Votre question

Invasion de processus IEXPLORER.exe à chaque démarrage

Tags :
  • Windows
  • Hijackthis
  • Internet Explorer
  • infection
  • Network associates
  • Demarrage
  • processus
  • iexplorer.exe
  • Invasion
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Juin 2012 02:26:54

Bonjour,
à chaque démarrage de mon ordi, j'ai une multitude de processus iexplorer.exe qui s'ouvre et me plante totalement mon ordinateur une fois sur 2. Sauriez vous m'aidez ?

Ci-après le rapport HiJackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:23:48, on 25/06/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\apps\ABoard\AOSD.exe
D:\daemon tools\daemon.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Program Files\QuickTime\qttask.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
D:\Documents and Settings\Yann\Application Data\AB.exe
D:\Documents and Settings\Yann\Application Data\AC.exe
D:\DOCUME~1\Yann\LOCALS~1\Temp\googletoolbarinstaller_stub_signed.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
D:\Documents and Settings\Yann\Bureau\HJT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://m.fr.yahoo.com/?fr=fptb-mdp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\daemon tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\wrdrive32.exe
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [zaber0] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\wrdrive32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8510 bytes

Autres pages sur : invasion processus iexplorer exe demarrage

a b 8 Sécurité
25 Juin 2012 11:09:47

Bonjour,

C'est normal d'en avoir plusieurs, on va voir s'il y a une infection quand même si tu veux.

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    25 Juin 2012 15:01:59

    Bonjour Angeldark,

    Merci avant toute chose de ta réponse et désolé pour la réactivité mais la nuit fut courte vu le temps passer à trouver une solution.
    Concernant ton post, j'ai beau cliqué sur le lien OTL, la réponse est : " Adresse introuvable ". Et même si je vais sur le site de ton lien, tout fonctionne jusqu'au téléchargement du fichier et quand je clique dessus pour téléchargement, j'ai invariablement la même réponse. Petite précision qui me fait dire que je suis infecté, c'est qu'à chaque redémarrage de mon UC centrale, après avoir fait sauté tous les processus IEXPLORER.exe, j'ai à la fin un nouveau fichier .exe qui s'affiche dans les porcessus et que je ne voyais pas avant, le 1er était A1.exe, puis A2.exe puis A3.exe et là j'en suis à AF.exe... en sachant que 2 fois sur 3, pour une raison encore indéterminée, même après avoir fait ça, rien ne fonctionne et que je suis obligé de relancé mon ordi en éteignant mon UC " sauvagement ". A tout bientôt j'espère. Pendant ce temps, j'essaie de continuer à charger OTL
    Contenus similaires
    25 Juin 2012 15:03:46

    Petite précision, je tourne sous Firefox mais j'ai essayé le téléchargement du lien sous explorer également sans succès.
    a b 8 Sécurité
    25 Juin 2012 16:02:31

    J'ai parlé trop vite autant pour moi. Tu peux télécharger des fichiers depuis un autre pc pour les transférer ?

    • Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
      Une fois l'installation et la mise à jour effectuées :
    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
    • Afin de lancer la recherche, clic sur"Rechercher".
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
      - Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
      -- Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection".
    • Enregistre le rapport sur ton Bureau.
    • Poste ce rapport.

  • REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
    25 Juin 2012 17:54:51

    Angeldark,

    j'ai réussi a télécharger et lancer MBAM en mode sans échec avec prise en charge réseau et je vois que c'était pas inutile. Voila le résultat :
    Malwarebytes Anti-Malware (Essai) 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.06.25.07

    Windows XP Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
    Internet Explorer 6.0.2900.2180
    Administrateur :: 112783230311 [administrateur]

    Protection: Désactivé

    25/06/2012 17:07:29
    mbam-log-2012-06-25 (17-07-29).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 446794
    Temps écoulé: 40 minute(s), 30 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 5
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|zaber0 (Worm.Autorun.B) -> Données: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Données: explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Données: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Microsoft Driver Setup (Trojan.Agent.MSGen) -> Données: C:\WINDOWS\wrdrive32.exe -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Driver Setup (Trojan.Agent.MSGen) -> Données: C:\WINDOWS\wrdrive32.exe -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 3
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.Autorun.B) -> Mauvais: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) Bon: () -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Mauvais: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) Bon: (Explorer.exe) -> Mis en quarantaine et réparé avec succès
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 1
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830 (Worm.AutoRun) -> Mis en quarantaine et supprimé avec succès.

