | 3487748096] 	C:\hiberfil.sys
[29/10/2008 - 22:46:56 | D ] 	C:\inetpub
[29/10/2008 - 22:46:56 | D ] 	C:\Intel
[11/10/2008 - 22:00:20 | N | 0] 	C:\IO.SYS
[22/10/2010 - 23:10:52 | D ] 	C:\Kill'em
[15/01/2009 - 00:37:38 | N | 699] 	C:\LISEZ-MOI
[22/10/2010 - 23:10:52 | N | 56820] 	C:\List'em.txt
[28/09/2010 - 00:07:21 | D ] 	C:\Matisoft
[11/10/2008 - 22:00:20 | N | 0] 	C:\MSDOS.SYS
[29/10/2008 - 22:46:56 | RHD ] 	C:\MSOCache
[29/10/2008 - 22:46:56 | D ] 	C:\oraclexe
[15/09/2010 - 13:58:17 | N | 230432] 	C:\PA7302.DAT
[24/10/2010 - 09:19:50 | ASH | 3801366528] 	C:\pagefile.sys
[29/10/2008 - 22:46:56 | D ] 	C:\PerfLogs
[22/10/2010 - 22:07:30 | D ] 	C:\Program Files
[03/10/2010 - 20:12:47 | HD ] 	C:\ProgramData
[02/09/2010 - 17:19:19 | D ] 	C:\Programmes2
[24/10/2010 - 11:27:24 | SHD ] 	C:\System Volume Information
[14/10/2010 - 00:15:41 | D ] 	C:\Temp
[24/10/2010 - 18:46:55 | D ] 	C:\UsbFix
[24/10/2010 - 18:30:31 | A | 3534] 	C:\UsbFix.txt
[09/02/2009 - 23:34:20 | D ] 	C:\Users
[22/10/2010 - 20:25:31 | D ] 	C:\Windows
[26/03/2008 - 14:54:22 | N | 22] 	D:\SWCONF.DAT
[08/02/2010 - 13:48:58 | RASHD ] 	D:\autorun.inf
[07/03/2008 - 14:08:14 | D ] 	D:\RECOVER
[07/03/2008 - 14:07:42 | D ] 	D:\TOOLS
[28/03/2008 - 10:48:26 | N | 49] 	D:\PASS.RPT
[08/04/2008 - 21:00:56 | SHD ] 	D:\$RECYCLE.BIN
[24/10/2010 - 18:46:55 | SHD ] 	H:\$RECYCLE.BIN
[04/03/2009 - 21:45:04 | D ] 	H:\ancien
[01/08/2010 - 16:05:38 | D ] 	H:\film
[24/10/2010 - 18:46:48 | SHD ] 	H:\RECYCLER
[25/06/2010 - 00:11:36 | D ] 	H:\save my documents
[01/08/2010 - 00:39:19 | SHD ] 	H:\System Volume Information
[24/10/2010 - 18:46:55 | SHD ] 	I:\$RECYCLE.BIN
[21/08/2010 - 22:54:16 | D ] 	I:\Films
[24/10/2010 - 18:46:55 | SHD ] 	J:\$RECYCLE.BIN
[31/07/2010 - 17:51:38 | N | 29018] 	J:\.VolumeIcon.icns
[31/07/2010 - 17:51:38 | N | 25214] 	J:\.VolumeIcon.ico
[23/08/2010 - 23:15:12 | D ] 	J:\20100822 mes documents
[31/07/2010 - 17:51:25 | D ] 	J:\Bin
[31/07/2010 - 17:53:36 | D ] 	J:\DORIGINE
[31/07/2010 - 21:24:01 | D ] 	J:\jeux
[31/07/2010 - 17:51:24 | N | 389] 	J:\LaCie.ini
[31/07/2010 - 20:08:10 | D ] 	J:\PSP
[12/05/2010 - 01:00:52 | D ] 	K:\film
[31/03/2010 - 17:27:32 | D ] 	K:\.Trashes
[31/03/2010 - 17:27:32 | N | 4096] 	K:\._.Trashes
[15/07/2010 - 10:38:06 | N | 6148] 	K:\.DS_Store
[30/07/2010 - 09:24:26 | D ] 	K:\i10
[31/03/2010 - 17:29:28 | D ] 	K:\.Spotlight-V100
[12/05/2010 - 01:01:42 | D ] 	K:\flash
[19/05/2010 - 11:01:58 | N | 59959] 	K:\._11-aout-1953-Eclair-Pyrennees.pdf
[19/08/2010 - 12:10:34 | D ] 	K:\capture video
[19/05/2010 - 11:02:00 | N | 58863] 	K:\._11-aout-1953-lemonde.pdf
[19/05/2010 - 11:02:00 | N | 57489] 	K:\._aout-1953-France-soir.pdf
[19/05/2010 - 11:02:00 | N | 63989] 	K:\._Eclair-Pyrenees-4aout-1953.pdf
[19/05/2010 - 11:02:00 | N | 61962] 	K:\._Eclair-Pyrenees-5 aout-1953-bis.pdf
[19/05/2010 - 11:02:00 | N | 58572] 	K:\._Eclair-Pyrenees-5 aout-1953.pdf
[19/05/2010 - 11:02:02 | N | 57800] 	K:\._Eclair-Pyrenees-17-aout-1953.pdf
[10/03/2010 - 10:50:44 | D ] 	K:\dossier aide
[06/10/2010 - 10:08:28 | D ] 	K:\ANAIS
[01/09/2010 - 21:40:08 | D ] 	K:\15.08.2010

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CEDRIC.zip
http://www.teamxscript.org/Sample/Upload.php
Merci de votre contribution.

################## | E.O.F |

benurrr · Answer

comment va le pc ?

cirdec21 · Answer

RAS, je sais pas si il reste des virus ou des chevals de troie, mais a première vu tout fonctionne normalement

benurrr · Answer

Télécharge DelFix sur ton bureau.

http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

3.1 - Option Recherche

Téléchargez DelFix sur votre bureau.
Lancez le, tapez 1 et validez en appuyant sur [Entrée]
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSearch.txt

-------------------------

3.2 - Option Suppression

Téléchargez DelFix sur votre bureau
Lancez le, tapez 2 et validez en appuyant sur [Entrée]
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt


--------------Après------------------

tu va télécharger Ccleaner http://dl.commentcamarche.net/...

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
. Tu refais tous ca 4-5 fois (le nettoyage et le registre).

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".

içi mode d'emploi pour ccleaner

https://www.malekal.com/tutoriel-ccleaner/

--------------Apres----------------

scan en ligne

fait les scan içi

https://www.eset.com/

içi un tuto

https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

cirdec21 · Answer

rapport après la recherche sur delfix 

Rapport DelFix v6.0 - 25/10/2010 à 22:54,03 
Mis à jour le 22/10/10 à 13h30 par Xplode 
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2 
Navigateur : Mozilla Firefox 3.6.11 (fr) [Navigateur par défaut] 
Processeur : Intel(R) Core(TM)2 Quad  CPU   Q9300  @ 2.50GHz 
Mémoire vive totale : 3,24 Go 
Nom d'utilisateur : cedric - PC-DE-CEDRIC (Administrateur) 
Exécuté depuis : C:\Users\cedric\Desktop\DelFix.exe 


~~~~~~ Dossier(s) ~~~~~~ 

Présent : C:\USBFix 
Présent : C:\FyK 
Présent : C:\Kill'em 
Présent : C:\Program Files\List_Kill'em 

~~~~~~ Fichier(s) ~~~~~~ 

Présent : C:\List'em.txt 
Présent : C:\UsbFix.txt 
Présent : C:\UsbFix_Upload_Me_PC-DE-CEDRIC.zip 
Présent : C:\FyK.txt 
Présent : C:\Users\cedric\Desktop\UsbFix.exe 
Présent : C:\Users\Public\Desktop\ZHPDiag.lnk 
Présent : C:\Users\Public\Desktop\ZHPFix.lnk 

~~~~~~ Registre ~~~~~~ 

Clé Présente : HKLM\Software\OldTimer Tools 
Clé Présente : HKLM\Software\TrendMicro 
Clé Présente : HKCU\SOFTWARE\USBFix 
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix 
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1 
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1 


########## EOF - "C:\DelFixSearch.txt" - [1431 octets] ##########

cirdec21 · Answer

rapport après suppression sur delfix

Rapport DelFix v6.0 - 25/10/2010 à 22:55,36
Mis à jour le 22/10/10 à 13h30 par Xplode
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
Navigateur : Mozilla Firefox 3.6.11 (fr) [Navigateur par défaut]
Processeur : Intel(R) Core(TM)2 Quad  CPU   Q9300  @ 2.50GHz
Mémoire vive totale : 3,24 Go
Nom d'utilisateur : cedric - PC-DE-CEDRIC (Administrateur)
Exécuté depuis : C:\Users\cedric\Desktop\DelFix.exe


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\FyK
Supprimé : C:\Kill'em
Supprimé : C:\Program Files\List_Kill'em

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\List'em.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_PC-DE-CEDRIC.zip
Supprimé : C:\FyK.txt
Supprimé : C:\Users\cedric\Desktop\UsbFix.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\TrendMicro
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1

########## EOF - "C:\DelFixSuppr.txt" - [1448 octets] ##########

benurrr · Answer

bonjour

le scan en ligne sa donne quoi ?

cirdec21 · Answer

voila ce que nod32 a trouvé 

C:\Users\cedric\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\1dd6a40c-6f45d373 Java/TrojanDownloader.Agent.NBK cheval de troie supprimé - mis en quarantaine 
C:\Users\cedric\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\18e502dc-281fa70c une variante de Java/TrojanDownloader.OpenStream.NAU cheval de troie supprimé - mis en quarantaine 
C:\Users\cedric\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\1eff1eb1-6628ad6a Java/TrojanDownloader.Agent.NBL cheval de troie supprimé - mis en quarantaine
C:\Windows\CameraFixer.exe	une variante de Win32/KillProc.A application	nettoyé par suppression - mis en quarantaine


j'ai tout supprimé

Rapport Hijackthis / cheval de troie facebook

22 réponses

Discussions similaires

Newsletters