Pc infecté : bureau et documents disparus !!! [Résolu/Fermé]

Signaler
-
 phiphinomène -
Bonjour,

je rencontre de gros problèmes :.Antivir m'a signalé plusieurs chevaux de troie :
TR/Alureon.CD.5
TR/Crypt.XPACK.Gen3
TR/Dldr.Peltpox.A
TR/Spy.banker.Gen
TR/Kazy.mekml.1

De plus toutes les icones du bureau ont disparu ainsi que les programmes et les fichiers.
J'ai refait un scan en mode sans échec après avoir désactivé la restauration système qui d'ailleurs ne fonctionnait plus.

Antivir me dit qu'il a placé les troyens en quarantaine mais mon pc reste dans le même état : plus de programmes, plus de documents.
Je ne sais vraiment plus quoi faire ...
Je vous envoie le rapport hijackthis en espérant que quelqu'un pourra m'aider !

Merci par avance de l'attention que vous pourrez prêter à mon cas.

Voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:52, on 11/05/2011
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.19048)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe
C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe
C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Raxco\PerfectDisk10\PDAgentS1.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10p_ActiveX.exe
C:\Windows\system32\conime.exe
C:\Users\Sophie Queste\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Sophie Queste\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Sophie Queste\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\rundll32.exe
C:\Users\Sophie Queste\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Sophie Queste\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Sophie Queste\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Sophie Queste\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Sophie Queste\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\Windows\system32\ezShellStart.exe
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DVDAgent] "C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe"
O4 - HKLM\..\Run: [TSMAgent] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe"
O4 - HKLM\..\Run: [CLMLServer for HP TouchSmart] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [TVAgent] "C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\Hewlett-Packard\Media\Webcam" update "Software\Hewlett-Packard\Media\Webcam"
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SmartMenu] %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Sophie Queste\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O13 - Gopher Prefix:
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/3DVIA_player_installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F0463BA-9DD7-4247-96C1-66C5370CC033}: NameServer = 91.121.59.36 91.121.59.46
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\aestsrv.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDEngine.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Program Files\SMINST\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\STacSV.exe
O23 - Service: TV Background Capture Service (TVBCS) (TVCapSvc) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe
O23 - Service: TV Task Scheduler (TVTS) (TVSched) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe

18 réponses

Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic, il donne plus d'informations que Hijackthis :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir" et sélectionne le rapport de ZHPDiag, choisis une durée de conservation illimitée et clique sur "créer le lien Cjoint". Copie/colle le lien fourni dans ta prochaine réponse sur le forum


Bonjour,

Tout d'abord un grand merci de t'intéresser à mon problème!
Après avoir suivi ta démarche, voici le lien contenant le rapport ZHPDiag :
http://cjoint.com/?AEmvFX4DYAN

Je compte sur toi car je n'ai plus de sauvegarde système et j'ai des photos de famille dans le PC que j'aimerais beaucoup ne pas perdre.

A bientôt,

Philippe
Bonsoir Anthony5151,

je suis un ami de phiphinomène et j'ai essayé, sans succès, de le tirer de la panade.
J'ai tenté une restauration du système, elle échoue. J'ai tenté d'utiliser AntiMalware en mode sans échec après avoir suspendu la restauration du système, cela ne marche pas. J'ai aussi fait un scan du système, toujours en mode sans échec et sans restauration : l'antivirus (Antivir) place les fichiers corrompus en quarantaine mais le bureau et les documents restent introuvables.

Je t'écris juste pour te préciser quelques symptômes de la machine malade. J'espère que cela pourra t'aider.
Sous Dos, même son lecteur C:/ est déclaré fichier introuvable. En revanche, si on tape "C:/ windows", il trouve bien le répertoire. Et si on tape "C:/windows/users", il retrouve bien le répertoire. En revanche, sous Windows, tout cela est déclaré vide : aucune application, aucun document.

Moi, j'y perds le peu de latin que je connais...

Merci de l'attention que tu portes au cas de phiphinomène.

A+

Thierry
Bonjour j'ai je crois un probleme similaire avec antivir qui a détecté peltpox. A ... disparition du bureau memes problèmes, si qq peut m'aider merci ;o)
anthony5151
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Bonjour Patrick,

Tu es ici dans une discussion ouverte par quelqu'un d'autre. Pour ne pas tout mélanger, merci d'ouvrir ton propre sujet (pour ça, clique ici), quelqu'un viendra t'y aider.
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Bonsoir à vous deux :)

Commence par désinstaller Spybot : ce logiciel est dépassé, inutile et il peut gêner la désinfection.
D'autre part, l'un de vous deux pourrait-il m'indiquer le nom et l'emplacement des éléments détectés par AntiVir ?


Avant d'aller plus loin dans la désinfection, je voudrais vérifier quelque chose :

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse (il se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt)


P.S :

"après avoir suspendu la restauration du système"
Pour info, il faut éviter de faire ça pendant la désinfection (on peut avoir besoin de restaurer l'ordi en cas de problème), purger les points de restauration à la fin est préférable ;)


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
Bonsoir Anthony5151,

je te réponds à la place de Phiphinomène parce que nous avons tenté ensemble les manoeuvres que tu nous a conseillées.

La désinstallation de Spybot s'est déroulée sans problème. Pour moi ça a été l'occasion d'apprendre que ce logiciel (auquel je faisais confiance ! C'est même moi qui l'ai installé sur son PC ! Mea culpa) est dépassé. Je m'en débarrasse ...

Ensuite, sur la machine de Phiphi, nous avons installé TDSSKiller. Et bang, ça plante. Sur ma machine, sous Windows 7, aucun problème. Mais sur la machine de Phiphi, tout s'arrête après le clic-droit "Exécuter en tant qu'administrateur". Donc, pas moyen de lancer Start Scan et pas de rapport à étudier ...

J'espère que ce dysfonctionnement ne nuira pas à ton diagnostic ou que tu disposes d'une autre manière d'obtenir le rapport le TDSSKiller.

Merci pour l'info sur la suppression des points de restauration ! J'ai pensé qu'il pouvaient être infectés et comme la restauration ne fonctionnait pas, j'ai décidé que leur disparition n'aggraverait pas le problème. J'espère que je n'ai pas aggravé la situation ...

Merci pour le temps que tu consacres à la résolution de cet épineux problème.

J'attends tes conseils,

A+

Thierry
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
On va essayer autrement.


Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.

* Télécharge ComboFix (de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
* Ne touche à rien pendant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


Bonjour Anthony 5151,

UN TRES TRES GRAND MERCI!
Je viens de récupérer mon bureau et mes dossiers suite à la manip que tu as proposée. Je te joins le rapport et attends ton verdict à propos du PC et de la suite.
Vu mes déboires avec Antivir, que me conseillerais-tu comme antivirus et comme fire wall (je suis sous vista). Ne faudrait-il pas migrer vers windws7 ?

Encore merci pour m'avoir permis de récupérer les photos de mes petits bouts!

Philippe


ComboFix 11-05-16.04 - Sophie Queste 17/05/2011 21:04:36.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3068.1942 [GMT 2:00]
Lancé depuis: c:\users\Sophie Queste\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\IxRUyJtqHF.exe
c:\users\Sophie Queste\AppData\Roaming\Microsoft\Windows\Recent\ProfExpert pour Mac.command.pif
c:\users\Sophie Queste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Recovery
.
.
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-17 au 2011-05-17 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-17 19:09 . 2011-05-17 19:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-05-12 18:53 . 2011-05-12 18:53 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-05-12 18:49 . 2011-05-12 18:53 -------- d-----w- c:\program files\ZHPDiag
2011-05-11 16:06 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2011-05-11 16:06 . 2011-05-11 16:06 -------- d-----w- c:\program files\Panda Security
2011-05-08 10:24 . 2011-05-08 10:33 -------- d-----w- c:\windows\BDOSCAN8
2011-05-08 09:09 . 2011-05-08 10:44 -------- d-----w- C:\kazy
2011-05-07 12:33 . 2011-05-17 18:18 1500952 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2011-05-06 17:53 . 2011-04-11 07:04 7071056 ---ha-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{EF942D11-9567-4BCD-8E5C-E56140EA0C4D}\mpengine.dll
2011-04-28 09:29 . 2011-03-03 14:56 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2011-04-28 09:29 . 2011-03-03 13:01 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-04 20:45 . 2009-12-31 21:41 137656 ---ha-w- c:\windows\system32\drivers\avipbb.sys
2011-03-10 16:12 . 2011-04-15 17:22 1136640 ----a-w- c:\windows\system32\mfc42.dll
2011-03-10 16:12 . 2011-04-15 17:22 1161728 ----a-w- c:\windows\system32\mfc42u.dll
2011-03-03 15:00 . 2011-04-15 17:23 738816 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-03 14:56 . 2011-04-28 09:29 173056 ----a-w- c:\windows\apppatch\AcXtrnal.dll
2011-03-03 14:56 . 2011-04-28 09:29 459776 ----a-w- c:\windows\apppatch\AcSpecfc.dll
2011-03-03 14:56 . 2011-04-28 09:29 541696 ----a-w- c:\windows\apppatch\AcLayers.dll
2011-03-03 14:56 . 2011-04-28 09:29 2153984 ----a-w- c:\windows\apppatch\AcGenral.dll
2011-03-03 12:53 . 2011-04-15 17:22 2040832 ----a-w- c:\windows\system32\win32k.sys
2011-03-02 14:49 . 2011-04-15 17:22 86528 ----a-w- c:\windows\system32\dnsrslvr.dll
2011-02-22 12:52 . 2011-04-15 17:22 213504 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-02-22 12:52 . 2011-04-15 17:22 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2011-02-22 12:51 . 2011-04-15 17:22 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-22 12:51 . 2011-04-15 17:22 69632 ----a-w- c:\windows\system32\drivers\bowser.sys
2011-02-22 06:21 . 2011-04-15 17:22 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 06:17 . 2011-04-15 17:22 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 06:16 . 2011-04-15 17:22 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-22 06:16 . 2011-04-15 17:22 71680 ----a-w- c:\windows\system32\iesetup.dll
2011-02-22 06:16 . 2011-04-15 17:22 109056 ----a-w- c:\windows\system32\iesysprep.dll
2011-02-22 05:20 . 2011-04-15 17:22 385024 ----a-w- c:\windows\system32\html.iec
2011-02-22 04:43 . 2011-04-15 17:22 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2011-02-22 04:42 . 2011-04-15 17:22 1638912 ----a-w- c:\windows\system32\mshtml.tlb
2011-02-18 13:31 . 2011-04-15 17:23 304640 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-18 13:31 . 2011-04-15 17:23 146432 ----a-w- c:\windows\system32\drivers\srv2.sys
2011-02-18 13:31 . 2011-04-15 17:23 102400 ----a-w- c:\windows\system32\drivers\srvnet.sys
2011-02-17 06:23 . 2011-04-15 17:23 420864 ----a-w- c:\windows\system32\vbscript.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-12-21 1803064]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-09-29 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-07-24 1348904]
"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-11-28 1148200]
"TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-12-25 1316136]
"CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-12-25 189736]
"TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2009-01-21 210216]
"UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-11-14 218408]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 206128]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-10-09 75008]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-12-08 432432]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-06-03 450652]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2008-11-18 914224]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3934066965-3227034189-2768368309-1000]
"EnableNotificationsRef"=dword:00000001
.
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-09-29 135664]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-09-29 135664]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-06-30 28552]
S2 {55662437-DA8C-40c0-AADA-2C816A897A49};Power Control [2009/04/12 03:59];c:\program files\Hewlett-Packard\Media\DVD\000.fcl [2008-11-28 16:04 87536]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\aestsrv.exe [2009-03-02 81920]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-03 136360]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
S2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [2008-12-17 365952]
S2 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [2008-11-26 296320]
S2 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [2008-11-26 116096]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-11-19 222512]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-09-04 54784]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-10-23 107360]
.
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-06-09 08:14 451872 ---ha-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-29 18:19]
.
2011-05-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-29 18:19]
.
2011-05-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3934066965-3227034189-2768368309-1000Core.job
- c:\users\Sophie Queste\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-11 10:32]
.
2011-05-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3934066965-3227034189-2768368309-1000UA.job
- c:\users\Sophie Queste\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-11 10:32]
.
2009-08-31 c:\windows\Tasks\HPCeeScheduleForSophie Queste.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2009-01-23 10:34]
.
2011-05-17 c:\windows\Tasks\User_Feed_Synchronization-{F16A0261-1644-4154-BF3D-37B01A4FCFBD}.job
- c:\windows\system32\msfeedssync.exe [2011-04-15 04:43]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=91&bd=Pavilion&pf=cnnb
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
TCP: {9F0463BA-9DD7-4247-96C1-66C5370CC033} = 91.121.59.36 91.121.59.46
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-17 21:09
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
"ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"
.
Heure de fin: 2011-05-17 21:13:13
ComboFix-quarantined-files.txt 2011-05-17 19:13
.
Avant-CF: 200 012 091 392 octets libres
Après-CF: 199 977 713 664 octets libres
.
- - End Of File - - 3ECD6911DFBD293726E0ED48376E727F
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Tant mieux :)

Est-ce que tu peux refaire une tentative avec TDSSKiller, par curiosité ?
Ensuite, utilise ce logiciel de désinfection généraliste :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression


Puis poste un nouveau rapport ZHPDiag (pense à l'héberger sur cjoint.com, comme le premier)


Bonjour Anthony 5151,

TDSSKiller ne se lance toujours pas, ni en double clic, ni en clic droit+
exécuter en tant qu'administrateur.

J'ai suivi les consignes pour MBAM qui n'a rien détecté. Voici le lien pour le rapport MBAM pour info :
http://cjoint.com/?AEtwscchMWK

Par contre impossible de créer un lien pour le rapport de ZHPDiag malgré de nombreuses tentatives. Je n'arrives pas non plus à te transmettre la copie dans le message. Je cherche une solution pour y parvenir...

Dans les troyens qui sont rentrés dans le PC figurait "Banker" destiné d'après Thierry à récupérer les coordonnées bancaires. Du coup j'hésite à passer par internet pour acheter un DDE afin de sauvegarder mes fichiers. Penses-tu qu'il y a un risque possible ?

Merci pour ton aide et tes conseils salutaires!

Philippe
anthony5151
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Oui, mieux vaut attendre avant de faire un achat depuis cet ordinateur.
Pour le rapport ZHPDiag, essaye de le zipper (fais un clic-droit dessus --> exécuter en temps qu'administrateur) et héberge le dossier zippé au lieu de mettre le rapport directement.

Bonjour Anthony,

Après moult péripéties voici le lien pour le rapport ZHPDiag :
http://cjoint.com/?AEyvgyUznQX
Désolé d'avoir été un peu long pour y parvenir!

Merci pour le décryptage!

Philippe
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Le rapport confirme ce que je craignais : ton ordinateur est infecté par une des dernières variantes du rootkit TDL.
Peux-tu essayer de télécharger à nouveau TDSSKiller ? Une nouvelle version de l'outil fonctionnera peut-être... Si c'est le cas, pense à bien suivre les instructions données plus haut et à poster le rapport. Si ça ne fonctionne toujours pas :

1) Télécharge aswMBR (de Gmer) sur ton Bureau
* Lance le
* Clique sur "scan"
* Quand l'analyse sera terminée, clique sur "Save log" pour enregistrer le rapport
* Envoie moi le rapport dans ta prochaine réponse

2) Télécharge SEAF (de C_XX) sur ton Bureau.
* Lance SEAF
* Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires".
* Tape volsnap.sys dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
* A la fin, poste le rapport dans ta prochaine réponse


Bonjour Anthony,

Je vais voir avec l'aide de Thierry ce qu'il est possible de faire car le message de virus Peltpox est revenu hier et le bureau a de nouveau disparu. Retour à la case départ donc. Je ne pourrais regarder que ce WE, c'est pourquoi j'envoie ce message depuis mon PC pro pour te prévenir.

Je te tiens au courant de lévomlution de la situation,

Philippe

Bonjour Anthony,

Désolé de n'avoir pu reprendre contact plus vite mais Thierry comme moi avons eu beaucoup de travail ces derniers temps.

