Se connecter / S'enregistrer
Votre question

[Résolu] Cheval de troie services.exe

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Juillet 2012 20:46:06

Bonsoir,

Comme visiblement la plupart d'entre vous, je subis actuellement des alerts AVG me signalant la présences de ce cheval de troie. Comme toutes ces opérations de suppressions m'ont l'air bien compliquées, j'aimerais que vous m'aidiez.
Voici déjà les rapports OTL : OTL.Txt et Extras.Txt

Merci d'avance

Autres pages sur : resolu cheval troie services exe

12 Juillet 2012 23:12:04

Re,

Rapport :
Spoiler
ComboFix 12-07-12.02 - Famille Panais 12/07/2012 22:39:13.1.3 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3070.1794 [GMT 2:00]
Lancé depuis: c:\users\Famille Panais\Documents\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
SP: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\windows\assembly\GAC\Desktop.ini
c:\windows\Installer\{f5d0425f-4ef1-bc39-9e5d-bce5f5123122}\@
c:\windows\Installer\{f5d0425f-4ef1-bc39-9e5d-bce5f5123122}\L\00000004.@
c:\windows\Installer\{f5d0425f-4ef1-bc39-9e5d-bce5f5123122}\L\1afb2d56
c:\windows\Installer\{f5d0425f-4ef1-bc39-9e5d-bce5f5123122}\L\201d3dde
c:\windows\Installer\{f5d0425f-4ef1-bc39-9e5d-bce5f5123122}\U\00000004.@
c:\windows\Installer\{f5d0425f-4ef1-bc39-9e5d-bce5f5123122}\U\00000008.@
c:\windows\Installer\{f5d0425f-4ef1-bc39-9e5d-bce5f5123122}\U\000000cb.@
c:\windows\Installer\{f5d0425f-4ef1-bc39-9e5d-bce5f5123122}\U\80000000.@
c:\windows\Installer\{f5d0425f-4ef1-bc39-9e5d-bce5f5123122}\U\80000032.@
c:\windows\system32\jucheck.exe
c:\windows\system32\jusched.exe
.
c:\windows\system32\services.exe . . . est infecté!! . . .Impossible de restaurer. Essai de remplacement au redémarrage
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-12 au 2012-07-12 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-12 20:51 . 2012-07-12 20:51 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-07-12 20:10 . 2012-07-12 20:10 -------- d-----w- c:\program files\Bethesda Softworks
2012-07-08 20:00 . 2012-07-08 20:00 -------- d-sh--w- c:\windows\system32\%APPDATA%
2012-07-08 19:54 . 2012-07-11 18:59 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-06-21 10:42 . 2012-06-02 22:19 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-21 10:42 . 2012-06-02 22:19 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-21 10:42 . 2012-06-02 22:19 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-21 10:42 . 2012-06-02 22:12 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-21 10:42 . 2012-06-02 22:19 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-21 10:42 . 2012-06-02 22:19 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-21 10:42 . 2012-06-02 22:12 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-06-21 10:42 . 2012-06-02 13:19 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-21 10:42 . 2012-06-02 13:12 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-06-19 19:06 . 2012-07-12 19:57 -------- d-----w- c:\users\Famille Panais\papercraft
2012-06-19 17:09 . 2012-06-19 17:09 250 ----a-w- C:\user.js
2012-06-19 17:09 . 2012-06-19 17:09 -------- d-----w- c:\program files\PDFReader
2012-06-18 13:02 . 2012-06-18 13:02 -------- d-----w- c:\users\Famille Panais\AppData\Roaming\YourFileDownloader
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-11 18:59 . 2011-06-02 11:38 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-11 16:56 . 2012-04-18 19:58 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2006-05-03 10:06 163328 --sh--r- c:\windows\System32\flvDX.dll
2007-02-21 11:47 31232 --sh--r- c:\windows\System32\msfDX.dll
2008-03-16 13:30 216064 --sh--r- c:\windows\System32\nbDX.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2008-07-03 972080]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"MailNotifier"="c:\program files\Orange\MailNotifier\MailNotifier.exe" [2010-11-04 634368]
"Kujytuo"="c:\users\Famille Panais\AppData\Roaming\kujytuo.exe" [2012-02-15 391488]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-02 75008]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-04-07 132760]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2009-09-09 1148200]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-16 13539872]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-16 92704]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480]
"TkBellExe"="c:\program files\real\realplayer\Update\realsched.exe" [2012-05-26 296056]
.
c:\users\Famille Panais\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-08 18:59]
.
.
------- Examen supplémentaire -------
.
uStart Page = https://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt
uInternet Settings,ProxyOverride = *.local
IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar\resources\fr-FR\local\search.html
IE: ajouter cette page à vos favoris Orange - c:\users\FAMILL~1\AppData\Local\Temp\cceAFC3.html
IE: traduire la page - c:\users\FAMILL~1\AppData\Local\Temp\cceAFB2.html
IE: traduire le texte sélectionné - c:\users\FAMILL~1\AppData\Local\Temp\cceAFB3.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Famille Panais\AppData\Roaming\Mozilla\Firefox\Profiles\wmvkexv9.default\
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?affID=110819&tt=060612_6_&babsrc=HP_ss&mntrId=4c1c6eb8000000000000002197209ec9
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=110819&tt=060612_6_&babsrc=KW_ss&mntrId=4c1c6eb8000000000000002197209ec9&q=
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=110819&tt=060612_6_
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - 4c1c6eb8000000000000002197209ec9
FF - user.js: extensions.BabylonToolbar_i.hardId - 4c1c6eb8000000000000002197209ec9
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15510
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1719:09
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-hpqSRMon - (no file)
AddRemove-RealPlayer 15.0 - c:\program files\real\realplayer\Update\r1puninst.exe
AddRemove-sp44626 - c:\hp\Softpaq\sp44626\sp44626.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-12 22:54
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\progra~1\AVG\AVG2012\avgrsx.exe
c:\program files\AVG\AVG2012\avgcsrvx.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\rundll32.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\AVG\AVG2012\avgwdsvc.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Nakido\nakido.exe
c:\program files\AVG\AVG2012\AVGIDSAgent.exe
c:\program files\AVG\AVG2012\avgnsx.exe
c:\program files\AVG\AVG2012\avgemcx.exe
c:\windows\system32\WUDFHost.exe
c:\windows\System32\rundll32.exe
c:\windows\ehome\ehmsas.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\iPod\bin\iPodService.exe
c:\program files\Windows Media Player\wmpnscfg.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\sdclt.exe
.
**************************************************************************
.
Heure de fin: 2012-07-12 23:06:35 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-07-12 21:06
.
Avant-CF: 338 833 506 304 octets libres
Après-CF: 339 434 270 720 octets libres
.
- - End Of File - - 2B93E48E38512E2E1C6F4A412B8213DA
Contenus similaires
a c 267 8 Sécurité
12 Juillet 2012 23:33:49