    Fichier(s) détecté(s): 34
    D:\Documents and Settings\Yann\Bureau\hijackthis_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Aucune action effectuée.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe (Worm.Autorun.B) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1397\A0164364.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1398\A0166363.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1399\A0167894.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1399\A0169364.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1403\A0170259.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1403\A0175289.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1403\A0178307.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1403\A0179307.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1403\A0180307.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\daemon tools\SetupDTSB.exe (Adware.WhenU) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Marie\Application Data\A4.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Marie\Application Data\A5.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Marie\Application Data\B8.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Yann\Application Data\9D.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Yann\Application Data\B5.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Yann\Application Data\B8.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Yann\Application Data\BB.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Yann\Application Data\BF.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1398\A0165364.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1399\A0169363.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1403\A0171280.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1403\A0172285.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1403\A0174287.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1403\A0175287.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1403\A0175308.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1403\A0176307.exe (Trojan.BTSoft.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Marie\Application Data\97.exe (Trojan.Banker) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Yann\Application Data\3.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Yann\Application Data\4.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
    D:\Documents and Settings\Yann\Application Data\5.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\WINDOWS\wrdrive32.exe (Trojan.Agent.MSGen) -> Mis en quarantaine et supprimé avec succès.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini (Worm.AutoRun) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    a b 8 Sécurité
    25 Juin 2012 19:32:10

    Un bon nettoyage. Tu peux utiliser OTL maintenant ?

    Citation :
    D:\Documents and Settings\Yann\Bureau\hijackthis_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Aucune action effectuée.

    Il ne faut pas télécharger chez 01Net, il te refourgue des logiciels gratuits avec des toolbars.
    25 Juin 2012 23:37:28

    Angeldark,

    Bon, malgré un premier nettoyage de mon ordinateur en mode sans échec en tant qu'administrateur (celui dont je t'ai mis le rapport) et un autre nettoyage de ma session où j'ai encore eu quelques infections de détectées, je n'ai toujours pas pu ouvrir OTL de mon ordinateur. Je l'ai donc chargé sur un autre ordinateur, transféré via USB et ai ensuite suivi tes conseils :

    Voici le résultat pour le fichier OTL.txt:

    http://pjjoint.malekal.com/files.php?id=20120625_z13d9m...

    et le résultat pour le fichier Extras.txt :

    http://pjjoint.malekal.com/files.php?id=20120625_l13p8h...

    Dans l'attente de lire tes prochains et précieux conseils. Et par avance merci encore pour le temps passé.

    Sincèrement,

    a b 8 Sécurité
    26 Juin 2012 12:35:40

    Re,

    On va faire une recherche avec USBFix dans un premier temps.
    Tu branches tous tes disques amovibles susceptibles d'avoir été infectés et tu fais l'option Recherche.
    Tu postes ensuite le rapport.
    http://www.malekal.com/2010/11/12/tutorial-usbfix/

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
      O3 - HKU\S-1-5-21-882619686-567922632-1102491616-1006\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
      O3 - HKU\S-1-5-21-882619686-567922632-1102491616-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
      O3 - HKU\S-1-5-21-882619686-567922632-1102491616-1006\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1
      O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-21-882619686-567922632-1102491616-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O33 - MountPoints2\{43b705a8-d3fa-11dc-be33-00038a000015}\Shell - "" = AutoRun
      O33 - MountPoints2\{43b705a8-d3fa-11dc-be33-00038a000015}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\37e32d80.scr
      O33 - MountPoints2\{43b705a8-d3fa-11dc-be33-00038a000015}\Shell\explore\command - "" = M:\RECYCLER\37e32d80.scr
      O33 - MountPoints2\{43b705a8-d3fa-11dc-be33-00038a000015}\Shell\open\command - "" = M:\RECYCLER\37e32d80.scr
      O33 - MountPoints2\{f5228cdb-f5f3-11dc-be67-00038a000015}\Shell - "" = AutoRun
      O33 - MountPoints2\{f5228cdb-f5f3-11dc-be67-00038a000015}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\37e32d80.scr
      O33 - MountPoints2\{f5228cdb-f5f3-11dc-be67-00038a000015}\Shell\explore\command - "" = F:\RECYCLER\37e32d80.scr -- [2012/06/24 13:32:26 | 000,129,024 | -H-- | M] ()
      O33 - MountPoints2\{f5228cdb-f5f3-11dc-be67-00038a000015}\Shell\open\command - "" = F:\RECYCLER\37e32d80.scr -- [2012/06/24 13:32:26 | 000,129,024 | -H-- | M] ()
      NetSvcs: 6to4 - File not found
      NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
      NetSvcs: Ias - File not found
      NetSvcs: Iprip - File not found
      NetSvcs: Irmon - File not found
      NetSvcs: NWCWorkstation - File not found
      NetSvcs: Nwsapagent - File not found
      NetSvcs: WmdmPmSp - File not found
      [2012/06/25 16:53:56 | 000,113,792 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\BA.exe
      [2012/06/25 16:53:52 | 000,081,920 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\B9.exe
      [2012/06/25 16:41:20 | 000,113,792 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\B7.exe
      [2012/06/25 16:41:16 | 000,081,920 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\B6.exe
      [2012/06/25 16:34:46 | 000,113,792 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\B4.exe
      [2012/06/25 16:34:41 | 000,081,920 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\B3.exe
      [2012/06/25 16:27:45 | 000,113,792 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\B2.exe
      [2012/06/25 16:27:42 | 000,081,920 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\B1.exe
      [2012/06/25 14:35:35 | 000,000,193 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\B0.exe
      [2012/06/25 14:35:33 | 000,081,920 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\AF.exe
      [2012/06/25 14:27:09 | 000,113,792 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\AE.exe
      [2012/06/25 14:27:06 | 000,081,920 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\AD.exe
      [2012/06/25 02:07:18 | 000,113,792 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\AC.exe
      [2012/06/25 02:07:11 | 000,081,920 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\AB.exe
      [2012/06/25 01:47:48 | 000,113,792 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\AA.exe
      [2012/06/25 01:47:45 | 000,081,920 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\A9.exe
      [2012/06/25 01:17:02 | 000,113,792 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\A8.exe
      [2012/06/25 01:16:59 | 000,081,920 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\A7.exe
      [2012/06/25 01:07:44 | 000,433,757 | ---- | M] (Headlight Software, Inc.) -- D:\Documents and Settings\Yann\Bureau\hijackthis_telechargement_01net.exe
      [2012/06/25 01:02:00 | 000,113,792 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\A6.exe
      [2012/06/25 01:01:52 | 000,081,920 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\A5.exe
      [2012/06/25 00:53:15 | 000,081,920 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\C1.exe
      [2012/06/25 00:53:10 | 000,113,792 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\C0.exe
      [2012/06/24 13:33:21 | 000,113,792 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\9C.exe
      [2012/06/24 13:33:01 | 000,049,664 | ---- | M] () -- D:\Documents and Settings\Yann\Application Data\9B.exe
      [2012/06/25 16:53:56 | 000,113,792 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\BA.exe
      [2012/06/25 16:53:52 | 000,081,920 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\B9.exe
      [2012/06/25 16:41:20 | 000,113,792 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\B7.exe
      [2012/06/25 16:41:16 | 000,081,920 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\B6.exe
      [2012/06/25 16:34:46 | 000,113,792 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\B4.exe
      [2012/06/25 16:34:41 | 000,081,920 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\B3.exe
      [2012/06/25 16:27:45 | 000,113,792 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\B2.exe
      [2012/06/25 14:36:45 | 000,081,920 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\B1.exe
      [2012/06/25 14:35:35 | 000,000,193 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\B0.exe
      [2012/06/25 14:27:11 | 000,081,920 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\AF.exe
      [2012/06/25 14:27:09 | 000,113,792 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\AE.exe
      [2012/06/25 02:07:20 | 000,081,920 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\AD.exe
      [2012/06/25 02:07:18 | 000,113,792 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\AC.exe
      [2012/06/25 01:50:23 | 000,081,920 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\AB.exe
      [2012/06/25 01:47:48 | 000,113,792 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\AA.exe
      [2012/06/25 01:17:04 | 000,081,920 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\A9.exe
      [2012/06/25 01:17:02 | 000,113,792 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\A8.exe
      [2012/06/25 01:04:32 | 000,081,920 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\A7.exe
      [2012/06/25 01:02:00 | 000,113,792 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\A6.exe
      [2012/06/25 01:01:52 | 000,081,920 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\A5.exe
      [2012/06/25 00:53:15 | 000,081,920 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\C1.exe
      [2012/06/25 00:53:10 | 000,113,792 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\C0.exe
      [2012/06/24 13:33:20 | 000,113,792 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\9C.exe
      [2012/06/24 13:33:01 | 000,049,664 | ---- | C] () -- D:\Documents and Settings\Yann\Application Data\9B.exe

      :Commands
      [resethosts]
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    26 Juin 2012 14:32:50

    Bonjour Angeldark,

    juste pour te prévenir que je dois partir et que je pense pas être très disponible aujourd'hui malheureusement pour faire toutes ces manips. Toutefois, cela fait 4 fois que je lance OTL avec le script que tu m'as donné et résultat, à chaque fois que je le lance, l'UC utilisé de l ordinateur passe a 0% et plus rien ne se passe. Je relance OTL une autre fois avant de partir et je te mettrais le résultat au retour (si cela fonctionne)
    Par contre, demain, je serais totalement dispo pour faire tout cela donc si tu es dans le coin (virtuel), et bien ce sera avec plaisir.
    A tout à l'heure si je rentre tôt sinon à demain j'espère
    Sincèrement,
    a b 8 Sécurité
    26 Juin 2012 14:35:22

    Pas de soucis, tu me donneras le rapport de recherche USBFix et une analyse OTL.
    On verra où ça en est :) 
    28 Juin 2012 15:15:45


    Bonjour Angeldark,

    malgré plusieurs tentatives, à chaque lancement de OTL avec ton script, tout se fige et je ne peux plus rien faire du tout à part éteindre l'ordinateur avec le bouton POWER. Même les touches Ctrol+Alt+Supp ne donne rien. Plus rien ne répond..... :'-(..... Je ne sais plus que faire.....
    a b 8 Sécurité
    28 Juin 2012 15:28:59

    Tu as au moins le rapport USBFIx ?
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS