Fichiers se créant dans C:\WINDOWS\TempRésolu/Fermé

Question

Bonjour, 
Voilà je vous explique mon problème.
J'utilise un netbook et tout aller très bien, il tournait vite et j'avais aucun soucis. Mais il y a quelques
jours mon anti-virus (Avira) m'a signalé un Cheval de Troie. D'ailleurs avant qu'il me le signalise mon ordinateur
c'était éteind tout seul. En le rallumant j'ai reçu l'alerte. Je l'ai supprimer à partir de l'anti-virus mais en vain il ne l'a pas
supprimer. J'ai remarquer un fichier sur le bureau que je n'avais pas avant "Malware Protection" si j'ai bonne mémoire (un raccourci). J'ai donc
rechercher la cible du fichier, je l'ai supprimer vider la corbeille et voilà. Sauf que mon antivirus m'alertais encore toute les 5-10 minutes pour des fichiers
se créant dans C:\WINDOWS\Temp si je me souviens bien. J'ai donc couper internet et je les ai supprimer manuellement tout comme
le fichier "Malware Protection". Depuis mon antivirus ne m'alerte plus mais des fichiers se créaient encore !!! [Des fichiers setup dans des dossiers genre "qjduen" ayant pour description ceci : Cud Burst Mousy Snipe

Entreprise : Stick Lame Exam Inch
Langue : Anglais (USA)
Nom du fichier d'origine: Troy.exe
Nom du produit : Slam Thyme Blame Hinge
Nom Interne : Bomb Hogan Macro Condo
V : 9.4 

Ca sent le cheval de troie à plein nez....]


Voilà mon problème et je pense que ça à un lien avec ce que j'ai écrit si dessus.
Lorsque j'avais ce virus, mon ordinateur ralentissait énormement au bout d'un moment (genre 25 min après l'avoir allumé) , je ne pouvais plus rien faire il allait au ralentit.
Et maintenant j'ai toujours ce problème ! Mon ordinateur devient très lent au bout 30 min environs, je suis obligé de l'éteindre et de le rallumer pour qu'il soit nickel.

Est-ce lié ? Quel est mon problème ?

Eclairez-moi je n'ai jamais eu ce problème auparavant... !



Configuration: Windows XP / Firefox 3.6.18

2011N2 · Answer

Salut,

Bienvenue sur CCM. On va essayer de résoudre ton problème ensemble.

Ici, les helpers sont volontaires, et ont également une vie de famille, comme tout le monde. Soit donc patient en attendant tes réponses. Contact le helper au bout de 24h sans réponse par Message Privé si il ne s'est pas signalé.

Suis la procédure jusqu'au bout, sinon ça ne servira à rien.

Ne panique pas, n'hésite pas à poser des questions si tu as des doutes.

On va faire un diagnostic de ton PC pour plus de renseignements ==>

=> Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou : 

http://www.premiumorange.com/zeb-help-process/zhpdiag.html

ou :
 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


=> Laisse toi guider lors de l'installation, coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag". 

/!\Utilisateur de Vista et Seven/!\ : Clic droit sur le logo de ZHPdiag (parchemin) puis « Exécuter en tant qu'Administrateur » 

=> Clique sur l'icône, en haut à gauche, représentant une loupe : « Lancer le diagnostic ».  
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.  
=> Héberge le rapport ZHPDiag.txt sur un des sites ci-dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
 
https://www.cjoint.com/  

ou


http://www.cijoint.fr/ 

ou : 

http://ww38.toofiles.com/fr/documents-upload.html 

ou :
 

http://pjjoint.malekal.com/ 

ou : 

https://www.casimages.com/ 



Si tu as besoin d'aide, ou quelque chose n'est pas clair, n'hésite pas à poser la question.

@+

Gabriel.

Takayama · Answer

Merci de cette réponse plus que rapide, je fais ce que tu m'as dis et je te tiens au courant. Merci infiniment pour ton aide.

Takayama · Answer

Petit problème :

J'ai le fichier format .txt (donc le rapport) mais chaque fois que j'envoie le fichier pour l'hébergement, sur tous les liens que tu m'as envoyer je reçois "Erreur de chargement de la page

Le fichier est peut-être trop volumineux ?

2011N2 · Answer

Renomme le fichier pour voir...
Sinon on essaye autre chose ;)

@+

Gabriel.

Takayama · Answer

Toujours la même chose malheureusement :(
Je l'ai renommé en diagnostique.txt et aucun des sites ne fonctionnent.

2011N2 · Answer

Alors fais ça ==>

? Télécharge TDSSKiller : https://www.sfr.fr/fermeture-des-pages-perso.html

? Lance-le (Utilisateurs de Vista/Seven => Clic droit puis "Exécuter en tant que administrateur") 

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse. 

Patiente pendant le scan. À la fin de l'analyse, appuie sur une touche de ton choix. Un rapport va s'ouvrir. 

? Copie/Colle son contenu dans ta prochaine réponse sur le forum. 

N.B : Le rapport se trouve également sous C:	dsskiller.txt.


Si tu as des questions sur l'utilisation de TDSSkiller, n'hésite pas à me les poser !

@+

Gabriel.

2011N2 · Answer

Ok. Donc redémarre le PC, et réessaye l'hébergement de ZHPdiag STP ;)

Merci,

Gabriel.

Takayama · Answer

Nickel, le fichier a pu être hébergé :

http://cjoint.com/11ju/AGEnJww2zaI.htm

Je tiens à vous remercier encore pour votre aide !

2011N2 · Answer

On va vérifier si tu as des rogues sur ton PC déjà, qui est bien infecté ==>

* Télécharger sur le bureau RogueKiller : https://www.commentcamarche.net/telecharger/securite/19543-roguekiller-anti-malware/
* Quitter tous les programmes en cours. 
* Sous Vista/Seven, clic droit => Éxécuter en tant qu'administrateur. 
* Sinon lancer simplement RogueKiller.exe 
* Lorsque demandé, tapez 1 et valider. 
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse sur le forum. 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe


Si tu as des questions, n'hésite pas à me les poser !

Merci,

Gabriel.

Takayama · Answer

RogueKiller V5.2.7 [30/06/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Zukenkay [Droits d'admin] Mode: Recherche -- Date : 30/07/2011 13:42:24 Processus malicieux: 6 [SUSP PATH] dltpxm.dll -- C:\WINDOWS\dltpxm.dll -> UNLOADED [SUSP PATH] setup.exe -- c:\windows\temp\qeykmr\setup.exe -> KILLED [SUSP PATH] PLFSetI.exe -- c:\windows\plfseti.exe -> KILLED [SUSP PATH] SoftwareUpdateHP.exe -- c:\documents and settings\zukenkay\application data\eorezo\eorezo\softwareupdatehp.exe -> KILLED [SUSP PATH] dltpxm.dll -- C:\WINDOWS\dltpxm.dll -> KILLED [SERVICE] SSHNAS -- C:\WINDOWS\system32\svchost.exe -k netsvcs -> STOPPED Entrees de registre: 15 [BLACKLIST DLL] HKCU\[...]\Run : Onotakobiloba (rundll32.exe "C:\WINDOWS\dltpxm.dll",Startup) -> FOUND [SUSP PATH] HKLM\[...]\Run : PLFSetI (C:\WINDOWS\PLFSetI.exe) -> FOUND [SUSP PATH] HKLM\[...]\Run : SoftwareHelper (C:\Documents and Settings\Zukenkay\Application Data\EoRezo\EoRezo\SoftwareUpdateHP.exe) -> FOUND [SUSP PATH] HKUS\.DEFAULT[...]\Run : 8DDYX0ZBPZ (C:\WINDOWS\TEMP\Jvx.exe) -> FOUND [BLACKLIST DLL] HKUS\S-1-5-21-2083259864-2626759393-3993469562-1006[...]\Run : Onotakobiloba (rundll32.exe "C:\WINDOWS\dltpxm.dll",Startup) -> FOUND [SUSP PATH] HKUS\S-1-5-18[...]\Run : 8DDYX0ZBPZ (C:\WINDOWS\TEMP\Jvx.exe) -> FOUND [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> FOUND [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> FOUND [BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> FOUND [SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\windows\temp\jvy.exe -> FOUND [SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\temp\jvw.exe -> FOUND [SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\windows\temp\jvx.exe -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND Fichier HOSTS: Termine : << RKreport[1].txt >> RKreport[1].txt Voilà :)

2011N2 · Answer

Ok, lance le en mode 2 (suppression) puis poste le rapport.

Merci,

Gabriel.

Takayama · Answer

Voilà : RogueKiller V5.2.7 [30/06/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Zukenkay [Droits d'admin] Mode: Suppression -- Date : 30/07/2011 13:46:36 Processus malicieux: 1 [SERVICE] SSHNAS -- C:\WINDOWS\system32\svchost.exe -k netsvcs -> NOT STOPPED [0x425] Entrees de registre: 13 [BLACKLIST DLL] HKCU\[...]\Run : Onotakobiloba (rundll32.exe "C:\WINDOWS\dltpxm.dll",Startup) -> DELETED [SUSP PATH] HKLM\[...]\Run : PLFSetI (C:\WINDOWS\PLFSetI.exe) -> DELETED [SUSP PATH] HKLM\[...]\Run : SoftwareHelper (C:\Documents and Settings\Zukenkay\Application Data\EoRezo\EoRezo\SoftwareUpdateHP.exe) -> DELETED [SUSP PATH] HKUS\.DEFAULT[...]\Run : 8DDYX0ZBPZ (C:\WINDOWS\TEMP\Jvx.exe) -> DELETED [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> DELETED [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> DELETED [BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> DELETED [SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\windows\temp\jvy.exe -> DELETED [SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\temp\jvw.exe -> DELETED [SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\windows\temp\jvx.exe -> DELETED [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) Fichier HOSTS: Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt Je l'ai refait une fois car mon ordinateur avait planté : RogueKiller V5.2.7 [30/06/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Zukenkay [Droits d'admin] Mode: Suppression -- Date : 30/07/2011 13:50:27 Processus malicieux: 1 [SUSP PATH] setup.exe -- c:\windows\temp\qeykmr\setup.exe -> KILLED Entrees de registre: 0 Fichier HOSTS: Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

2011N2 · Answer

Très bien.
Tu as également beaucoup d'adwares, fais ceci ==>

? Télécharge AD-Remover sur ton Bureau (Merci à C_XX) :

http://www.teamxscript.org/too/AD-R.exe

OU 
http://security-domain.be/download/AD-Remover.html


/!\ Ferme toutes applications en cours avant de continuer /!\ 

? Double-clique sur l'icône Ad-remover située sur ton Bureau. 
? Sur la page, clique sur le bouton « Scanner ». 
? Confirme le lancement du scan. 
? Laisse travailler l'outil. 
? Accepte de redémarrer le PC à la fin, si il est demandé..
? Poste le rapport qui apparaît à la fin, dans le forum.

(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Merci,

Gabriel.

Takayamax · Answer

Je te l'héberge, je ne peux pas l'envoyer sur le forum, il y a un message d'erreur à cause de l'orthographe ^^".

2011N2 · Answer

Ok. Si tu t'inscris, il n'y aura plus ce problème à priori ;)

@+

Gabriel.

Takayama · Answer

Voilà :)

http://cjoint.com/11ju/AGEoeuiX9P2.htm

2011N2 · Answer

Ok ;)

/!\ Ferme toutes applications en cours avant de continuer /!\ 

- Double- clique sur l'icône Ad- remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer ». 
- Confirme le lancement du nettoyage. 
- Laisse travailler l'outil. 
- Accepte de redémarrer le PC à la fin, si il est demandé. Cela est nécessaire pour finaliser le nettoyage.
- Poste le rapport qui apparaît à la fin, dans le forum.

(Le rapport est sauvegardé aussi sous C:\Ad- Report- CLEAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Merci,

Gabriel.

Takayama · Answer

Voici le résultat du Nettoyage :) :

http://cjoint.com/11ju/AGEom7wnKSv.htm

2011N2 · Answer

Non ça c'est le scan x)

@+

Gabriel.

Takayama · Answer

http://cjoint.com/11ju/AGEor4Anx9t.htm

>< ! Le lien pour le CLEAN est ci-dessus ^^"

2011N2 · Answer

Voilà là c'est bon ;) Fais ceci à présent : ATTENTION ! Plusieurs heures de scan sont probables ! Télécharge Malwarebytes' Anti-Malware MBAMsur ton bureau : http://www.malwarebytes.org/mbam/program/mbam-setup.exe Si problème essaie avec celui-ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ . Enregistre-le sur ton bureau. . Double clique sur le fichier téléchargé pour lancer le processus d'installation. (Vista et 7 : Éxécuter en tant qu'administrateur) . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte. . Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour". Fais le plusieurs fois jusqu'à ce qu'il te dise que tu as la dernière version de base de données. . Une fois la mise à jour terminée : . Rends-toi dans l'onglet "Recherche" . Sélectionne Exécuter un Examen complet. . Sélectionne Tous les disques si proposé. . Clique sur Rechercher. . Le scan démarre. Patiente, cela peut durer plusieurs heures, selon la taille de tes disques. . À la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement ou autre. Clique sur "Afficher les résultats" pour afficher tous les objets trouvés. . Cliques sur Ok pour poursuivre. . Si des malwares ont été détectés, clique sur Afficher les résultats. . Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. . Redemarre le PC si il le fait pas lui même. . Une fois redémarré double-clique sur Malwarebytes' AntiMalware. . Rends toi dans l'onglet "rapport/log". . Tu cliques sur le rapport pour l'afficher. . Tu cliques sur Edition en haut du boc notes,et puis sur Sélectionner tout. . Tu recliques sur Edition et puis sur Copier et tu reviens sur le forum et dans ta réponse, colle le rapport (CTRL + V). => Si tu as besoin d'aide regarde ce tutoriel : https://www.malekal.com/windows/liste-processus-fichiers-windows/ Si tu as des questions, n'hésite pas à me les poser ! Merci, Gabriel.

Takayama · Answer

Reuh'

Voici le rapport le Malwarebytes' :)

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7326

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/07/2011 20:05:02
mbam-log-2011-07-30 (20-05-02).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 206502
Temps écoulé: 47 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
c:\WINDOWS\Temp\qeykmr\setup.exe (Spyware.Passwords.XGen) -> 3060 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMService (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\{9C360EFF-A52D-49c9-8531-456C1A406D3C} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADOBETM4 (Trojan.Downloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\Temp\qeykmr\setup.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\Zukenkay\application data\Adobe\plugs\mmc33144625.txt (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\documents and settings\Zukenkay\application data\Sun\Java\deployment\cache\6.0\4\bfc5444-143b87ef (Trojan.Downloader.MB) -> Quarantined and deleted successfully.
c:\documents and settings\Zukenkay\Bureauk_quarantine\dltpxm.dll.vir (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\documents and settings\Zukenkay\Bureauk_quarantine\setup.exe.vir (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\Zukenkay\Bureauk_quarantine\softwareupdatehp.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\documents and settings\Zukenkay\mes documents	éléchargements\ifreetv.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\documents and settings\Zukenkay\application data\EoRezo\EoRezo\softwareupdatehp.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\EoRezo\eorezo.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\system volume information\_restore{59b73963-1225-4576-9145-94b09c83543c}\RP197\A0118052.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{59b73963-1225-4576-9145-94b09c83543c}\RP197\A0129077.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\system volume information\_restore{59b73963-1225-4576-9145-94b09c83543c}\RP197\A0129078.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\WINDOWS\dltpxm.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\sshnas21.dll (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\Zukenkay\application data\Adobe\shed	hr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\Zukenkay\application data\Adobe\plugs\mmc114.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

2011N2 · Answer

Tu peux me refaire un ZHPdiag (probablement final) ?

Merci,

Gabriel.

Takayama · Answer

D'accord je refais une analyse avec ZHP et je t'envoie le lien du rapport hébergé :)

2011N2 · Answer

Pas de soucis ;)

Merci à toi,

Gabriel.

Takayama · Answer

Voilà :) 

http://cjoint.com/11ju/AGEvkh6wAH6.htm

2011N2 · Answer

Re,

>Copie les lignes "helpers" (Avec Ctrl + C) :

--------------------------------------------

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified    => Infection Diverse (Disabled.SecurityCenter)
[HKLM\Software\FREEzeFrog]    => Infection KeyLogger (Adware.FreezeFrog)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\EoRezo_is1]
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]    => Infection PUP (PUP.Eorezo)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]    => Infection PUP (PUP.Eorezo)
[HKLM\Software\FREEzeFrog]    => Infection KeyLogger (Adware.FreezeFrog)
C:\Documents and Settings\Zukenkay\Application Data\Adobe\plugs    => Infection FakeAlert (Trojan.FakeAlert)
C:\Documents and Settings\Zukenkay\Application Data\Adobe\shed    => Infection FakeAlert (Trojan.FakeAlert)
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.2.4) -- C:\Program Files\Softonic_France	bSof2.dll
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France	bSof2.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France	bSof2.dll
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar    => Toolbar.Conduit
O42 - Logiciel: TeamSpeak 2 RC2 - (.Dominating Bytes Design.) [HKLM] -- Teamspeak 2 RC2_is1    => Toolbar.Conduit
[HKCU\Software\Softonic_France]    => Toolbar.Conduit
[HKLM\Software\Softonic_France]    => Toolbar.Conduit
O43 - CFD: 29/12/2010 - 00:17:04 - [12651355] ----D- C:\Program Files\Softonic_France    => Toolbar.Conduit
O43 - CFD: 07/07/2010 - 14:05:06 - [7770707] ----D- C:\Program Files\Teamspeak2_RC2    => Toolbar.Conduit
O43 - CFD: 14/07/2010 - 16:42:06 - [6883] ----D- C:\Documents and Settings\Zukenkay\Application Data	eamspeak2    => Toolbar.Conduit
O43 - CFD: 30/12/2010 - 11:54:28 - [3183904] ----D- C:\Documents and Settings\Zukenkay\Local Settings\Application Data\Softonic_France    => Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKLM\Software\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKCU\Software\Softonic_France]    => Toolbar.Conduit
[HKLM\Software\Softonic_France]    => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic_France Toolbar]
C:\Program Files\Softonic_France    => Toolbar.Conduit
C:\Documents and Settings\Zukenkay\Application Data	eamspeak2    => Toolbar.Conduit
C:\Documents and Settings\Zukenkay\Local Settings\Application Data\Softonic_France    => Toolbar.Conduit


--------------------------------------------

>Ouvre ZHPfix, icone seringue (Vista et 7 : "Exécuter en tant qu'administrateur").
>Colle les lignes helpers : Pour ce, clique sur la balise document, à droite de l'appareil photo. Ou alors sur le H.  
>Faire Ok. 
>Clique sur "Tous".  
>Clique sur "Nettoyer". 
>Copie le rapport, et coller-le dans la prochaine réponse sur le forum.


Si tu as des questions, n'hésite pas à me les poser !

Est-ce que tu crack (Emule par exemple) ?

Merci,


Gabriel.

Takayama · Answer

Lorsque je lance le fichier, ZHPFix il m'envoie un message d'erreur :

Cette application n'a pas pu démarrer car framedyn.dll est introuvable. La réinstallation de cette application peut corriger ce problème.

Il manque un composant :(

Je l'ai réinstaller mais en vain...

2011N2 · Answer

Tu as fait clic droit => Éxécuter en tant qu'administrateur ?

Merci,

Gabriel.

Takayama · Answer

J'ai réussi à ouvrir ZHPFix je t'envoie le rapport dès que j'ai fais ce que tu m'as dit :)

Takayama · Answer

Voilà :)

Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011
Fichier d'export Registre : 
Run by Zukenkay at 30/07/2011 22:34:15
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: Softonic_France Toolbar
ABSENT Software Key: Teamspeak 2 RC2_is1

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\FREEzeFrog
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\EoRezo_is1
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
SUPPRIME Key: CLSID BHO: {4daac69c-cba7-45e2-9bc8-1044483d3352}
SUPPRIME Key: HKCU\Software\Softonic_France
SUPPRIME Key: HKLM\Software\Softonic_France
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4daac69c-cba7-45e2-9bc8-1044483d3352}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic_France Toolbar

========== Valeur(s) du Registre ==========
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
SUPPRIME URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352}
SUPPRIME Toolbar: {4daac69c-cba7-45e2-9bc8-1044483d3352}

========== Elément(s) de donnée du Registre ==========
REMPLACE Value AntiVirusOverride :   Good (0) - Bad (1)

========== Dossier(s) ==========
SUPPRIME Folder*: c:\documents and settings\zukenkay\application data\adobe\shed
SUPPRIME Folder*: C:\Program Files\Softonic_France
ABSENT C:\Program Files\Teamspeak2_RC2
SUPPRIME Folder*: C:\Documents and Settings\Zukenkay\Application Data	eamspeak2
SUPPRIME Folder*: C:\Documents and Settings\Zukenkay\Local Settings\Application Data\Softonic_France

========== Fichier(s) ==========
ABSENT Folder/File: c:\documents and settings\zukenkay\application data\adobe\plugs
SUPPRIME c:\program files\softonic_france	bsof2.dll
ABSENT File: c:\program files\softonic_france	bsof2.dll
ABSENT Folder/File: c:\program files\softonic_france
ABSENT Folder/File: c:\documents and settings\zukenkay\application data	eamspeak2
ABSENT Folder/File: c:\documents and settings\zukenkay\local settings\application data\softonic_france


========== Récapitulatif ==========
17 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
5 : Dossier(s)
6 : Fichier(s)
2 : Logiciel(s)


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt



End of the scan in 01mn 45s

Désolé du temps mais j'ai du le faire en plusieurs fois j'avais mal fait la manip.
Les ABSENT et ont bien été supprimés je te le confirme ;).

2011N2 · Answer

Ok.

Sinon, encore des soucis ?

Comment se comporte le PC ?

Merci,

Gabriel.

Takayama · Answer

Sérieux là il ne rame même plus. Il charge nickel je l'ai laissé allumer toute l'après midi quand je suis parti, je suis revenu il ne laguait même pas.

Vraiment merci ! Merci infiniment ! 

Je peux Marquer ce problème comme résolu ;) !

Ton aide m'a vraiment était précieuse !

Merci encore :) !!!

2011N2 · Answer

Ok, bah attend on finalise^^ Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace _________________________________________________ Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage À la fin du rapport tu auras une ligne comme ca : Total space cleaned: 8140878 bytes Transmets juste cette ligne, le reste importe peu. __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt Tu peux le desinstaller à présent. ___________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configuration fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK Tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : Et installer la nouvelle version si besoin est. Désinstalle les anciennes versions : voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Ferme l'application. Note : tu peux supprimer son rapport dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujet intéressant à lire : https://www.luanagames.com/index.fr.html ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus, Parefeu, Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en résolu Bonne continuation et surtout, prudence et bon surf :) @+ Gabriel.

Takayama · Answer

Oki merci :)

Je pense que c'est inutile que je te poste les résultats je fais juste ce que tu me demandes ?

2011N2 · Answer

Poste au cas où ;)

@+

Gabriel.

Takayama · Answer

Oki ;) !

PureRa :


Total space cleaned: 494177266 bytes

2011N2 · Answer

Ok.

Fais Delfix ;)

@+

Gabriel.

Takayama · Answer

Voilà le rapport de Delfix :)

# DelFix v8.2 - Rapport créé le 30/07/2011 à 23:14
# Mis à jour le 22/07/11 à 14h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Zukenkay - ZUKAY-PC (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Zukenkay\Mes documents\Téléchargements\delfix0.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:	dsskiller
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-SCAN[1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.5.13.0_30.07.2011_13.19.57_log.txt
Supprimé : C:\ZHPExportRegistry-30-07-2011-22-34-15.txt
Supprimé : C:\Documents and Settings\Zukenkay\Mes documents\Téléchargements\Load_tdsskiller.exe
Supprimé : C:\Documents and Settings\Zukenkay\Mes documents\Téléchargements\RogueKiller-5.2.7.exe
Supprimé : C:\Documents and Settings\Zukenkay\Mes documents\Téléchargements\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1528 octets] ##########

2011N2 · Answer

Très bien.
Tu peux passer le sujet en résolu ;)

Merci, à très vite.

Bonne soirée à toi,

Gabriel.

Takayama · Answer

Merci à toi !!! :)

Et personnellement je n'espère pas à très vite xD ou alors dans d'autres circonstances ;) !

Merci encore, bonne soirée :)

2011N2 · Answer

Oui pas de soucis ;)

@++ ^^

Gabriel.

Fichiers se créant dans C:\WINDOWS\Temp

42 réponses

Discussions similaires

Newsletters