Citation :
c:\windows\system32\services.exe . . . est infecté!! . . .Impossible de restaurer. Essai de remplacement au redémarrage

--> Refais une analyse avec ComboFix et poste le rapport.
13 Juillet 2012 00:11:31

Re,

Spoiler
ComboFix 12-07-12.02 - Famille Panais 12/07/2012 23:50:39.2.3 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3070.1981 [GMT 2:00]
Lancé depuis: c:\users\Famille Panais\Documents\Desktop\Sécurité\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
SP: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-12 au 2012-07-12 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-12 22:00 . 2012-07-12 22:00 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-07-12 20:10 . 2012-07-12 20:10 -------- d-----w- c:\program files\Bethesda Softworks
2012-07-08 20:00 . 2012-07-08 20:00 -------- d-sh--w- c:\windows\system32\%APPDATA%
2012-07-08 19:54 . 2012-07-11 18:59 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-06-21 10:42 . 2012-06-02 22:19 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-21 10:42 . 2012-06-02 22:19 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-21 10:42 . 2012-06-02 22:19 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-21 10:42 . 2012-06-02 22:12 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-21 10:42 . 2012-06-02 22:19 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-21 10:42 . 2012-06-02 22:19 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-21 10:42 . 2012-06-02 22:12 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-06-21 10:42 . 2012-06-02 13:19 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-21 10:42 . 2012-06-02 13:12 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-06-19 19:06 . 2012-07-12 19:57 -------- d-----w- c:\users\Famille Panais\papercraft
2012-06-19 17:09 . 2012-06-19 17:09 250 ----a-w- C:\user.js
2012-06-19 17:09 . 2012-06-19 17:09 -------- d-----w- c:\program files\PDFReader
2012-06-18 13:02 . 2012-06-18 13:02 -------- d-----w- c:\users\Famille Panais\AppData\Roaming\YourFileDownloader
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-11 18:59 . 2011-06-02 11:38 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-11 16:56 . 2012-04-18 19:58 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2006-05-03 10:06 163328 --sh--r- c:\windows\System32\flvDX.dll
2007-02-21 11:47 31232 --sh--r- c:\windows\System32\msfDX.dll
2008-03-16 13:30 216064 --sh--r- c:\windows\System32\nbDX.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2012-07-12_20.53.59 )))))))))))))))))))))))))))))))))))))))))
.
- 2011-06-01 19:17 . 2012-07-12 20:53 98304 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2011-06-01 19:17 . 2012-07-12 21:19 98304 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-06-01 19:17 . 2012-07-12 20:53 180224 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-06-01 19:17 . 2012-07-12 21:19 180224 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-06-01 19:17 . 2012-07-12 21:19 1507328 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2011-06-01 19:17 . 2012-07-12 20:53 1507328 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2008-07-03 972080]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"MailNotifier"="c:\program files\Orange\MailNotifier\MailNotifier.exe" [2010-11-04 634368]
"Kujytuo"="c:\users\Famille Panais\AppData\Roaming\kujytuo.exe" [2012-02-15 391488]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-02 75008]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-04-07 132760]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2009-09-09 1148200]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-16 13539872]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-16 92704]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480]
"TkBellExe"="c:\program files\real\realplayer\Update\realsched.exe" [2012-05-26 296056]
.
c:\users\Famille Panais\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-08 18:59]
.
.
------- Examen supplémentaire -------
.
uStart Page = https://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt
uInternet Settings,ProxyOverride = *.local
IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar\resources\fr-FR\local\search.html
IE: ajouter cette page à vos favoris Orange - c:\users\FAMILL~1\AppData\Local\Temp\cceAFC3.html
IE: traduire la page - c:\users\FAMILL~1\AppData\Local\Temp\cceAFB2.html
IE: traduire le texte sélectionné - c:\users\FAMILL~1\AppData\Local\Temp\cceAFB3.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Famille Panais\AppData\Roaming\Mozilla\Firefox\Profiles\wmvkexv9.default\
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?affID=110819&tt=060612_6_&babsrc=HP_ss&mntrId=4c1c6eb8000000000000002197209ec9
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=110819&tt=060612_6_&babsrc=KW_ss&mntrId=4c1c6eb8000000000000002197209ec9&q=
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=110819&tt=060612_6_
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - 4c1c6eb8000000000000002197209ec9
FF - user.js: extensions.BabylonToolbar_i.hardId - 4c1c6eb8000000000000002197209ec9
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15510
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1719:09
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-13 00:01
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Heure de fin: 2012-07-13 00:08:20
ComboFix-quarantined-files.txt 2012-07-12 22:08
ComboFix2.txt 2012-07-12 21:06
.
Avant-CF: 339 462 287 360 octets libres
Après-CF: 339 424 661 504 octets libres
.
- - End Of File - - 859B8A929BBEC5F2252EF0DFE30AEF09
13 Juillet 2012 00:47:25

Re,

Oui, visiblement plus de problème(s)...

Rapport :
Spoiler
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Kujytuo]

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.19170

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?affID=110819&tt=060612_6_&babsrc=NT_ss&mntrId=4c1c6eb8000000000000002197209ec9 --> hxxp://www.google.com

-\\ Mozilla Firefox v12.0 (fr)

Nom du profil : default
Fichier : C:\Users\Famille Panais\AppData\Roaming\Mozilla\Firefox\Profiles\wmvkexv9.default\prefs.js

C:\Users\Famille Panais\AppData\Roaming\Mozilla\Firefox\Profiles\wmvkexv9.default\user.js ... Supprimé !

Supprimée : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
Supprimée : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
Supprimée : user_pref("browser.search.order.1", "Search the web (Babylon)");
Supprimée : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
Supprimée : user_pref("browser.startup.homepage", "hxxp://search.babylon.com/?affID=110819&tt=060612_6_&babsrc=H[...]
Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110819&tt=060612_6_");
Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "4c1c6eb8000000000000002197209ec9");
Supprimée : user_pref("extensions.BabylonToolbar_i.id", "4c1c6eb8000000000000002197209ec9");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15510");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://search.babylon.com/?affID=110819&tt=06061[...]
Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "tb9");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1719:09:37");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Supprimée : user_pref("keyword.URL", "hxxp://search.babylon.com/?affID=110819&tt=060612_6_&babsrc=KW_ss&mntrId=4[...]

*************************

AdwCleaner[S1].txt - [5331 octets] - [13/07/2012 00:41:59]

########## EOF - C:\AdwCleaner[S1].txt - [5459 octets] ##########



Je lis qu'il parle d'une suppression de Babylon...Cela signifie-t'il que je suis aussi débarassé de ce ***** programme ? :D 
a c 267 8 Sécurité
13 Juillet 2012 01:11:59

Normalement oui (le rapport est incomplet).

On va utiliser un outil de diagnostic comme OTL :

  • Relance AdwCleaner et choisis "Désinstallation".

  • Télécharge ZHPDiag (de Nicolas Coolman).

  • Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

  • Clique droit sur le raccourci de ZHPDiag et choisis Exécuter en tant qu'administrateur.

  • Clique sur le bouton "UAC".

  • Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

  • Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau.

  • Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.
    a c 267 8 Sécurité
    13 Juillet 2012 15:11:55

    • Copie tout le texte présent dans le cadre ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").
      SysRestore
      [MD5.00000000000000000000000000000000] [APT] [Your File Updater] (...) -- C:\Program Files\YourFileDownloader\YourFileUpdater.exe (.not file.)
      [HKCU\Software\eojet]
      O43 - CFD: 01/02/2012 - 20:03:37 - [231,507] ----D C:\ProgramData\avg9
      [HKLM\Software\Classes\setup.player]
      [HKLM\Software\Classes\setup.player]
      EmptyCLSID
      EmptyFlash
      EmptyTemp

    • Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
      (Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)
    • Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).
    • Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    • Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.
    • Une fois terminé, copie-colle le rapport dans ton prochain message.
    14 Juillet 2012 14:29:10

    Désolé du temps de réponse ^^ taf et festivités obligent...

    Rapport :
    Spoiler
    Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-14-07-2012-14-28-01.txt
    Run by Famille Panais at 14/07/2012 14:27:58
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Web site : http://nicolascoolman.skyrock.com/

    ========== Clé(s) du Registre ==========
    SUPPRIME Key*: HKCU\Software\eojet
    SUPPRIME Key: HKLM\Software\Classes\setup.player

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Users\Famille Panais\AppData\Local\{D7DBC25B-9D98-4733-AECE-80036DC90A95}
    SUPPRIME Flash Cookies:
    SUPPRIME Temporaires Windows:

    ========== Fichier(s) ==========
    SUPPRIME Flash Cookies:
    SUPPRIME Temporaires Windows:

    ========== Tache planifiée ==========
    SUPPRIME Task: Your File Updater

    ========== Restauration Système ==========
    Point de restauration non crée


    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    3 : Dossier(s)
    2 : Fichier(s)
    1 : Tache planifiée
    1 : Restauration Système


    End of clean in 03mn 29s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 14/07/2012 14:27:58 [1120]
    a c 267 8 Sécurité
    14 Juillet 2012 16:00:20

    Pas de souci ^^

    Pour finir :


    1/

    • Télécharge DelFix sur ton Bureau.
    • Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
    • Clique sur le bouton Suppression.
    • Poste le rapport (C:\DelFixSuppr.txt).
    • Supprime DelFix.



  • 2/

    • Télécharge et installe CCleaner.
    • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.



  • 3/




  • ==Prévention==

    Désinstalle Java SE Runtime Environment 6 Update 1 et installe la dernière version de Java :
    http://www.java.com/fr/download/

    Mets à jour Adobe Reader (décoche McAfee Security Scan Plus).

    Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader ou Foxit Reader) : Lien


    Sois plus vigilant sur Internet ;) 
    14 Juillet 2012 17:56:11

    Alors, déjà DelFix :
    Spoiler
    # DelFix v8.8 - Rapport créé le 14/07/2012 à 17:54:36
    # Mis à jour le 12/02/12 par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
    # Nom d'utilisateur : Famille Panais - PC (Administrateur)
    # Exécuté depuis : C:\Users\Famille Panais\Documents\Desktop\Sécurité\delfix.exe
    # Option [Suppression]


    ~~~~~~ Dossiers(s) ~~~~~~

    Supprimé : C:\Qoobox
    Supprimé : C:\ZHP
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
    Supprimé : C:\Program Files\ZHPDiag

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\ComboFix.txt
    Supprimé : C:\Users\Famille Panais\Downloads\ZHPDiag2.exe
    Supprimé : C:\Windows\grep.exe
    Supprimé : C:\Windows\PEV.exe
    Supprimé : C:\Windows\NIRCMD.exe
    Supprimé : C:\Windows\MBR.exe
    Supprimé : C:\Windows\SED.exe
    Supprimé : C:\Windows\SWREG.exe
    Supprimé : C:\Windows\SWSC.exe
    Supprimé : C:\Windows\SWXCACLS.exe
    Supprimé : C:\Windows\Zip.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
    Clé Supprimée : HKLM\SOFTWARE\Swearware
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [1294 octets] - [14/07/2012 17:54:36]

    ########## EOF - C:\DelFix[S1].txt - [1418 octets] ##########


    Je m’occupe de CCleaner
    a c 267 8 Sécurité
    14 Juillet 2012 18:14:43

    Ok pour DelFix.

    Si c'est OK pour toi, ajoute une balise [Résolu] devant le titre de ton sujet.
    14 Juillet 2012 18:29:07

    Tout est ok pour moi, je fais ça.

    Mille mercis pour ton aide !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS