Se connecter / S'enregistrer
Votre question

[Résolu]Plusieurs trojans-besoin analyse svp merci

Tags :
  • analyse
  • Sécurité
Dernière réponse : dans Sécurité et virus
14 Juillet 2011 12:42:01

bonjour,

Suite à un téléchargement hasardeux pour tenter de réparer ma clé usb, j'ai été infecté....
Voici les rapports avira, mam mis à jour et hitjackthis.
Si vous pouviez m'aider à clarifier mon système, ce serai sympa.
En attendant, merci à tous pour le partage que l'on trouve ici.
----------------------------------------------------------------

http://www.cijoint.fr/cjlink.php?file=cj201107/cijcz4wU...

Autres pages sur : resolu plusieurs trojans besoin analyse svp merci

a b 8 Sécurité
14 Juillet 2011 14:19:36

Salut,

On va regarder ça ensemble si tu veux bien, y a du boulot ! :) 

Faudrait éviter les cracks à l'avenir, tu en vois les conséquences !

__________________


Pour le bon déroulement de la désinfection :[/#ff]


  • Utilise le moins possible ton PC pendant la procédure, afin de faciliter la désinfection.

  • Suis les procédures données, mais ne tente rien par toi-même : si il y a un souci pendant une procédure, fais-m'en part plutôt que de cliquer au hasard et provoquer une panne sur ton système.

  • Si tu suis déjà une procédure sur un autre forum, merci de le signaler, il est important de ne suivre qu'une seule désinfection à la fois.

  • Même si les symptômes de l'infection ont disparu, le PC n'est pas forcément clean : attends bien que l'on t'ait dit que le PC est désinfecté avant de l'utiliser à nouveau.

  • Même si les désinfections sont faites par des personnes ayant des connaissances approfondies dans la désinfection, il est toujours possible que ton PC plante. Pense à bien sauvegarder tes données ;) 

    __________________


    1)

    Vide ta corbeille, apparemment Antivir a réussi à tout supprimer sauf les fichiers présents dans ta corbeille.

    2)

    [#ff9000]Diagnostic :


  • Télécharge OTL (de OldTimer[/#ff]) sur ton Bureau.

  • Si tu es sous XP, double-clique dessus pour le lancer, si tu es sous Vista/7, fais un clic droit dessus et fais Exécuter en tant qu'administrateur pour le lancer.

  • Une fenêtre apparaît.

  • Coche la case : Tous les utilisateurs

  • Coche les cases correspondant à la Recherche LOP et à la Recherche Purity (En bleu vers le bas de la fenêtre).

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.*
    %systemroot%\*. /mp /s
    %systemroot%\System32\config\*.sav
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\*.dll /lockedfiles
    /md5start
    explorer.exe
    winlogon.exe
    Userinit.exe
    svchost.exe
    iexplore.exe
    /md5stop
    CREATERESTOREPOINT


  • Enfin, clique sur le bouton Analyse. Pendant la durée du scanne, ne touche à rien. Le scan prendra quelques temps.

  • A la fin du scan, deux rapports s'ouvriront : OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.

    Pour les rapports, qui ont tendance à être trop longs pour le forum, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    3)

    --> Refais un scan complet d'Antivir et poste le rapport obtenu pour voir ce qu'il reste.

    4)

    --> Il y a outre l'infection Trojan des toolbars inutiles et la présence de MyWebSearch :


    [#ff9000]Scan Ad-Remover


  • Télécharge Ad-Remover (de C_XX[/#ff]) sur ton Bureau.

    [#ff0000]Déconnecte-toi et ferme toutes applications en cours[/#ff]


  • Double-clique sur AD-R présent sur ton bureau. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA/7)

  • Patiente jusqu'à l'apparition du menu principal. A partir de là, clique sur Scanner. On te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.

    [#ff0000]Laisse travailler l'outil [/#ff]


  • Une fenêtre contenant le rapport va s'ouvrir, poste-moi le rapport dans ta prochaine réponse.
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    Ensuite clique sur Quitter pour fermer Ad-Remover.

    Note : Le rapport que Ad-Remover viens de générer se trouve ici : C:\Ad-Report-SCAN

    [#ff9d00]Pour t'aider :
  • Tuto sur AD-R
    14 Juillet 2011 17:20:09

    bonjour, guigui

    Merci pour ton implication. J'ai bien noté toutes tes remarques et en tiendrais compte désormais.
    Cette étape fut longue, voici enfin les rapports demandés.

    Rapport Extras
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijwO6AQ...
    ----------------------------------------------------------------------------------------------------

    Rapport OTL
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijfTiaL...
    ----------------------------------------------------------------------------------------------------
    Rapport avira
    Il a retrouvé 58 virus

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijy2mkM...

    -------------------------------------------------------------------------------------------
    Rapport AD-R
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijCHSO4...
    Contenus similaires
    a b 8 Sécurité
    14 Juillet 2011 18:59:01

    Re,

    Ok, bien alors dans l'ordre :

  • Enlève ta clé USB jusqu'à la fin de la désinfection, car elle risque de faire freezer le PC.

  • Supprime ce fichier et vide la corbeille après suppression > C:\Documents and Settings\Fred\Bureau\Nouveau dossier\SM32x_G1219.rar

    Ca doit être le crack j'imagine.

    Pour le reste, Antivir a détecté des virus dans tes points de restauration, c'est normal et pas grave, on s'en occupera plus tard ;) 

    Par contre : tu as The Avenger d'installé sur ton PC, pourquoi ? Ne l'utilise pas s'il te plaît, il est très puissant et donc dangereux si on l'utilise pas correctement.

  • Infection Bandoo qu'on va supprimer :


    Fix Ad-Remover

    Déconnecte-toi et ferme toutes applications en cours[/#ff]


  • Relance Ad-Remover. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA/7)

  • Patiente jusqu'à l'apparition du menu principal. A partir de là, clique sur Nettoyer. On te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.

    [#ff0000]Laisse travailler l'outil [/#ff]


  • Une fenêtre contenant un nouveau rapport va s'ouvrir, poste-moi le rapport dans ta prochaine réponse.
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    Ensuite clique sur Quitter pour fermer Ad-Remover.

    Note : Le rapport que Ad-Remover viens de générer se trouve ici : C:\Ad-Report-CLEAN

    [#ff9d00]Pour t'aider :
  • Tuto sur AD-R

  • Pour voir :


    Analyse et suppression des logiciels malveillants

  • Télécharge Malwarebytes' Anti-Malware (MBAM) (de Marcin Kleczynski et Bruce Harriss).

  • Installe-le, puis mets bien à jour le programme à la fin de l'installation.

  • Une fois l'opération terminée, MBAM se lance. Vérifie que la case Examen rapide est bien cochée, puis appuye sur Rechercher (encadré en rouge dans l'image ci-dessous )



  • A la fin de l'analyse, un message va s'afficher :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    ou bien :
    L'examen s'est terminé normalement. Aucun élément nuisible n'a été détecté.


  • Clique sur OK pour continuer. Si MBAM n'a rien trouvé, fais-le moi savoir et quitte le programme.

  • Si il a trouvé des malwares (donc si tu obtiens le message "Afficher les résultats' pour afficher tous les objets trouvés"), continue :

    Ferme toutes les applications en cours (à part MBAM) [/#ff]

  • Clique sur Afficher les résultats.

  • Coche toutes les cases et clique sur Supprimer la sélection. Ainsi, les malwares vont être mis en quarantaine.

  • Un rapport va s'afficher. Colle ce rapport dans ta prochaine réponse stp ;) 

    [#ffb200]Pour t'aider
  • : Tuto sur MBAM
    14 Juillet 2011 19:59:41

    re,

    Citation :
    * Bureau\Nouveau dossier\SM32x_G1219.rar

    Ca doit être le crack j'imagine.
    je l'ai scanné avec avira avant de l'installer, il n'a pourtant rien détecté. Parcontre, j'ai téléchargé easyrecovery pro en p2p, que j'ai omis certainement de contrôler! Il n'est plus présent dans le pc.

    Citation :
    tu as The Avenger d'installé sur ton PC, pourquoi ?

    Je ne m'en suis jamais servi, peut-être une erreur de téléchargement. Faut que je sois plus vigilant à l'avenir.

    rapport de ad-remover
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijoqoJL...