Comme indiqué dans mon dernier message, le virus était revenu. Avec l'aide de Thierry, j'ai relancé combo (téléchargé sur CD) et récupéré le bureau puis enchaîné avec TDSSKiller. Il nous a indiqué un virus volsnap.sys présent dans un fichier. Nous l'avons supprimé (cure) mais après le redémarrage, le rapport ne s'est pas enregistré. Nous avons relancé TDSSKiller une seconde fois. Il n'a plus rien détecté.
Ensuite, j'ai aussi fait une sauvegarde de mes photos sur une clé USB que je garde de côté pour le moment.

Nous attendons la suite de tes instructions car au vu de ton dernier message, j'imagine qu'il y a encore des manip à faire. Merci par avance,

Philippe
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Parfait, TDSSKiller a dû supprimer le rootkit :)

Retente une analyse rapide avec Malwarebytes' Anti-Malware (pense à le mettre à jour avant). Puis poste un nouveau rapport ZHPDIag (hébergé comme le précédent).


Bonsoir Anthony,

J'ai suivi la manip. Pendant l'analyse rapide avec Malwarebytes' Anti-Malware, "Peltpox" a été détecté (et en même temps Avira m'a signalé sa présence). J'ai enregistré le rapport puis j'ai cliqué sur supprimer. Un second rapport est apparu. J'ai poursuivi avec ZHPDiag. Voici donc ci-dessous les liens vers les 3 rapports.

rapport 1 Malwarebyte : http://cjoint.com/?AFlwt0ubJ3v

rapport 2 Malwarebyte : http://cjoint.com/?AFlwvl6WGcc

rapport ZHPDiag : http://cjoint.com/?AFlwGkrma9w

J'espère que c'était ce qu'il fallait faire!
Merci pour ta réponse,

Philippe
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Ce script va cibler certains éléments à supprimer :

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* ZHPFix va supprimer certains éléments automatiquement et va lancer la désinstallation de certains programmes : mène ces désinstallations jusqu'au bout.
* Copie/colle la totalité du rapport dans ta prochaine réponse


Puis fais redémarrer l'ordinateur et poste un nouveau rapport ZHPDiag. Ça devrait être le dernier, on pourra ensuite passer à la finition ;)


Bonsoir Anthony,

Ci-dessous le rapport ZHPfix :

Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-06-2011-21-03-56.txt
Run by Sophie Queste at 13/06/2011 21:03:56
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F} => Logiciel supprimé avec succès

========== Clé(s) du Registre ==========
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {18455581-E099-4BA8-BC6B-F34B2F06600C} => Clé supprimée avec succès
O42 - Logiciel: Yahoo! Toolbar - (.Pas de propriétaire.) [HKLM] -- Yahoo! Companion => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} . (.Yahoo! Inc. - Yahoo! Toolbar.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll => Clé supprimée avec succès
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} . (.Adobe Systems Incorporated - Adobe PDF Helper for Internet Explorer.) -- C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll => Clé supprimée avec succès
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll => Clé absente
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll => Clé absente
O64 - Services: CurCS - (.not file.) - 38832466 (38832466) .(...) - LEGACY_38832466 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 67253253 (67253253) .(...) - LEGACY_67253253 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 81228864 (81228864) .(...) - LEGACY_81228864 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(...) - LEGACY_EECTRL => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - EraserUtilDrv10822 (EraserUtilDrv10822) .(...) - LEGACY_ERASERUTILDRV10822 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - EraserUtilRebootDrv (EraserUtilRebootDrv) .(...) - LEGACY_ERASERUTILREBOOTDRV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - IDSVix86 (IDSVix86) .(...) - LEGACY_IDSVIX86 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMDNS (SYMDNS) .(...) - LEGACY_SYMDNS => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Symantec Extended File Attributes (SymEFA) .(...) - LEGACY_SYMEFA => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMFW (SYMFW) .(...) - LEGACY_SYMFW => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMNDISV (SYMNDISV) .(...) - LEGACY_SYMNDISV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV) .(...) - LEGACY_SYMREDRV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI) .(...) - LEGACY_SYMTDI => Clé supprimée avec succès
HKCR\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f} => Clé absente
HKCR\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17} => Clé absente
HKCR\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac} => Clé absente
HKCR\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f} => Clé absente
HKCR\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a} => Clé absente
HKCR\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82} => Clé absente
HKCR\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119} => Clé absente

========== Valeur(s) du Registre ==========
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Yahoo! Inc. - Yahoo! Toolbar.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll => Valeur absente
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll => Valeur absente
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur absente

========== Dossier(s) ==========
C:\Program Files\Spybot - Search & Destroy => Fichier supprimé au reboot
C:\ProgramData\Spybot - Search & Destroy => Supprimé et mis en quarantaine
Dossiers temporaires Windows supprimés: 73

========== Fichier(s) ==========
c:\program files\yahoo!\companion\installs\cpn\yt.dll => Supprimé et mis en quarantaine
c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll => Fichier supprimé au reboot
c:\program files\google\google toolbar\googletoolbar_32.dll => Fichier absent
c:\program files\google\googletoolbarnotifier\5.7.6406.1642\swg.dll => Fichier absent
c:\program files\google\googletoolbarnotifier\googletoolbarnotifier.exe => Fichier absent
Fichiers temporaires Windows supprimés : 69


========== Récapitulatif ==========
33 : Clé(s) du Registre
3 : Valeur(s) du Registre
3 : Dossier(s)
6 : Fichier(s)
1 : Logiciel(s)


End of the scan

Et voici le lien pour le rapport ZHPDiag :

http://cjoint.com/?AFnvyLJsHzL

Bonne soirée,

Philippe
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Très bien, ton ordinateur n'est plus infecté :)
Voici les conseils de finition :


1) Sécurise ton ordinateur

* Logiciels de protection :
Garde un antivirus (AntiVir dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Si tu préfères utiliser Google Chrome, il existe des extensions équivalentes :
- WOT
- AdBlock

* Tu as la dernière version de Java (Java 6 Update 26), mais tu as aussi deux anciennes versions qui ne sont plus à jour, c'est une faille de sécurité.
Il faut désinstaller les anciennes versions : Ouvre le menu démarrer --> panneau de configuration --> Programmes et fonctionnalités --> sélectionne les anciennes versions de java présentes et désinstalle les.

* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX. Ensuite, utilise ce lien pour installer la dernière version.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce programme : Secunia PSI.

* Vaccine tes disques amovibles à l'aide de MKV (de ElDesaparecido et C_XX) : il suffit de brancher tous tes disques amovibles (clé USB, disque dur externe, lecteur mp3, cartes mémoire...) sans les ouvrir, puis de lancer MKV et cliquer sur "Vacciner".



2) Optimisation :

* Télécharge Ccleaner. Installe le et lance le. Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : Adobe Reader Speed Launcher / Adobe ARM / ccleaner / SmartMenu

* Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.



4) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)


Bonsoir Anthony,

J'ai donc suivi tes conseils très clairs (merci!) à la lettre.

J'ai rencontré quelques petits problèmes que je te liste :

- je n'arrive pas à désinstaller Adobe Reader 9 : un message indique "impossible d'ouvrir la clé HKEY_LOCAL_MACHINE\Software\Classes\Interface\{46B89FA-769D-4792-AD9A-E3755915BC3}\TypeLib." Vérifiez que vous disposez des droits d'auteur suffisants pour cette clé ou contactez votre service de support technique.
Et comme j'ai bien lu les infos sur la prévention des infections (que je garde en PDF sur le bureau!), j'ai compris que c'était un point faible.

- En utilisant Secunia, je n'arrive pas à télécharger :
> Open Office.org 3.3. Le message indique : "error 1402. Could not open key : HKEY_LOCAL_MACHINE\Software\Classes\.Sdp\OpenWithProgIDs." Verify that you have sufficient access to that key, or contact your support personnel.
> Microsoft.NET Framework 2.x et 3.x
> Microsoft Vista (mises à jour du pack office, mais là je pense que c'est parce qu'office n'a pas été activé au début où nous avions le PC).

- après avoir utilisé DelFix, il reste ZHPDiag, ZHPFix et MBRCheck sur le bureau. Le reste a été supprimé.

Pourrais-tu me dire comment je peux résoudre ces derniers points ?

Je t'en remercie par avance ainsi que pour m'avoir sorti de ce mauvais pas!

Bien à toi,

Philippe