Se connecter / S'enregistrer
Votre question

[RESOLU]Cheval de troie - antivir

Tags :
  • Antivir
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Août 2010 15:23:26

Bonjour,

il y a un virus sur un pc qui fait ouvrir antivir en permanence: cheval de troie dans user32/dll

Je en sais pas comment m'en débarrasser

voici le log hijackthis (j'ai pas l'impression qu'il est grand chose pourtant):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:23, on 02.08.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\SuperCopier2\SuperCopier2.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Programme\UltraVNC\winvnc.exe
C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\CCleaner\CCleaner.exe
D:\Eigene Dateien D\Downloaden Datein\HiJackThis(3).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {F3CFA533-7680-4943-A863-B8216390E847} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04b\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Programme\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred Control) - file:///C:/Programme/AutoCAD%20LT%202000i%20Deu/InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file:///C:/Programme/AutoCAD%20LT%202000i%20Deu/AcDcToday.ocx
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/operator/90000003/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file:///C:/Programme/AutoCAD%20LT%202000i%20Deu/AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{55A26A56-C4D0-4FE5-8046-5F9CACE078D6}: NameServer = 217.0.43.1 217.0.43.193
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C16BC8F-5430-468E-95D0-4305D8078AC0}: NameServer = 192.168.0.1
O18 - Protocol: bw+0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {966707D2-DE4F-468C-8299-3801A3456020} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Programme\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 21193 bytes

Merci de votre aide

Autres pages sur : resolu cheval troie antivir

2 Août 2010 15:36:27

Salut,


Peux-tu être plus précis en ce qui conserne l'alerte d' AntiVir stp ( fichier exact, emplacement exact et nom de la menace ).


Puis fait ce qui suit pour commencer :




1- Désinstalle via le panneau de config le prg suivant : Desktop Messenger

sert pas à grand chose et tu gagneras de la ressource et vitesse de navigation ...


=============================

2- Il me faut un diagnostique plus précis du PC,


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
    Contenus similaires
    3 Août 2010 13:25:36

    Hello,



    infecté donc ....


    /!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    Commence par faire ceci stp :


    Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Clique sur le bouton [ Recherche ] .

    -> Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html


    4 Août 2010 18:36:42

    bien ....



    la suite donc ....dans l'ordre :



    1- ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu cliques sur le bouton [ Suppression ] .

    -> Laisse travailler l'outil et ne touche à rien ...

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Important : une fois le rapport posté , redémarre le PC pour que l'outil puisse terminer le nettoyage .


    =======================

    2- Télécharge Malwarebytes :
    ici http://www.commentcamarche.net/telecharger/telecharger-...
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


    ==================================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


    6 Août 2010 21:59:29

    bien ....


    dis moi comment va le PC maintenant ... du mieux ?



    Puis fait ceci :


    1- Télécharge et installe la dernière version de CCleaner :
    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://www.commentcamarche.net/faq/27688-tutoriel-cclea...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


    ===========================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe pour lancer l'installation .

    • Une fois l'outil installé, double clique sur le raccourci pour le lancer .

    • Au menu principal, clique sur le bouton [Scanner] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...


    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )



    7 Août 2010 16:34:33

    re,



    dans l'ordre :


    1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


    • Lance Ad-Remover depuis le racourci du bureau.

    • Au menu principal clique cette fois sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    ==============================

    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


    7 Août 2010 16:36:17

    ah nan pas encore totalement guéri, encore une alerte antivir. Je te communique le nom du fichier infecté bientôt

    EDIT : alors c'est TR/Patched.Gen2' dans C:\System Volume
    8 Août 2010 19:33:58

    re,


    il me faut ce rapport de AD-R > C:\Ad-Report-CLEAN[1].txt


    Citation :
    EDIT : alors c'est TR/Patched.Gen2' dans C:\System Volume



    il faut que tu sois plus précis stp ... :) 



    10 Août 2010 00:18:15

    oki,


    et la détection du TR/Patched.Gen2' , plus de précision sur l'emplacment stp ...

    10 Août 2010 15:01:08

    re,

    Dans le fichier 'C:\System Volume Information\_restore{FB062BF5-2420-42CE-8DA0-8B52A542DE94}\RP1348\A0144129.dll'
    un virus ou un programme indésirable 'TR/Patched.Gen2' [trojan] a été détecté.
    Action exécutée : Refuser l'accès

    (dernière alerte hier soir)
    10 Août 2010 16:23:32

    oki,



    RAS ! ... c'est dans la 'restauration systeme' ( donc inactif tant que tu ne restaures pas ton PC à une date antéreiur ) ....


    On va purger cette dernière avec la manipe suivante ...



    Fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :


    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!


    A- Clique sur le bouton " Nettoyeur de tools " . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    > Là tu décoches la case devant ZHPDiag !


    > Enfin clique en bas sur .


    Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    -> Copie/colle le contenu de ce rapport pour analyse ...

    ( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

    Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



    B- Clique sur le bouton en haut à droite " Vider la quarantaine "

    Au message de confirmation , clique sur "Ok" .


    Puis ferme ZHPFix ...


    ======================================

    2- Refais un coup de CCleaner ( registre compris ) .


    ======================================

    3- Télécharge et installe le logiciel HijackThis :

    ici http://www.trendsecure.com/portal/en-US/_download/HJTIn...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    > Clique sur le setup pour lancer l'installe :
    * laisse toi guider et ne modifie pas les paramètres d'installation .
    * A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .

    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    C:\program files\Trend Micro\HijackThis\HijackThis.exe .

    ( ne fais pas de scan pour le moment )


    ======================================

    4- Important :
    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).


    ======================================

    5- On va utiliser AntiVir ainsi :


    mets le à jour si besoin .


    Aide AntiVir : http://www.malekal.com/tutorial_antivir.php


    Fais ce réglage supplémentaire :

    ***************************************
    Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " :

    * mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé .
    coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir.
    * toujours dans "recherche" -> "Autres réglages", coche les cases suivantes :
    > secteur d'amorçage lecteurs de rech.
    > Contrôler secteurs d'amorçage maître
    > Suivre les liens symboliques
    > Rech.Rootkit au dém. de la recherche
    et décoche :
    ignorer les fichiers hors ligne

    * mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification élevé ...
    * mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

    * mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification moyen ...


    ---> clique sur "OK" pour valider le réglage ..

    ****************************************


    Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...


    => poste moi le rapport obtenu ... Aide toi bien du tuto ;) 



    10 Août 2010 20:04:58

    dans le réglage d'antivir il y a 2 phases contradictoires dans "activer AHeAD et coche la case degré d'identification". Une fois c'est élevé et après moyen. Je dois faire lequel

    merci
    10 Août 2010 20:28:22

    re,


    rien de contradictoire ... lit attentivement ...

    "élevé" , c'est dans la partie 'scan' -

    " moyen ", c'est dans la partie 'guard'


    ;) 

    10 Août 2010 20:32:06

    ah oui exact ! Sorry :p 
    11 Août 2010 11:43:35

    Salut,



    c'est OK ... on finalise , dans l'ordre :

    =

    1- Fais une mise à jour de ton Système via panneau de config / "Windows Update" :

    -> fais toutes les mises à jour disponibles, surtout les dites "critiques" et "importantes" .
    ( Xp SP3 , ect ... )
    -> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).

    -> il faudra sûrement recommencer l'opération plusieurs fois pour que tout soit fait !

    Astuce ici :
    http://www.commentcamarche.net/faq/sujet-273-windows-up...

    Note :
    ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .


    ===============================

    2- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

    Version Console Java à jour > 6 Update 21

    -> désinstalle toutes les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .

    Tes anciennes versions:
    J2SE Runtime Environment 5.0 Update 10
    J2SE Runtime Environment 5.0 Update 8
    Java(TM) 6 Update 15
    Java(TM) SE Runtime Environment 6 Update 1


    -> Puis télécharge et installe la dernière version ici :
    http://www.commentcamarche.net/telecharger/telecharger-...
    ou http://www.java.com/fr/

    ( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions
    avec l'outil Javara : http://www.commentcamarche.net/faq/sujet-15645-javara-i... )

    -> Enfin contrôle ceci :
    Démarrer > Panneau de configuration ( affichage classique ) > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


    ============================

    3- Une fois tout ceci fait, utilise Hijackthis ainsi ,

    tuto pour utilisation :
    Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
    http://perso.orange.fr/rginformatique/section%20virus/d...
    ( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

    !! Déconnecte toi et ferme toutes tes applications en cours !!

    Clique sur le raccourci du bureau pour lancer le prg :
    fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

    ---> Poste le rapport généré pour analyse ...





    11 Août 2010 15:04:24

    re,


    merci de faire toutes les étapes demandé stp ... Fais toutes les mises à jour du systeme comme précisé à l'étape 1 de la manipe ...


    poste un nouvel Hijackthis une fois TOUTES les mises à jours faites ! ( pas avant ... )

    15 Août 2010 11:50:03

    salut et désolé pour le retard mais en cette période de vacances c'est pas facile :p 

    maj faites, et voici le log hijackthis:

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijb6MiU...


    Il y a eu encore une alerte aujourd'hui :fou:  :
    Dans le fichier 'C:\Dokumente und Einstellungen\heinrich u. marie\Anwendungsdaten\Oseso\laxic.exe'
    un virus ou un programme indésirable 'TR/Spy.ZBot.FV' [trojan] a été détecté.
    Action exécutée : Refuser l'accès

    merci
    18 Août 2010 19:14:29

    hello,


    tu es denouveau infecté ! ... Par une nouvelle merde ...


    comment tu te débrouilles !?



    bref ....

    Vire la version de ZHPDiag que tu as et on va reprendre avec la dernière version dispo ,


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....




    ( note : je dispo ce soir et demain ... après , je ne serai de retour que la semaine prochaine ... )
    18 Août 2010 19:50:21

    hello

    oui je me doutais bien que le pc était réinfecté. Ce n'est pas le mien et j'avoue que je comprends pas non plus comment son utilisateur se débrouille !!! Il faut que je lui demande si un media qu'il n'aurait pas scanné a été connecté ou si il y aeu des mails suspects :s

    merci en tous cas
    19 Août 2010 21:23:22

    Hello

    j'ai un probleme pour télécharger zhpdiag : demande mot de passe et id pour ftp zebulon...

    merci
    19 Août 2010 23:05:30

    yop,


    un soucis avec les serveurs de Zebulon en ce moment ... prend ZHPdiag ici ( en bas de la page ) : http://www.premiumorange.com/zeb-help-process/zhpdiag.h...


    extrait le contenu de l'archive sur ton bureau ( c'est le set-up d'installe de l'outil ) , puis lance la manipe ...


    j'attends le rapport obtenu via "Cijoint" donc ...


    24 Août 2010 08:53:35

    hello,




    fait ceci donc :


    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )



    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
    O4 - HKCU\..\Run: [{AF280B53-F379-428E-32A3-1E911796DE12}] . (.Pas de propriétaire - Pas de description.) -- C:\Dokumente und Einstellungen\heinrich u. marie\Anwendungsdaten\Oseso\laxic.exe
    O4 - HKCU\..\Run: [{A8A5DC2F-607A-5E4A-4E42-405979E66906}] . (.Pas de propriétaire - Pas de description.) -- C:\Dokumente und Einstellungen\heinrich u. marie\Anwendungsdaten\Otdeom\uhpe.exe
    O4 - HKUS\S-1-5-21-1757981266-2139871995-1801674531-1003\..\Run: [{AF280B53-F379-428E-32A3-1E911796DE12}] . (.Pas de propriétaire - Pas de description.) -- C:\Dokumente und Einstellungen\heinrich u. marie\Anwendungsdaten\Oseso\laxic.exe
    O4 - HKUS\S-1-5-21-1757981266-2139871995-1801674531-1003\..\Run: [{A8A5DC2F-607A-5E4A-4E42-405979E66906}] . (.Pas de propriétaire - Pas de description.) -- C:\Dokumente und Einstellungen\heinrich u. marie\Anwendungsdaten\Otdeom\uhpe.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{55A26A56-C4D0-4FE5-8046-5F9CACE078D6}: NameServer = 217.0.43.1 217.0.43.193
    O17 - HKLM\System\CS1\Services\Tcpip\..\{55A26A56-C4D0-4FE5-8046-5F9CACE078D6}: NameServer = 217.0.43.1 217.0.43.193
    O44 - LFC:[MD5.8737F6F4C8EC1E2A9EA5516F1B3AE1AD] - 14.08.2010 - 21:15:31 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\003038_.tmp [19569]



    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ==============================

    2- Télécharge SystemLook de jpshortstuff sur ton bureau :

    http://images.malwareremoval.com/jpshortstuff/SystemLoo...


    * Double-clique sur "SystemLook.exe" pour lancer l'outil .

    -> Copies/colle le texte ci-dessous dans la fenêtre :


    :dir
    C:\Dokumente und Einstellungen\heinrich u. marie\Anwendungsdaten\Oseso
    C:\Dokumente und Einstellungen\heinrich u. marie\Anwendungsdaten\Otdeom




    * Clique sur le bouton [Look] pour lancer l'examen .

    Laisse travailler ...

    * Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

    -> Poste ce rapport dans ta prochaine réponse pour analyse ...


    ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )


    ============================

    3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Double-clique sur l'icône "ComboFix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).

    *Une fois la console installée,

    Déconnecte toi si possible avant de cliquer sur "Oui" pour lancer le scan --


    Notes importantes :
    -> Ne rien faire avec le PC pendant le scan !
    -> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Si l'otuil t'anonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses une fois la procédure terminée.


    > Poste le rapport ComboFix pour analyse et attends la suite ...

    24 Août 2010 21:55:07

    re,


    on a un problème: il me dit que avast est ouvert et qu'il ne peut scanner. Le hic c'est que avast n'est pas installé sur cet machine

    en faite si ... il a été installé , mais surtout il a été mal désinstaller ... ! ....


    nettoye les restes en utilisant l'utilitaire de désinstalle d'Avast > http://www.avast.com/fr-fr/uninstall-utility ( désactive AntiVir durant cette manipe )


    ensuite refait la manipe de ComboFix ...
    25 Août 2010 00:04:14

    bon ,



    c'est raide pour moi ce PC en Allemand ! ... :pt1cable: 



    la suite :


    1- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    KillAll::

    Driver::
    TinaKey

    DirLook::
    c:\dokumente und einstellungen\heinrich u. marie\Anwendungsdaten\Oseso
    c:\dokumente und einstellungen\heinrich u. marie\Anwendungsdaten\Otdeom
    c:\dokumente und einstellungen\heinrich u. marie\Anwendungsdaten\Ugewy
    c:\dokumente und einstellungen\heinrich u. marie\Anwendungsdaten\Eqfuyn

    FileLook::
    c:\windows\system32\spacklsp.dll



  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ============================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    26 Août 2010 19:18:41

    ce n'est pas le bon rapport de Combo !


    c'est celui d'y a deux jour ! ...

    poste moi le bon rapport stp ....

    26 Août 2010 23:33:48

    bien ....



    fait ceci :



    1- Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )




    2- Rends toi sur ce site :

    http://www.virustotal.com/

  • Clique sur "parcourir" et va jusqu'au fichier suivant :

    c:\dokumente und einstellungen\heinrich u. marie\Anwendungsdaten\Eqfuyn\awufv.oke

  • Clique sur Send File ( = " Envoyer le fichier " ).

    -> Un rapport va s'élaborer ligne à ligne.

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

  • Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

  • Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

    Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    Fais de même pour :

    c:\dokumente und einstellungen\heinrich u. marie\Anwendungsdaten\Ugewy\ohzek.uzx

    Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

    27 Août 2010 10:03:57

    salut

    c'est génial ce site !

    pour l'instant la page avec les AV est lancée mais l'analyse n'a pas l'air de se lancer : analyse : 0/42 (0.0%) (depuis 5-10 min), normal ?
    27 Août 2010 13:18:25

    re,


    Citation :
    mais l'analyse n'a pas l'air de se lancer : analyse : 0/42 (0.0%)


    cela veux dire que l'analyse est terminée ( c'est le résultat .de la détection )... copie/colle le rapport et passe à l'autre ...


    28 Août 2010 00:17:09

    ok

    c'est quoi le rapport?

    Pour les 2 fichiers, il y a analyse : 0/42 (0.0%) et pour tous les AV le résultat est '-'
    28 Août 2010 00:39:55

    re,


    cela veux dire que ces fichiers sont non infectieux ...


    bref , on va pouvoir passer à la suite ...


    supprime la version de ZHPDiag que tu as ...
    une nouvelle vresion plus abouti est dispo maintenant et va nous aider dans l'étape de finalisation ,


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....



    29 Août 2010 19:38:35

    hello,



    faut arrèter d'installer tout n'importe quoi sur ton PC !!!!


    Depuis le panneau de configuration/"ajout et supp de prg" , désinstalle ces deux daubes qui ne font que bouffer des ressources et ralentisse la navigation :

    SweetIM Toolbar for Internet Explorer 3.9
    et
    SweetIM for Messenger 3.2



    Une fois ceci fait, relance un scan ZHPDiag histoire de voir ce qui reste des ces deux merdes.

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...



    29 Août 2010 23:24:39

    bon ....



    encore plusierus chose avant de finaliser ...


    1- dans le rapport ZHPDiag :

    Citation :
    System drive C: has 2 GB (12%) free of 19 GB



    trop peu d'espace libre pour que le systeme tourne correctement ! ... faut faire de la place : virer ( déplacer ) les gros fichiers tel que les films ou les photos , désinstaller proprement les prg non utilisés , ect ...

    Faut gagnre de la place !


    une fois ceci fait, enchaine ....


    ===================

    2- L'accès au registre semble poser problême ( manque des donnée importantes dans le rapport ZHPDiag ) .


    fait ce qui suit :

    Télécharge se petit soft , ZEB_RESTORE :

    ici http://telechargement.zebulon.fr/zeb-restore.html
    ou http://forum.zebulon.fr/index.php?act=attach&type=bloge...

    Enregistre ce fichier sur ton<gras> bureau</gras>.

    ! Ferme toutes tes applications ( navigateur compris ) et déconnecte toi !

    -Clique droit sur Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau .
    -Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe pour lancer l'outil.

    ---> Coche la case devant ( et uniquement celle-ci ! ) :


    * regedit : rétablis l'editeur de registre


    -Clique sur : " Restaurer " et laisse faire ( c'est assez rapide ) ....

    --> Une fois fait, redémarre ton PC pour que les répartions prennent effet .

    ===========================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    1 Septembre 2010 21:30:30

    salut ske69 et désolé pour le retard mais je sus vraiment très débordé en ce moment :s

    Voici le log ZHP
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijXLPEt...

    a moins que ce ne soit indispensable pour la suite de tes analyses je ferai de la place sur son pc plus tard ?

    Merci pour tout
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS