> Tous les forums > Forum Sécurité
 Cheval de troie, win 32, malwareSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Damien 21600
  Posté le 28/07/2011 @ 09:17 
Aller en bas de la page 
Petit astucien

Bonjour,

Je sais pas si c'est le bon emplacement et je men excsuse au cas où je me suis trompé ou pour éventuellement un doublon!

Cela fait plusieurs jours que mon antivirus du boulot m'indique que mon ordinateur est infecté : Win 32, Malware, Proxy

De ce fait, en plus de l'antivirus AVG, j'ai installé Malwarebytes et voici le rapport en date du 27.07.11 :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7294

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27/07/2011 13:39:24
mbam-log-2011-07-27 (13-39-15).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 227547
Temps écoulé: 26 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Je pensais avoir supprimé la ou les menaces mais rebellotte mon AVG m'indique ce matin un nouveau malware : WIN 32/Kryptik.QLX

Et une infection : Cheval de troie :Agent_r.ALK dans le system volume Windows Restore

Aidez moi, car c'est lordi du boulot en +.

Merci

Publicité
pear
 Posté le 28/07/2011 à 10:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.


Téléchargez ZhpDiag de Coolman
Décompresser le fichier ZHPDiag.fix sur le bureau
puis double-cliquer sur le fichier ZHPDiag.exe pour installer l'outil
Sur le bureau ,il y aura 3 icônesimage
Sous XP, double clic sur ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur
image
Clic sur la Loupe pour lancer le scan
En cas de blocage sur O80, cliquez sur le tournevis pour le décocher
Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Pour cela,Cliquer sur image Insérer un rapport,en bas de page,à gauche et cliquer sur Parcourir pour trouver le rapport sur votre bureau

Pour les rapports qui sont courts (ex. Malwarebytes, AD-R, USBFix, etc.), copiez/collez sur votre sujet

kezako33
 Posté le 28/07/2011 à 11:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour,

j'ai régulièrement ce type de virus et j'ai une solution qui fonctionne tout le temps : nettoyage de l'ordinateur avec CCleaner que vous pouvez télécharger sur ce site.

Bien à vous.

pcastuces
 Posté le 28/07/2011 à 11:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Equipe PC Astuces

Bonjour à tous,

kezako33, merci de ne pas intervenir dans un sujet de désinfection, déjà pris en charge.

A bientôt.

Damien 21600
 Posté le 28/07/2011 à 13:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Pear,

voici les résultats des rapports:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7308

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/07/2011 12:11:52
mbam-log-2011-07-28 (12-11-51).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 273745
Temps écoulé: 1 heure(s), 1 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Merci de ton aide!

Damien 21600
 Posté le 28/07/2011 à 13:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Le rapport de Zhp ne veut pas se télécharger. Puis je te lenvoyer sur une boite mail?

Je reesaye qd meme

Damien 21600
 Posté le 28/07/2011 à 14:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rapport de ZHPDiag v1.27.2424 par Nicolas Coolman, Update du 22/07/2011
Run by damien.jourdhier at 28/07/2011 14:01:58
Web site : http://www.premiumorange.com/zeb-help-process/zhpdiag.html


---\\ Web Browser
MSIE: Internet Explorer v8.0.6001.18702 (Defaut)

---\\ System Information
Windows XP Professional Service Pack 3 (Build 2600)
~ Processor: x86 Family 6 Model 15 Stepping 13, GenuineIntel
~ Operating System: 32 Bits
~ Boot mode: ~ Normal (Normal boot)
Total RAM: 1005 MB (4% free)
~ System Restore: Activé (Enable)
System drive C: has 208 GB (93%) free of 223 GB

---\\ Logged in mode
~ Computer Name: CATARMBRUSTER
~ User Name: damien.jourdhier
~ All Users Names: SUPPORT_388945a0, HelpAssistant, ASPNET, Administrateur,
~ Unselected Option: O45,O61,O62,O65,O66,O82
~ Logged in as Administrator

---\\ Environnement Variables
~ %AppData%=C:\Documents and Settings\damien.jourdhier\Application Data\
~ %Desktop%=C:\Documents and Settings\damien.jourdhier\Bureau\
~ %Favorites%=C:\Documents and Settings\damien.jourdhier\Favoris\
~ %LocalAppData%=C:\Documents and Settings\damien.jourdhier\Local Settings\Application Data\
~ %StartMenu%=C:\Documents and Settings\damien.jourdhier\Menu Démarrer\

---\\ DOS/Devices
C:\ Hard drive, Flash drive, Thumb drive (Free 208 Go of 223 Go)
D:\ Hard drive, Flash drive, Thumb drive (Free 7 Go of 10 Go)
E:\ CD-ROM drive (Not Inserted)
F:\ Floppy drive, Flash card reader, USB Key (Not Inserted)
G:\ Floppy drive, Flash card reader, USB Key (Not Inserted)
H:\ Floppy drive, Flash card reader, USB Key (Not Inserted)
I:\ Floppy drive, Flash card reader, USB Key (Not Inserted)

---\\ Security Center & Tools Informations
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: OK
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue: OK
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: OK
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Intl: OK
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] XMLLookup: OK
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell: OK
[HKLM\SYSTEM\CurrentControlSet\Services] wscsvc : OK

---\\ Recherche particulière de fichiers génériques
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation - Explorateur Windows.) (.28/07/2011 - 03:34:03.) -- C:\WINDOWS\Explorer.exe [1037824]
[MD5.93AD0B78C7357A05F50E594EC7C22300] - (....) (.28/07/2011 - 03:34:20.) -- C:\WINDOWS\system32\rundll32.exe [33792]
[MD5.42F5E14E33D79C236680468B1E4999F4] - (.Microsoft Corporation - Internet Extensions for Win32.) (.28/07/2011 - 17:06:11.) -- C:\WINDOWS\system32\wininet.dll [916480]
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation - Application d'ouverture de session Windows NT.) (.28/07/2011 - 03:34:28.) -- C:\WINDOWS\system32\Winlogon.exe [512000]
[MD5.9F3A2F5AA6875C72BF062C712CFA2674] - (.Microsoft Corporation - IDE/ATAPI Port Driver.) (.28/07/2011 - 19:40:30.) -- C:\WINDOWS\system32\drivers\atapi.sys [96512]
[MD5.78A08DD6A8D65E697C18E1DB01C5CDCA] - (.Microsoft Corporation - NT File System Driver.) (.28/07/2011 - 20:15:53.) -- C:\WINDOWS\system32\drivers\ntfs.sys [574976]

---\\ Etat des fichiers cachés (Caché/Total)
~ Mes images (My Pictures) : 1/2
~ Mes musiques (My Musics) : 1/2
~ Mes Videos (My Video) : 0/0
~ Mes Favoris (My Favorites) : 2/26
~ Mes Documents (My Documents) : 5/386
~ Mon Bureau (My Desktop) : 1/106
~ Menu demarrer (Programs) : 6/44

---\\ Processus lancés
[MD5.FC2BC51120A945F7C70376495E4E7737] - (.AVG Technologies CZ, s.r.o. - AVG Watchdog Service.) -- C:\Program Files\AVG\AVG10\avgwdsvc.exe [269520]
[MD5.213822072085B5BBAD9AF30AB577D817] - (.InterVideo - RegMgr Module.) -- C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe [112152]
[MD5.11F714F85530A2BD134074DC30E99FCA] - (.Microsoft Corporation - Machine Debug Manager.) -- C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE [322120]
[MD5.C7AEFF5113DFEA823A2F50133249E2B8] - (.PDF Complete Inc - Dispatcher.) -- C:\Program Files\PDF Complete\pdfsvc.exe [576024]
[MD5.D89083C4EB02DACA8F944B0E05E57F9D] - (.Microsoft Corporation - SQL Server VSS Writer.) -- c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe [86880]
[MD5.7043DDF51D7135C1D1B83B4213DFED61] - (.RealVNC Ltd. - VNC Server for Win32.) -- C:\Program Files\RealVNC\VNC4\WinVNC4.exe [380928]
[MD5.0DA06277AA7F458211DFC59329949193] - (.AVG Technologies CZ, s.r.o. - AVG Online Shield Service.) -- C:\Program Files\AVG\AVG10\avgnsx.exe [1080672]
[MD5.37DFF4CEE590B6D081EFE18FB2C377DB] - (.AVG Technologies CZ, s.r.o. - AVG Identity Protection Service.) -- C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe [7398752]
[MD5.85D5DCF81AE47B68D5DC91255B9AD16F] - (.Microsoft Corporation - Interpréteur de commandes Windows.) -- C:\WINDOWS\system32\cmd.exe [401408]
[MD5.84B08F1F2825CF73A67BA9578BE0CDBC] - (.Intel Corporation - igfxTray Module.) -- C:\WINDOWS\system32\igfxtray.exe [141848]
[MD5.FF0097C211EB4DB5E20ADB1EC15666D3] - (.Intel Corporation - hkcmd Module.) -- C:\WINDOWS\system32\hkcmd.exe [166424]
[MD5.6413E9E933033FE8F2B0FB91B647D83C] - (.Intel Corporation - persistence Module.) -- C:\WINDOWS\system32\igfxpers.exe [137752]
[MD5.AFE7FDC46053CCE2483F3BECAAD24242] - (.Analog Devices, Inc. - SMax4PNP.) -- C:\Program Files\Analog Devices\Core\smax4pnp.exe [1036288]
[MD5.69AF8C39EB042C319338EF33722729BD] - (.Analog Devices, Inc. - Audio Control Panel.) -- C:\Program Files\Analog Devices\SoundMAX\Smax4.exe [831488]
[MD5.C1915A84502B38D548D0C9351DFF3E47] - (.Pas de propriétaire - Scheduler.) -- C:\WINDOWS\SMINST\Scheduler.exe [872448]
[MD5.140F771CADA8724200434C39918F2EA0] - (.AVG Technologies CZ, s.r.o. - AVG Tray Monitor.) -- C:\Program Files\AVG\AVG10\avgtray.exe [2334560]
[MD5.B1C4C9A72DE1A1C2227EF648CF461CFF] - (.Intel Corporation - igfxsrvc Module.) -- C:\WINDOWS\system32\igfxsrvc.exe [252440]
[MD5.47F0BC1FF654C918D165BD62696EDD37] - (.Microsoft Corporation - Net Command.) -- C:\WINDOWS\system32\net.exe [42496]
[MD5.350A0C2CC411A6B0982604C8893C3E93] - (...) -- C:\Program Files\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe [1148256]
[MD5.B60DDDD2D63CE41CB8C487FCFBB6419E] - (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe [638816]
[MD5.19DD1387B85BB9D5CA49976A4E71E81F] - (.Microsoft Corporation - Microsoft Office Word.) -- C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE [12317016]
[MD5.0E8A6A1BC5B08EA29E363EE5E06F7ECB] - (.Nicolas Coolman - Diagnostic Tool.) -- C:\Program Files\ZHPDiag\ZHPDiag.exe [658944]

---\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
P2 - FPN: [HKLM] [@Google.com/GoogleEarthPlugin] - (.Google - GEPlugin.) -- C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
P2 - FPN: [HKLM] [@microsoft.com/WPF,version=3.5] - (.Microsoft Corporation - Windows Presentation Foundation (WPF) plug-in for Mozilla browsers.) -- c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
P2 - FPN: [HKLM] [@tools.google.com/Google Update;version=3] - (.Google Inc. - Google Update.) -- C:\Program Files\Google\Update\1.3.21.57\npGoogleUpdate3.dll
P2 - FPN: [HKLM] [@tools.google.com/Google Update;version=9] - (.Google Inc. - Google Update.) -- C:\Program Files\Google\Update\1.3.21.57\npGoogleUpdate3.dll
P2 - FPN: [HKLM] [Adobe Reader] - (.Adobe Systems Inc. - Adobe PDF Plug-In For Firefox and Netscape "9.4.5".) -- C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll

---\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com
R0 - HKUS\S-1-5-21-4244093093-395518706-2485704680-1161\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Extensions Off Page = about:noadd-ons
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Security Risk Page = about:securityrisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com
R1 - HKUS\S-1-5-21-4244093093-395518706-2485704680-1161\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Internet Explorer.) (8.00.6001.19072 (longhorn_ie8_gdr.110420-1700)) -- C:\WINDOWS\system32\ieframe.dll
R4 - HKLM\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,EnabledV8 = 0

---\\ Internet Explorer, Proxy Management (R5)
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = no key
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 0
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,EnableHttp1_1 = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyHttp1.1 = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigProxy = wininet.dll
R5 - HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings,EnableHttp1_1 = 1
R5 - HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyHttp1.1 = 1

Damien 21600
 Posté le 28/07/2011 à 14:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

---\\ Modification d'une valeur Ini (Changed inifile value, mapped to Registry) (F2)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
F2 - REG:system.ini: VMApplet=rundll32 shell32,Control_RunDLL "sysdm.cpl"

---\\ Browser Helper Objects de navigateur (O2)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} . (.Adobe Systems Incorporated - Adobe PDF Helper for Internet Explorer.) -- C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} . (.AVG Technologies CZ, s.r.o. - Safe Search for Internet Explorer.) -- C:\Program Files\AVG\AVG10\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} . (.Pas de propriétaire - PDFCreator Toolbar.) -- C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

---\\ Internet Explorer Toolbars (O3)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} . (...) -- (.not file.)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} . (.Pas de propriétaire - PDFCreator Toolbar.) -- C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

---\\ Applications démarrées par registre & par dossier (O4)
O4 - HKLM\..\Run: [IgfxTray] . (.Intel Corporation - igfxTray Module.) -- C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] . (.Intel Corporation - hkcmd Module.) -- C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] . (.Intel Corporation - persistence Module.) -- C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] . (.Analog Devices, Inc. - SMax4PNP.) -- C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] . (.Analog Devices, Inc. - Audio Control Panel.) -- C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
O4 - HKLM\..\Run: [PDF Complete] . (.PDF Complete Inc - Sentry for PDF.) -- C:\Program Files\PDF Complete\pdfsty.exe
O4 - HKLM\..\Run: [SetRefresh] . (.Hewlett-Packard Company - SetRefresh.) -- C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] . (.Pas de propriétaire - Recguard Application.) -- C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] . (.Pas de propriétaire - Reminder_XP.) -- C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] . (.Pas de propriétaire - Scheduler.) -- C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [AVG_TRAY] . (.AVG Technologies CZ, s.r.o. - AVG Tray Monitor.) -- C:\Program Files\AVG\AVG10\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-21-4244093093-395518706-2485704680-1161\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe

---\\ Autres liens utilisateurs (O4)
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Adobe Reader 9.lnk . (...) -- C:\WINDOWS\Installer\{AC76BA86-7AD7-1036-7B44-A94000000001}\SC_Reader.ico
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\GesArchiNet.lnk . (...) -- C:\WINDOWS\Installer\{C564F480-65B5-4995-961B-EA0F5427157F}\_CCA19011A1864CB2EF7295.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Install Altiris AClient.lnk . (.Hewlett-Packard Company.) -- C:\COMPAQ\Altiris\AClient\QuickLnk.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\MSN.lnk . (.Microsoft Corporation.) -- C:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Windows Messenger.lnk . (.Microsoft Corporation.) -- C:\Program Files\Messenger\msmsgs.exe
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Windows Movie Maker.lnk . (.Microsoft Corporation.) -- C:\Program Files\Movie Maker\moviemk.exe
O4 - Global Startup: C:\Documents And Settings\damien.jourdhier\Menu Démarrer\Programmes\Assistance à distance.lnk . (.Microsoft Corporation.) -- C:\WINDOWS\system32\rcimlby.exe
O4 - Global Startup: C:\Documents And Settings\damien.jourdhier\Menu Démarrer\Programmes\Internet Explorer.lnk . (.Microsoft Corporation.) -- C:\Program Files\Internet Explorer\iexplore.exe
O4 - Global Startup: C:\Documents And Settings\damien.jourdhier\Menu Démarrer\Programmes\Lecteur Windows Media.lnk . (.Microsoft Corporation.) -- C:\Program Files\Windows Media Player\wmplayer.exe
O4 - Global Startup: C:\Documents And Settings\damien.jourdhier\Menu Démarrer\Programmes\Outlook Express.lnk . (.Microsoft Corporation.) -- C:\Program Files\Outlook Express\msimn.exe

Damien 21600
 Posté le 28/07/2011 à 14:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ouah trop long comme ca.. Quand je veux envoyer mon rapport ca me mets Internet explorer ne peut afficher la page web

Quelqu'un sait pk? Ca éviterait que je pollue le forum avec toutes mes copies ecran

Désolé!!



Modifié par Damien 21600 le 28/07/2011 14:21
Publicité
pear
 Posté le 28/07/2011 à 14:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Pour cela,Cliquer sur image Insérer un rapport,en bas de page,à gauche et cliquer sur Parcourir pour trouver le rapport sur votre bureau

Damien 21600
 Posté le 28/07/2011 à 17:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
pear
 Posté le 28/07/2011 à 17:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir,

1)Télécharger aswMBR.exe sur le bureau
Double clic sur l'icôneimage
image
Puis Scan
image

Le scan fini, cliquer sur "SAVE LOG" et sauvegarder le fichier sur le Bureau,
Copier/Coller le contenu dans la réponse.

Un fichier "MBR.dat" apparait sur le Bureau.
Faites clic droit -> Envoyer vers- > "Dossier compressé".
Conserver ce fichier MBR.zip sur clé Usb


Nettoyage
Relancer aswMBR.exe
Click [Scan]
A l'issue du scan
image
Clic sur [Fix] pour TDL4 (MBRoot)
image
Clic sur [FixMBR] pour Whistler

2)Cliquer sur l'icône Zhpfix qui est sur votre bureau
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:



HKLM\Software\pdfforge.org] => Infection BT (Adware.WidgiToolbar)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)



image

Cliquez ensuite sur le H- image
Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.
image
Cliquer sur "Tous" puis sur "Nettoyer" .
Acceptez de Redémarrer pour achever le nettoyage.
Un rapport apparait:
image
Si le rapport n'apparait pas,cliquer surimage
Copier-coller le rapport de suppression dans la prochaine réponse.

3)Java n'est pas à jour,donc moins sécurisé.
Rendez vous là:
Java Downloads for All Operating Systems
Cliquer Remove older Versions
Puis sur
Windows 7/XP Online

Damien 21600
 Posté le 29/07/2011 à 08:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software
Run date: 2011-07-29 08:04:36
-----------------------------
08:04:36.836 OS Version: Windows 5.1.2600 Service Pack 3
08:04:36.836 Number of processors: 2 586 0xF0D
08:04:36.852 ComputerName: CATARMBRUSTER UserName:
08:04:37.448 Initialize success
08:05:04.363 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
08:05:04.363 Disk 0 Vendor: Hitachi_HDP725025GLA380 GM2OA5FA Size: 238475MB BusType: 3
08:05:04.363 Device \Driver\atapi -> DriverStartIo 8630531b
08:05:06.370 Disk 0 MBR read successfully
08:05:06.370 Disk 0 MBR scan
08:05:06.370 Disk 0 TDL4@MBR code has been found
08:05:06.370 Disk 0 MBR hidden
08:05:06.370 Disk 0 MBR [TDL4] **ROOTKIT**
08:05:06.370 Disk 0 trace - called modules:
08:05:06.370 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x863054d0]<<
08:05:06.370 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86316ab8]
08:05:06.370 3 CLASSPNP.SYS[f75dffd7] -> nt!IofCallDriver -> \Device\00000065[0x863cc0b0]
08:05:06.370 5 ACPI.sys[f7475620] -> nt!IofCallDriver -> [0x863a5210]
08:05:06.370 \Driver\atapi[0x86313848] -> IRP_MJ_CREATE -> 0x863054d0
08:05:06.385 Scan finished successfully
08:08:40.061 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\damien.jourdhier\Bureau\MBR.dat"
08:08:40.061 The log file has been saved successfully to "C:\Documents and Settings\damien.jourdhier\Bureau\rapport aswMBR.txt"

Damien 21600
 Posté le 29/07/2011 à 08:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Lorsque j'ai fai le deuxième scan , et FIX l'ordinateur à affiché un écran bleu.. en parlant de mémoire physique...

DC j'ai voulu reediter l'opération et lorsque je fai un scan.. les lignes ne sont plus "rouges" mais jaune affichant ceci :aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software
Run date: 2011-07-29 08:19:36
-----------------------------
08:19:36.319 OS Version: Windows 5.1.2600 Service Pack 3
08:19:36.319 Number of processors: 2 586 0xF0D
08:19:36.319 ComputerName: CATARMBRUSTER UserName:
08:19:38.351 Initialize success
08:19:42.100 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
08:19:42.100 Disk 0 Vendor: Hitachi_HDP725025GLA380 GM2OA5FA Size: 238475MB BusType: 3
08:19:42.116 Disk 0 MBR read successfully
08:19:42.116 Disk 0 MBR scan
08:19:42.116 Disk 0 unknown MBR code
08:19:42.116 Disk 0 scanning sectors +488392065
08:19:42.195 Disk 0 scanning C:\WINDOWS\system32\drivers
08:19:54.608 Service scanning
08:19:54.939 Service GMSIPCI E:\INSTALL\GMSIPCI.SYS **LOCKED** 21
08:19:55.616 Modules scanning
08:20:05.556 Disk 0 trace - called modules:
08:20:05.572
08:20:05.572 Scan finished successfully
08:20:27.389 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\damien.jourdhier\Bureau\MBR.dat"
08:20:27.405 The log file has been saved successfully to "C:\Documents and Settings\damien.jourdhier\Bureau\aswMBR.txt"

Merci

Damien 21600
 Posté le 29/07/2011 à 09:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rapport de ZHPFix 1.12.3344 par Nicolas Coolman, Update du 21/07/2011

Fichier d'export Registre : C:\ZHPExportRegistry-29-07-2011-09-07-49.txt

Run by damien.jourdhier at 29/07/2011 09:07:49

Windows XP Professional Service Pack 3 (Build 2600)

Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========

SUPPRIME Key: HKLM\Software\pdfforge.org

========== Valeur(s) du Registre ==========

SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

 

========== Récapitulatif ==========

1 : Cl

é(s) du Registre

2 : Valeur(s) du Registre

 

========== Chemin du fichier rapport ==========

C:\Program Files\ZHPDiag\ZHPFixReport.txt

 

 

End of the scan in 00mn 00s

pear
 Posté le 29/07/2011 à 11:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bien.

Comment va la machine ?

Damien 21600
 Posté le 29/07/2011 à 11:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Elle se porte mieux, PC tout à fait normal, internet n'a pu l'air de faire des siennes!!

En tout cas, je vous remercie chaleureusement!!!

Pour info, vous savez sur quel site j'ai attrapé ces cochonneries ? Ou d'où cela provient?

Ce matin AVG m'a indiqué de nouveau cheval de troie.. normal?Dois je vider la quarantaine?

Publicité
pear
 Posté le 29/07/2011 à 12:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

AVG m'a indiqué de nouveau cheval de troie.. normal?Dois je vider la quarantaine?

Postez en le rapport.

Ce qui est en quarantaine est inoffensif

Damien 21600
 Posté le 29/07/2011 à 13:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

"29/07/2011, 08:05:58";"AUTORITE NT\SYSTEM";"IDP";"Le processus SETUP.EXE a été détecté."
"29/07/2011, 08:07:00";"AUTORITE NT\SYSTEM";"IDP";"Le processus SETUP.EXE a été mis en quarantaine."
"29/07/2011, 08:07:05";"AUTORITE NT\SYSTEM";"IDP";"Le processus C.TMP a été détecté."
"29/07/2011, 08:07:09";"AUTORITE NT\SYSTEM";"IDP";"Le processus C.TMP a été mis en quarantaine."

Voici ce que ma dit mon AVG ce matin...

pear
 Posté le 29/07/2011 à 13:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

C'est un extrait, pas un rapport.

Damien 21600
 Posté le 29/07/2011 à 14:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je sais bien mais a part l'historique du journal de l'événement et la quarantaine.. je vois pas ou je peux récup le rapport de l'analyse de ce matin.

pear
 Posté le 29/07/2011 à 14:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Ce n'est pas grave.

Je suppose que IDP c'est IDP Home video ou IDP Manga ?

C'est en quarantaine et inoffensif.



Modifié par pear le 29/07/2011 14:37
Damien 21600
 Posté le 29/07/2011 à 14:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

En tt cas .. merci beaucoup!!!!

Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
Gratuit3 mois d'abonnement à Amazon Music Unlimited gratuits
Valable jusqu'au 23 Septembre

Amazon vous permet d'essayer son service de streaming musical pendant 3 mois gratuitement. Avec Amazon Music Unlimited, accédez à plus de 50 millions de titres, sans publicité et en illimité sur tous vos appareils : smartphone, tablette, PC/Mac, Fire, Alexa. Vous avez même la possibilité de télécharger vos playlists pour des écoutes hors connexion. A la fin de ces 3 mois, vous pourrez basculer vers l'offre payante à 9,99 € / mois ou bien arrêter sans frais le service. A noter l'existence d'une offre famille à 14,99 € / mois qui permet jusqu'à 6 utilisateurs d'écouter leur musique à tout moment et sur leurs appareils préférés. Vous pouvez annuler l'abonnement à tout moment.


> Voir l'offre
263,20 €Barbecue WEBER Master Touch GBS 57 cm à 263,20 € (+7,90 € remboursés)
Valable jusqu'au 18 Septembre

Boulanger via Rakuten fait une promotion sur le barbecue Barbecue WEBER Master Touch GBS 57 cm qui passe à 263,20 € au lieu de 329 €. Rakuten vous rembourse aussi 7,90 € en points Rakuten utilisables pour vos prochains achats. La livraison est gratuite. 

Notez que si vous n'avez jamais commandé sur Rakuten, cette offre de parrainage vous permettra également de déduire 10 € de votre commande.


> Voir l'offre
7,99 €Lot de 32 piles Philips AAA à 7,99 €
Valable jusqu'au 17 Septembre

Fnac fait une promotion sur le lot de 32 piles Philips AAA qui passe à 7,99 € au lieu de 15 €.


> Voir l'offre

Sujets relatifs
comment supprimer Un cheval de troie ks/kryptyk.l
pc infecte par cheval de troie et autres
infection cheval de troie
Divers adwares, cheval de Troie
une variante de Win32/Agent.SZW cheval de troie
Cheval de Troie bloqué invisible dans la quarantaine
cheval de troie pour cameyo
Cheval de Troie : Generic_s.ABP
question sur cheval de troie
cheval de troie
Plus de sujets relatifs à Cheval de troie, win 32, malware
 > Tous les forums > Forum Sécurité