    MBAM n'a plus rien détecté.
    Parcontre le pc s'emballe encore un peu de tps en tps!
    a b 8 Sécurité
    14 Juillet 2011 20:38:43

    Re,

    Citation :
    je l'ai scanné avec avira avant de l'installer, il n'a pourtant rien détecté. Parcontre, j'ai téléchargé easyrecovery pro en p2p, que j'ai omis certainement de contrôler! Il n'est plus présent dans le pc.


    Un comportement des plus irresponsables quand même... le P2P est le principal vecteur d'infections, et tu as eu de la chance de n'être tombé "que" sur ce virus...

    Merci de supprimer TOUS les cracks de ton PC afin qu'aucun n'interfère avec la désinfection :) 

    Est-ce que tu as pu supprimer le crack sans souci ?

    Bien, on a fait le plus gros du boulot je pense.

    > Refais un scan OTL (sans personnalisation) et poste le rapport s'il te plaît.

    > Refais un scan Antivir, et poste le rapport obtenu pour qu'on fasse le point ;) 

    Bonne soirée :) 
    15 Juillet 2011 04:32:16

    bonjour,

    Ok, j'ai pu supprimer sans soucis.
    En fait, je suis loin d'être un accroc des téléchargements illégaux. Mais, pour essayer de récupérer une clé usb de 16go ( 60 euros), avec un logiciel hors de prix, ma décision a été très vite orientée.
    A moi d'en tirer les leçons. Vaut mieux être pris pour être appris!

    rapport otl
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijMB95o...

    -----------------------------------------------------------------------
    rapport avira
    2 virus trouvés


    Avira AntiVir Personal
    Date de création du fichier de rapport : jeudi 14 juillet 2011 21:44

    La recherche porte sur 2930059 souches de virus.

    Le programme fonctionne en version intégrale illimitée.
    Les services en ligne sont disponibles.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 3) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : FRED-1A1F314886

    Informations de version :
    BUILD.DAT : 10.0.0.135 31823 Bytes 18/04/2011 14:35:00
    AVSCAN.EXE : 10.0.4.2 442024 Bytes 30/04/2011 14:37:11
    AVSCAN.DLL : 10.0.3.0 56168 Bytes 17/08/2010 12:39:10
    LUKE.DLL : 10.0.3.2 104296 Bytes 15/12/2010 19:52:10
    LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 21:04:17
    VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 19:51:49
    VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 21:48:55
    VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 16:29:23
    VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 16:53:58
    VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 13:07:17
    VBASE006.VDF : 7.11.10.252 2048 Bytes 07/07/2011 13:07:18
    VBASE007.VDF : 7.11.10.253 2048 Bytes 07/07/2011 13:07:19
    VBASE008.VDF : 7.11.10.254 2048 Bytes 07/07/2011 13:07:19
    VBASE009.VDF : 7.11.10.255 2048 Bytes 07/07/2011 13:07:19
    VBASE010.VDF : 7.11.11.0 2048 Bytes 07/07/2011 13:07:19
    VBASE011.VDF : 7.11.11.1 2048 Bytes 07/07/2011 13:07:20
    VBASE012.VDF : 7.11.11.2 2048 Bytes 07/07/2011 13:07:20
    VBASE013.VDF : 7.11.11.75 688128 Bytes 12/07/2011 05:56:36
    VBASE014.VDF : 7.11.11.104 978944 Bytes 13/07/2011 05:56:45
    VBASE015.VDF : 7.11.11.105 2048 Bytes 13/07/2011 05:56:45
    VBASE016.VDF : 7.11.11.106 2048 Bytes 13/07/2011 05:56:45
    VBASE017.VDF : 7.11.11.107 2048 Bytes 13/07/2011 05:56:46
    VBASE018.VDF : 7.11.11.108 2048 Bytes 13/07/2011 05:56:46
    VBASE019.VDF : 7.11.11.109 2048 Bytes 13/07/2011 05:56:46
    VBASE020.VDF : 7.11.11.110 2048 Bytes 13/07/2011 05:56:46
    VBASE021.VDF : 7.11.11.111 2048 Bytes 13/07/2011 05:56:46
    VBASE022.VDF : 7.11.11.112 2048 Bytes 13/07/2011 05:56:46
    VBASE023.VDF : 7.11.11.113 2048 Bytes 13/07/2011 05:56:47
    VBASE024.VDF : 7.11.11.114 2048 Bytes 13/07/2011 05:56:47
    VBASE025.VDF : 7.11.11.115 2048 Bytes 13/07/2011 05:56:47
    VBASE026.VDF : 7.11.11.116 2048 Bytes 13/07/2011 05:56:47
    VBASE027.VDF : 7.11.11.117 2048 Bytes 13/07/2011 05:56:47
    VBASE028.VDF : 7.11.11.118 2048 Bytes 13/07/2011 05:56:47
    VBASE029.VDF : 7.11.11.119 2048 Bytes 13/07/2011 05:56:47
    VBASE030.VDF : 7.11.11.120 2048 Bytes 13/07/2011 05:56:47
    VBASE031.VDF : 7.11.11.129 22528 Bytes 14/07/2011 05:56:48
    Version du moteur : 8.2.6.6
    AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 18:15:15
    AESCRIPT.DLL : 8.1.3.69 1614203 Bytes 04/07/2011 20:36:30
    AESCN.DLL : 8.1.7.2 127349 Bytes 29/11/2010 18:32:32
    AESBX.DLL : 8.2.1.34 323957 Bytes 11/06/2011 16:54:24
    AERDL.DLL : 8.1.9.12 639348 Bytes 04/07/2011 20:36:25
    AEPACK.DLL : 8.2.6.10 557430 Bytes 11/07/2011 13:07:56
    AEOFFICE.DLL : 8.1.2.9 196985 Bytes 11/07/2011 13:07:52
    AEHEUR.DLL : 8.1.2.138 3596663 Bytes 11/07/2011 13:07:48
    AEHELP.DLL : 8.1.17.3 246134 Bytes 11/07/2011 13:07:26
    AEGEN.DLL : 8.1.5.6 401780 Bytes 20/05/2011 05:46:54
    AEEMU.DLL : 8.1.3.0 393589 Bytes 29/11/2010 18:32:12
    AECORE.DLL : 8.1.21.1 196983 Bytes 25/05/2011 17:16:56
    AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 17:30:27
    AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56
    AVPREF.DLL : 10.0.0.0 44904 Bytes 17/08/2010 12:38:55
    AVREP.DLL : 10.0.0.10 174120 Bytes 18/05/2011 07:30:06
    AVREG.DLL : 10.0.3.2 53096 Bytes 17/08/2010 12:38:56
    AVSCPLR.DLL : 10.0.4.2 84840 Bytes 30/04/2011 14:37:11
    AVARKT.DLL : 10.0.22.6 231784 Bytes 15/12/2010 19:52:06
    AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 17/08/2010 12:38:55
    SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02
    AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
    NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
    RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 11/02/2010 00:23:03
    RCTEXT.DLL : 10.0.58.0 99688 Bytes 17/08/2010 12:39:11

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:, E:,
    Recherche dans les programmes actifs..........: marche
    Programmes en cours étendus...................: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen

    Début de la recherche : jeudi 14 juillet 2011 21:44

    La recherche d'objets cachés commence.
    HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NtmsSvc\Config\Standalone\drivelist
    [REMARQUE] L'entrée d'enregistrement n'est pas visible.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'msdtc.exe' - '40' module(s) sont contrôlés
    Processus de recherche 'dllhost.exe' - '61' module(s) sont contrôlés
    Processus de recherche 'dllhost.exe' - '45' module(s) sont contrôlés
    Processus de recherche 'vssvc.exe' - '48' module(s) sont contrôlés
    Processus de recherche 'avscan.exe' - '67' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '63' module(s) sont contrôlés
    Processus de recherche 'OTL.exe' - '47' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '139' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
    Processus de recherche 'iPodService.exe' - '29' module(s) sont contrôlés
    Processus de recherche 'wmiapsrv.exe' - '45' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '33' module(s) sont contrôlés
    Processus de recherche 'translateclient.exe' - '64' module(s) sont contrôlés
    Processus de recherche 'PhLeAutoRun.exe' - '39' module(s) sont contrôlés
    Processus de recherche 'ecbl-lbp.exe' - '67' module(s) sont contrôlés
    Processus de recherche 'QWDLLS.EXE' - '64' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '25' module(s) sont contrôlés
    Processus de recherche 'iTunesHelper.exe' - '68' module(s) sont contrôlés
    Processus de recherche 'QTTask.exe' - '19' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '21' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '45' module(s) sont contrôlés
    Processus de recherche 'LVCOMSX.EXE' - '30' module(s) sont contrôlés
    Processus de recherche 'RUNDLL32.EXE' - '30' module(s) sont contrôlés
    Processus de recherche 'Explorer.EXE' - '120' module(s) sont contrôlés
    Processus de recherche 'wdfmgr.exe' - '15' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '42' module(s) sont contrôlés
    Processus de recherche 'SeaPort.exe' - '45' module(s) sont contrôlés
    Processus de recherche 'nvsvc32.exe' - '39' module(s) sont contrôlés
    Processus de recherche 'mdm.exe' - '22' module(s) sont contrôlés
    Processus de recherche 'avshadow.exe' - '26' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '81' module(s) sont contrôlés
    Processus de recherche 'mDNSResponder.exe' - '33' module(s) sont contrôlés
    Processus de recherche 'AppleMobileDeviceService.exe' - '46' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '55' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '45' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '56' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '43' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '32' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '162' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '39' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '53' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '58' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '27' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '75' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '12' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD1
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD2
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD3
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'E:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '1760' fichiers).


    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    C:\System Volume Information\_restore{A76D7BC0-CCE7-41FE-A960-ACE78012499F}\RP98\A0019015.DLL
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    C:\System Volume Information\_restore{A76D7BC0-CCE7-41FE-A960-ACE78012499F}\RP98\A0019015.DLL
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    Recherche débutant dans 'D:\' <BACKUP>
    Recherche débutant dans 'E:\' <RECOVER>

    Début de la désinfection :
    C:\System Volume Information\_restore{A76D7BC0-CCE7-41FE-A960-ACE78012499F}\RP98\A0019015.DLL
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ce000ef.qua' !


    Fin de la recherche : vendredi 15 juillet 2011 04:21
    Temps nécessaire: 2:42:30 Heure(s)

    La recherche a été effectuée intégralement

    25480 Les répertoires ont été contrôlés
    606271 Des fichiers ont été contrôlés
    2 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    1 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    0 Impossible de scanner des fichiers
    606269 Fichiers non infectés
    6983 Les archives ont été contrôlées
    0 Avertissements
    2 Consignes
    395749 Des objets ont été contrôlés lors du Rootkitscan
    1 Des objets cachés ont été trouvés





    a b 8 Sécurité
    15 Juillet 2011 11:26:04

    Re, les 2 virus trouvés sont dans la restauration donc non dangereux. Le rapport ne montre plus d'infections.

    On finalise dans l'ordre :

    1)

    [#ff9000]Fix OTL :[/#ff]

  • Relance OTL.exe.

  • Copie exactement le texte ci-dessous :

    :OTL
    FF - prefs.js..browser.search.selectedEngine: "My Web Search"
    FF - prefs.js..extensions.enabledItems: ffox@bandoo.com:5.1
    [2011/06/28 13:47:32 | 000,000,000 | ---D | M] (Bandoo for Firefox) -- C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\ffox@bandoo.com
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKU\S-1-5-21-1757981266-776561741-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O20 - AppInit_DLLs: (c:\progra~1\bandoo\bndhook.dll) - File not found

    :Files
    C:\Documents and Settings\Fred\Application Data\Bandoo
    C:\Documents and Settings\Fred\Application Data\searchquband
    C:\Documents and Settings\Fred\Application Data\searchqutoolbar
    C:\Documents and Settings\All Users\Application Data\boost_interprocess


    :Commands
    [purity]
    [emptytemp]
    [emptyflash]
    [createrestorepoint]


  • Colle-le dans le cadre Personnalisation en bas à gauche.

  • Clique sur le bouton [#ff9000]Correction[/#ff] en haut à gauche.

  • Si le pc te demande de redémarrer, confirme l'opération.

  • Un rapport après le redémarrage va apparaître, copie/colle-le dans ta prochaine réponse.

    2)

    Est-ce toi qui a mis ustart en page d'accueil de ton navigateur ?

    3)

    > Fais un dernier scan OTL et poste-moi le rapport :) 

    4)

    Comment se comporte le PC ? Mieux ?
    15 Juillet 2011 13:44:15

    re,

    1) rapport après correction otl

    All processes killed
    ========== OTL ==========
    Prefs.js: "My Web Search" removed from browser.search.selectedEngine
    Prefs.js: ffox@bandoo.com:5.1 removed from extensions.enabledItems
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\ffox@bandoo.com\content\creatives folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\ffox@bandoo.com\content folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\ffox@bandoo.com\components folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\ffox@bandoo.com folder moved successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{2318C2B1-4965-11d4-9B18-009027A5CD4F} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11d4-9B18-009027A5CD4F}\ deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{99079a25-328f-4bd4-be04-00955acaa0a7} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-1757981266-776561741-1801674531-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:c:\progra~1\bandoo\bndhook.dll deleted successfully.
    ========== FILES ==========
    C:\Documents and Settings\Fred\Application Data\Bandoo folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\searchquband folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\searchqutoolbar\weather folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\searchqutoolbar\coupons folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\searchqutoolbar folder moved successfully.
    C:\Documents and Settings\All Users\Application Data\boost_interprocess\705CA303A735CC01 folder moved successfully.
    C:\Documents and Settings\All Users\Application Data\boost_interprocess folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 0 bytes

    User: Fred
    ->Temp folder emptied: 67108 bytes
    ->Temporary Internet Files folder emptied: 410002 bytes
    ->Java cache emptied: 2521941 bytes
    ->FireFox cache emptied: 73042226 bytes
    ->Google Chrome cache emptied: 0 bytes
    ->Flash cache emptied: 487 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Propriétaire

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 38734653 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 110,00 mb


    [EMPTYFLASH]

    User: Administrateur

    User: All Users

    User: Default User
    ->Flash cache emptied: 0 bytes

    User: Fred
    ->Flash cache emptied: 0 bytes

    User: LocalService

    User: NetworkService

    User: Propriétaire

    Total Flash Files Cleaned = 0,00 mb

    Restore point Set: OTL Restore Point (0)

    OTL by OldTimer - Version 3.2.26.1 log created on 07152011_131728

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...

    -------------------------------------------------------------------------
    2) Ce n'est pas moi qui est mis la page d'accueil ustart.

    3) http://www.cijoint.fr/cjlink.php?file=cj201107/cijPJ0Xc...

    4) C'est beaucoup mieux, à voir si le ventilo ne s'emballe pas trop!
    a b 8 Sécurité
    15 Juillet 2011 16:00:24

    Yop,

    Suite et fin dans l'ordre :

    Citation :
    2) Ce n'est pas moi qui est mis la page d'accueil ustart.


    Ok donc on va aussi le virer :

    1)

    Fix OTL :[/#ff]

  • Relance OTL.exe.

  • Copie exactement le texte ci-dessous :

    :OTL
    FF - prefs.js..browser.search.defaultenginename: "uStart"
    FF - prefs.js..browser.search.order.1: "uStart"
    FF - prefs.js..extensions.enabledItems: team.ustart.2@gmail.com:0.1.8
    FF - prefs.js..extensions.enabledItems: team.ustart@gmail.com:0.1.18
    [2011/07/07 11:07:34 | 000,000,000 | ---D | M] ("uStart Toolbar") -- C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com
    [2011/07/07 11:07:34 | 000,000,000 | ---D | M] ("Add to uStart") -- C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com
    [2011/07/07 11:07:33 | 000,005,261 | ---- | M] () -- C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\searchplugins\ustart.xml
    O3 - HKLM\..\Toolbar: (uStart Toolbar) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Documents and Settings\Fred\Application Data\uStart\uStart Toolbar.dll ()
    [2011/07/07 11:07:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fred\Application Data\uStart

    :Reg
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bandoo]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu 101 MediaBar]

    :Commands
    [emptytemp]


  • Colle-le dans le cadre Personnalisation en bas à gauche.

  • Clique sur le bouton [#ff9000]Correction[/#ff] en haut à gauche.

  • Si le pc te demande de redémarrer, confirme l'opération.

  • Un rapport après le redémarrage va apparaître, copie/colle-le dans ta prochaine réponse.

    2)

    [#ff0000]Important : purge de la restauration du système[/#ff]


    --> Il y a toujours des virus dans tes points de restauration. Suis ce tuto pour la purger.

    N'oublie pas de créer un nouveau point de restauration une fois l'opération effectuée (en appuyant sur le bouton créer)

    3)

    [#0033ff]
    Prévention



  • Les menaces diverses sur Internet étant de plus en plus nombreuses, je te conseille vivement de consulter ces liens, afin de mieux te protéger sur le Net :



    Les dangers du P2P (comme emule, limewire...) : http://forum.zebulon.fr/index.php?showtopic=85544

    Pour télécharger gratuitement et légalement, je te conseille Beezik , qui a pour avantages :

  • Une meilleure qualité de son

  • Pas de virus !

    Les dangers des cracks, des keygens : http://forum.malekal.com/danger-des-cracks-t893.html

    Rappels sur les OS piratés : http://redirectingat.com/?id=1402X522807&xs=1&url=http%...

    ********************************

    Logiciels de sécurité conseillés :

    Anti-virus : Avast 6.0

    Pour scanner tes fichiers : MBAM

    ********************************

    Attention, contrairement aux idées reçues :

  • Ne jamais avoir deux anti-virus avec la protection en temps réelle activée, c'est la meilleure façon de créer des conflits. Plusieurs anti-virus actifs peuvent s'entraver, et, au final, le PC que l'on croyait plus sécurisé devient une vraie passoire...

  • Les anti-spywares ne servent à rien !!

  • Je te conseille fortement de ne pas installer des packs de "transformation', qui donnent par exemple l'allure de Windows Vista à un Windows XP. Ce genre de programmes posent beaucoup de problèmes !!!

    Enfin, n'oublie pas que la meilleure manière de protéger ton ordinateur c'est toi !


    4)

    Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre de ton sujet :

  • Clique, dans ton premier message, sur le bouton Editer .

  • Ajoute [Résolu] devant le titre.

  • Clique ensuite sur Valider votre message.

    Sois plus vigilant(e) sur Internet ! ;) 

    Pour ta clé USB, tu peux poster un message en Systèmes d'exploitation pour qu'on t'aide à la réparer avec de vrais outils :D 

    A+ sur Tom's Guide :hello: 
    15 Juillet 2011 20:28:38

    1) rapport otl

    All processes killed
    ========== OTL ==========
    Prefs.js: "uStart" removed from browser.search.defaultenginename
    Prefs.js: "uStart" removed from browser.search.order.1
    Prefs.js: team.ustart.2@gmail.com:0.1.8 removed from extensions.enabledItems
    Prefs.js: team.ustart@gmail.com:0.1.18 removed from extensions.enabledItems
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com\skin folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com\locale\fr-FR folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com\locale\en-US folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com\locale folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com\content folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart.2@gmail.com folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com\skin folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com\locale\fr-FR folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com\locale\en-US folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com\locale folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com\content folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\extensions\team.ustart@gmail.com folder moved successfully.
    C:\Documents and Settings\Fred\Application Data\Mozilla\Firefox\Profiles\5wy88lq3.default\searchplugins\ustart.xml moved successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\ deleted successfully.
    C:\Documents and Settings\Fred\Application Data\uStart\uStart Toolbar.dll moved successfully.
    C:\Documents and Settings\Fred\Application Data\uStart folder moved successfully.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bandoo\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu 101 MediaBar\ not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Fred
    ->Temp folder emptied: 1038215 bytes
    ->Temporary Internet Files folder emptied: 284521 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 24446256 bytes
    ->Google Chrome cache emptied: 0 bytes
    ->Flash cache emptied: 456 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Propriétaire

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 25,00 mb


    OTL by OldTimer - Version 3.2.26.1 log created on 07152011_195853

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...

    2)points de restauration désactivés et réactivés

    3) C'est bien de conseiller comme tu le fais, car on est trop souvent dans le doute quant aux diverses manipulations hasardeuses. On est vite désarmé lorsque on ne possède pas de compétences informatiques.
    Merci pour tout, c'est vraiment super, tout fonctionne convenablement.
    Milles mercis.
    bonne continuation
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS