Se connecter / S'enregistrer
Votre question

[Résolu] Trojan iexplorer + need ménage pc

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Juillet 2010 20:39:46

Bonjour,

Pour la première fois je suis infecté... par ce fameux iexplorer.exe

J'ai lu pas mal de topic mais je n'ai pas trouvé grande satisfaction car à part Spybot S&D il n'y a pas vraiment d'étapes et de méthode.

En effet je voudrais par la même occasion nettoyer mon pc.

Je sollicite donc votre patience et votre aide afin de réduire à néant ce piti trojan.

Cordialement

Autres pages sur : resolu trojan iexplorer need menage

6 Juillet 2010 20:42:43

Voici le rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:41:24, on 06/07/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Razer\Diamondback 3G\razerhid.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Razer\Diamondback 3G\razerofa.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\Razer\Lycosa\razerhid.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/USCON/7
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/USCON/7
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office14\GROOVEEX.DLL
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback 3G\razerhid.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [Microsoft Default Manager] "C:\Program Files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume
O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~3.EXE
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [Lycosa] "C:\Program Files\Razer\Lycosa\razerhid.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [HKCU] C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Dell Dock First Run.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (User 'Default user')
O8 - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~4\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à l'Anti-bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office14\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O16 - DPF: {0D9392CD-A784-4FCA-9342-0F75F7D7C8CB} (Corporate Language Training Interface) - http://www.cltnet.de/login/dplaunch.cab
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} (System Requirements Lab Class) - http://srtest-cdn.systemrequirementslab.com.s3.amazonaw...
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: SoftThinks Agent Service (SftService) - SoftThinks - C:\Program Files\Dell DataSafe Local Backup\SftService.exe
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_b5c6d38efc8563e3\STacSV.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

--
End of file - 11546 bytes
6 Juillet 2010 22:56:39

hello,


cette version d' Hijackthis n'est pas 'compatible' avec Windows Seven ...

Platform: Unknown Windows (WinNT 6.01.3504)


Donc supprime Hijackthis et fait ce qui suit pour avoir un diag plus précis de la situation :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarataine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Puis ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

    Contenus similaires
    6 Juillet 2010 23:46:35

    re,

    le cite de "Cijoint" est en dérangement ...

    En attendant, uplaod moi le rapport avec cet autre site stp > http://www.cjoint.com/


    fait moi parvenir le lien obtenu ...

    6 Juillet 2010 23:55:03

    bon ...


    recommence le scan stp ( là , tu as fait une 'analyse détaillée' et il me faut une analyse 'normale' ) .... et cette fois, pour le lancer , utilise bien le bouton "Loupe" qui est en haut à GAUCHE ...


    j'attends le nouveau rapport obtenu ...

    7 Juillet 2010 00:06:43

    Le scan est bon ?
    7 Juillet 2010 00:08:23

    Bien ...



    du boulot ...


    /!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================


    Avant de Commencer le nettoyage , il me faut d'autres infos ...


    dans l'ordre :


    1- Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

    regarde ici pour le faire > http://pagesperso-orange.fr/NosTools/uac_win7.html


  • Important :
    Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
    > clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
    Fais ceci systématiquement ! ...


    une fois ceci fait et pris en compte , encaine ...


    ===========================

    2- Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
    --> vas sur l'onglet " Affichage " .
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



    3- Rends toi sur ce site :

    http://www.virustotal.com/

  • Clique sur "parcourir" et va jusqu'au fichier suivant :

    C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe

    ( si ton antivirus tilte , désactive le le temps de la manipe ... )

  • Clique sur Send File ( = " Envoyer le fichier " ).

    -> Un rapport va s'élaborer ligne à ligne.

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

  • Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

  • Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

    Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    Fais de même pour :

    C:\Windows\System32\~.tmp
    C:\Windows\system32\drivers\sptd.sys


    Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fais la suite ...


    =========================

    4- Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...

    ! Ferme toutes applications en cours !

  • Clique droit / "executer en tant qu'admin..." sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

    sptd.sys

  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

  • Au niveau des " options du registre " :
    > coche " chercher également dans le registre "

    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/





    7 Juillet 2010 00:44:51

    Maintenant voici la partie avec SEAF :

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 00:42:03 le 07/07/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. sptd.sys
    8.
    9. (!) --- Calcul du Hash "MD5"
    10. (!) --- Affichage des ADS
    11. (!) --- Informations supplémentaires
    12. (!) --- Recherche registre
    13.
    14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    15.
    16. "c:\Windows\System32\drivers\sptd.sys" [ ----A---- | 691696 ]
    17. TC: 10/12/2009,21:05:36 | TM: 10/12/2009,21:05:36 | DA: 10/12/2009,21:05:36
    18. MD5: DENIED
    19.
    20.
    21.
    22. =========================
    23.
    24. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    25.
    26. Aucun dossier trouvé
    27.
    28.
    29. ====== Entrée(s) du registre ======
    30.
    31.
    32.
    33. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\sptd]
    34. "ImagePath"="System32\Drivers\sptd.sys"
    35.
    36. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\sptd]
    37. "ImagePath"="System32\Drivers\sptd.sys"
    38.
    39. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sptd]
    40. "ImagePath"="System32\Drivers\sptd.sys"
    41.
    42. =========================
    43.
    44. Fin à: 00:43:33 le 07/07/2010 ( E.O.F )


    7 Juillet 2010 01:44:19

    bien ...


    fait ce qui suit dans l'ordre :


    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    [MD5.30C6DFDE2228B2D86F3C073EE774D3E5] - (.WINDOWS - WINDOWS.) -- C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe [2019343]
    O4 - HKCU\..\Run: [HKCU] . (.WINDOWS - WINDOWS.) -- C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe
    O43 - CFD:Common File Directory ----D- C:\Program Files\Spybot - Search & Destroy
    O44 - LFC:[MD5.A1A5CB7B046DFDCA8947BCAAAE13A5C8] - 25/06/2010 - 11:56:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\~.inf [162]
    O44 - LFC:[MD5.7736C4828B26BA0FDFE6B03144C60022] - 25/06/2010 - 11:55:59 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\~.tmp [460642]
    O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe
    C:\Program Files\pdfforge Toolbar
    O69 - SBI: prefs.js [Adrien - qpi3h2ct.default] user_pref("CT1460988.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT1460988&SearchSource=2&q=");
    O69 - SBI: prefs.js [Adrien - qpi3h2ct.default] user_pref("CT1460988.myStuffSearchUrl", "http://search.conduit.com/Results.aspx?



    > Puis Lance ZHPFix "en tant qu'admin..." depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ==================================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe pour lancer l'installation .

    • Une fois l'outil installé, double clique sur le raccourci pour le lancer .

    • Au menu principal, clique sur le bouton [Scanner] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...


    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    7 Juillet 2010 06:48:17

    Je vous fais part du rapport ZHPFix et AD-R avant de partir au travail.

    Rapport de ZHPFix v1.12.3117 par Nicolas Coolman, Update du 06/07/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-07-07-2010-06-46-50.txt
    Run by Adrien at 07/07/2010 06:46:50
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    ========== Processus mémoire ==========
    C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe [2019343] => Supprimé et mis en quarantaine
    C:\Program Files\pdfforge Toolbar => Fichier absent

    ========== Clé du Registre ==========
    O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe => Clé supprimée avec succès

    ========== Valeur du Registre ==========
    O4 - HKCU\..\Run: [HKCU] . (.WINDOWS - WINDOWS.) -- C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe => Valeur supprimée avec succès

    ========== Préférences navigateur ==========
    /*user_pref("CT1460988.myStuffSearchUrl", "http://search.conduit.com/Results.aspx?q=SEARCH_TERM&ct...");*/ => Valeur supprimée avec succès

    ========== Dossier ==========
    C:\Program Files\Spybot - Search & Destroy => Supprimé et mis en quarantaine

    ========== Fichier ==========
    c:\windows\system32\~.inf => Supprimé et mis en quarantaine
    c:\windows\system32\~.tmp => Supprimé et mis en quarantaine
    c:\program files\pdfforge toolbar\searchsettings.exe => Fichier absent


    ========== Récapitulatif ==========
    2 : Processus mémoire
    1 : Clé du Registre
    1 : Valeur du Registre
    1 : Dossier
    3 : Fichier
    1 : Préférences navigateur


    End of the scan


    --------------------------------------------------------------------------------------------



    ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 23/06/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 07:12:12 le 07/07/2010, Mode normal

    Microsoft Windows 7 Édition Familiale Premium (X86)
    Adrien@PC-ADRIEN (Dell Inc. Dell XPS430)

    ============== RECHERCHE ==============


    0,Dossier trouvé: C:\Users\Adrien\AppData\Roaming\Search Settings

    -- Fichier ouvert: C:\Users\Adrien\AppData\Roaming\Mozilla\FireFox\Profiles\qpi3h2ct.default\Prefs.js --
    Ligne trouvée: user_pref("CT1460988.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT146...
    Ligne trouvée: user_pref("CT1460988.myStuffSearchUrl", "hxxp://search.conduit.com/Results.aspx?q=SEARCH_TERM&ctid=E...
    -- Fichier Fermé --


    1,Clé trouvée: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
    0,Clé trouvée: HKLM\Software\Conduit


    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.6 (fr)] **

    -- C:\Users\Adrien\AppData\Roaming\Mozilla\FireFox\Profiles\qpi3h2ct.default\Prefs.js --
    browser.download.lastDir, C:\\Users\\Adrien\\Desktop\\Tuto vacs\\1 - energy sci-fi scene\\ressources
    browser.startup.homepage, hxxp://www.lemonde.fr/
    browser.startup.homepage_override.mstone, rv:1.9.2.6
    privacy.popups.showBrowserMessage, false

    ========================================

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://g.uk.msn.com/USCON/7
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Show_ToolBar: yes
    Start Page: hxxp://www.google.fr/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://g.uk.msn.com/USCON/7
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 07/07/2010 (2538 Octet(s))

    Fin à: 07:16:04, 07/07/2010

    ============== E.O.F ==============

    7 Juillet 2010 08:50:51

    hello,


    on continue .... dans l'ordre :


    1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


    • Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    ====================================

    2- Refais un scan ZHPDiag "en tant qu'admin...".

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    7 Juillet 2010 09:10:52

    Hello,

    Je suis actuellement au travail et je ne peux accéder à distance à mon PC.

    Je continue les consignes dès que je rentre

    Bonne journée
    7 Juillet 2010 09:24:20

    oki ...


    A tout' ... ;) 
    7 Juillet 2010 13:46:18

    J'ai lancer AD-R en admin mais j'ai pas le choix d'option...

    -scanner

    - nettoyer

    - désinstaller

    - quitter

    Je fais quoi
    7 Juillet 2010 14:04:27

    re,

    autant pour moi ! ...mauvais canned .... :p 


    voilà la manipe pour Ad-R :


    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


    • Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal clique cette fois sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    7 Juillet 2010 14:29:44

    Voici :

    Le rapport AD-R Clean :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 23/06/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:12:49 le 07/07/2010, Mode normal

    Microsoft Windows 7 Édition Familiale Premium (X86)
    Adrien@PC-ADRIEN (Dell Inc. Dell XPS430)

    ============== ACTION(S) ==============


    0,Dossier supprimé: C:\Users\Adrien\AppData\Roaming\Search Settings

    (!) -- Fichiers temporaires supprimés.


    -- Fichier ouvert: C:\Users\Adrien\AppData\Roaming\Mozilla\FireFox\Profiles\qpi3h2ct.default\Prefs.js --
    Ligne supprimée: user_pref("CT1460988.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT146...
    Ligne supprimée: user_pref("CT1460988.myStuffSearchUrl", "hxxp://search.conduit.com/Results.aspx?q=SEARCH_TERM&ctid=E...
    -- Fichier Fermé --


    1,Clé supprimée: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
    0,Clé supprimée: HKLM\Software\Conduit


    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.6 (fr)] **

    -- C:\Users\Adrien\AppData\Roaming\Mozilla\FireFox\Profiles\qpi3h2ct.default\Prefs.js --
    browser.download.lastDir, C:\\Users\\Adrien\\Desktop\\Tuto vacs\\1 - energy sci-fi scene\\ressources
    browser.startup.homepage, hxxp://www.lemonde.fr/
    browser.startup.homepage_override.mstone, rv:1.9.2.6
    privacy.popups.showBrowserMessage, false

    ========================================

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 18 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 07/07/2010 (2777 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 07/07/2010 (2667 Octet(s))

    Fin à: 14:17:33, 07/07/2010

    ============== E.O.F ==============




    Le rapport ZHP Diag :

    > http://www.cijoint.fr/cjlink.php?file=cj201007/cijOO8Yl...
    7 Juillet 2010 14:42:00

    De plus kaspersky détecte toujours iexplorer.exe :s
    7 Juillet 2010 16:39:17

    re,


    Il te le détecte encour où exactement ?


    et tu m'as pas posté un nouveau ZHPDiag ( mais 2 x Ad-R .... ;)  )

    7 Juillet 2010 19:08:08

    bon ....



    la bête s'accroche ... on va faire autrement .... dans l'ordre :



    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [MD5.30C6DFDE2228B2D86F3C073EE774D3E5] - (.WINDOWS - WINDOWS.) -- C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe [2019343]
    O4 - HKLM\..\Run: [HKLM] . (.WINDOWS - WINDOWS.) -- C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe
    O4 - HKCU\..\Run: [HKCU] . (.WINDOWS - WINDOWS.) -- C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe
    O40 - ASIC: (no name) - {2S26LQ68-6CCP-PM0W-3TY6-6A8S160I7KDS} . (.WINDOWS - WINDOWS.) -- C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe



    > Puis Lance ZHPFix "en tant qu'admin..." depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



    ============================

    2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .


    > Poste le rapport Combofix pour analyse et attends la suite ...

    7 Juillet 2010 19:45:53

    Décidément il est increvable, quand je vais dans le gestionnaire de tâches iexplorer.exe est présent...

    Sinon voici :

    Rapport de ZHPFix v1.12.3117 par Nicolas Coolman, Update du 06/07/2010
    Fichier d'export Registre :
    Run by Adrien at 07/07/2010 19:29:48
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    ========== Processus mémoire ==========
    C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe [2019343] => Supprimé et mis en quarantaine

    ========== Clé du Registre ==========
    O40 - ASIC: (no name) - {2S26LQ68-6CCP-PM0W-3TY6-6A8S160I7KDS} . (.WINDOWS - WINDOWS.) -- C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe => Clé supprimée avec succès

    ========== Valeur du Registre ==========
    O4 - HKLM\..\Run: [HKLM] . (.WINDOWS - WINDOWS.) -- C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [HKCU] . (.WINDOWS - WINDOWS.) -- C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe => Valeur supprimée avec succès

    ========== Fichier ==========


    ========== Récapitulatif ==========
    1 : Processus mémoire
    1 : Clé du Registre
    2 : Valeur du Registre


    End of the scan



    Par contre pour ComboFix, bon il a fait son scan le pc a redémarrer, kaspersky a râler mais j'ai autorisé... mais pas de rapport ><
    7 Juillet 2010 20:18:30

    re,

    Citation :
    kaspersky a râler mais j'ai autorisé



    grrr ... j'avais pourtant tout expliqué :

    Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )



    bref , tu n'as pas ce rapport alors > C:\Combofix.txt


    ?



    7 Juillet 2010 20:33:48

    et j'ai appliqué ce que tu as dis, a savoir autoriser l'application il me laissait le choix entre bloquer et autoriser.

    non pas de rapport

    et iexplorer présent :'( 
    7 Juillet 2010 23:42:04

    bon,


    s'accroche cette salté ... on va pioché plus d'info ...


    dans l'ordre :



    1- Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...

    ! Ferme toutes applications en cours !

  • Clique droit /"executer en tant qu'admin ..." sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

    iexplorer.exe,rtgh56


  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

  • Au niveau des " options du registre " :
    > coche " chercher également dans le registre "

    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/


    ===========================

    2- Télécharge bootkit_remover :
    > http://www.esagelab.com/files/bootkit_remover.rar

  • Extrait le contenu de l'archive sur ton bureau .
  • ! Désactive ton antivirus et ferme toutes applications en cours !
  • Lance l'outil " en tant qu'admin..."
  • Une fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...


    note :
    pour copier/coller cette fenêtre, cliquer droit sur la fenêtre DOS / choisir "sélectionné tout"



    Un fois le rapport sélectionné, il faut taper de suite sur [entrée] et le rapport est directement "copier" ....

    Il suffit ensuite de le "coller" sur le forum ...


    ===============================

    3- Télécharge gmer sur le bureau et dézippe-le (clic droit et "extraire ici") :

    http://www.gmer.net/gmer.zip

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Clique droit / "executer en tant qu'admin..." sur gmer.exe pour lancer l'outil.
    * Met toi bien sur l'onglet "rootkit".
    * A droite, au niveau des options, que tout soit coché .
    * puis clique sur scan .

    > laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp ...


    8 Juillet 2010 07:06:12

    On va y arriver ^^

    > Rapport SEAF :

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 00:35:21 le 08/07/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. iexplorer.exe
    8. rtgh56
    9.
    10. (!) --- Calcul du Hash "MD5"
    11. (!) --- Affichage des ADS
    12. (!) --- Informations supplémentaires
    13. (!) --- Recherche registre
    14.
    15. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier

    accès) ======
    16.
    17. "c:\Windows\Prefetch\IEXPLORER.EXE-3840343E.pf" [ ----A---- | 41574 ]
    18. TC: 03/07/2010,18:09:06 | TM: 07/07/2010,22:16:03 | DA: 03/07/2010,18:09:06
    19. MD5: 16447cec9598250bc7703d3877322791
    20.
    21.
    22.
    23. =========================
    24.
    25. "c:\Users\Adrien\AppData\Roaming\install\iexplorer.exe" [ ----A---- | 2019343 ]
    26. TC: 06/07/2010,20:27:25 | TM: 07/07/2010,19:29:51 | DA: 07/07/2010,19:29:51
    27. MD5: 30c6dfde2228b2d86f3c073ee774d3e5
    28.
    29.
    30. CompagnyName: WINDOWS
    31. ProductName: WINDOWS
    32. InternalName: rtgh56
    33. OriginalFilename: rtgh56.exe
    34. LegalCopyright: WINDOWS
    35. LegalTrademarks: WINDOWS
    36. ProductVersion: 4.54.0345
    37. FileVersion: 4.54.0345
    38.
    39. =========================
    40.
    41. "c:\Users\Adrien\AppData\Local\Microsoft\Windows\WER\ReportArchive

    \AppCrash_iexplorer.exe_7117bfff168531d43f8b0fdf06a32b65c28ab7c_0bdde907\Report.wer" [

    ----AC---- | 12446 ]
    42. TC: 06/07/2010,21:08:03 | TM: 06/07/2010,21:08:03 | DA: 06/07/2010,21:08:03
    43. MD5: 3fd00a581f21f75f68ff82d1539fd87e
    44.
    45.
    46.
    47. =========================
    48.
    49. "c:\Program Files\ZHPDiag\Quarantine\iexplorer.exe.VIR" [ ----A---- | 2019343 ]
    50. TC: 06/07/2010,20:27:25 | TM: 06/07/2010,20:28:49 | DA: 06/07/2010,20:28:49
    51. MD5: 30c6dfde2228b2d86f3c073ee774d3e5
    52.
    53.
    54. CompagnyName: WINDOWS
    55. ProductName: WINDOWS
    56. InternalName: rtgh56
    57. OriginalFilename: rtgh56.exe
    58. LegalCopyright: WINDOWS
    59. LegalTrademarks: WINDOWS
    60. ProductVersion: 4.54.0345
    61. FileVersion: 4.54.0345
    62.
    63. =========================
    64.
    65. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier

    accès) ======
    66.
    67. "c:\Users\Adrien\AppData\Local\Microsoft\Windows\WER\ReportArchive

    \AppCrash_iexplorer.exe_7117bfff168531d43f8b0fdf06a32b65c28ab7c_0bdde907" [ ----DC---- ]
    68. TC: 06/07/2010,21:08:03 | TM: 06/07/2010,21:08:03 | DA: 06/07/2010,21:08:03
    69.
    70. =========================
    71.
    72.
    73. ====== Entrée(s) du registre ======
    74.
    75.
    76.
    77. [HKEY_CLASSES_ROOT\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed

    Components\{2S26LQ68-6CCP-PM0W-3TY6-6A8S160I7KDS}]
    78. "StubPath"="C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe Restart"
    79.
    80. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    81. "HKCU"="C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe"
    82.
    83. [HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active

    Setup\Installed Components\{2S26LQ68-6CCP-PM0W-3TY6-6A8S160I7KDS}]
    84. "StubPath"="C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe Restart"
    85.
    86. [HKEY_USERS\S-1-5-21-3617878951-1056192740-355076414-1000\Software\Microsoft

    \Windows\CurrentVersion\Run]
    87. "HKCU"="C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe"
    88.
    89. [HKEY_USERS\S-1-5-21-3617878951-1056192740-355076414-1000\Software\Classes

    \VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2S26LQ68-

    6CCP-PM0W-3TY6-6A8S160I7KDS}]
    90. "StubPath"="C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe Restart"
    91.
    92. [HKEY_USERS\S-1-5-21-3617878951-1056192740-355076414-1000_Classes\VirtualStore

    \MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2S26LQ68-6CCP-PM0W-3TY6-

    6A8S160I7KDS}]
    93. "StubPath"="C:\Users\Adrien\AppData\Roaming\install\iexplorer.exe Restart"
    94.
    95.
    96.
    97. =========================
    98.
    99. Fin à: 00:38:45 le 08/07/2010 ( E.O.F )


    > bootkit remover

    Bootkit Remover version 1.0.0.1
    (c) 2009 eSage Lab
    www.esagelab.com

    \\.\C: -> \\.\PhysicalDrive0
    MD5: bb4f1627d8b9beda49ac0d010229f3ff
    \\.\J: -> \\.\PhysicalDrive0
    \\.\K: -> \\.\PhysicalDrive0

    Size Device Name MBR Status
    --------------------------------------------
    931 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)




    > rapport gmer :

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-07-08 06:31:35
    Windows 6.1.7600
    Running: gmer.exe; Driver: C:\Users\Adrien\AppData\Local\Temp\aflcqpow.sys


    ---- System - GMER 1.0.15 ----

    INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer

    DLL/Microsoft Corporation) 82E33AF8
    INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer

    DLL/Microsoft Corporation) 82E33104
    INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer

    DLL/Microsoft Corporation) 82E333F4
    INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer

    DLL/Microsoft Corporation) 82E1C2D8
    INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer

    DLL/Microsoft Corporation) 82E1B898
    INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer

    DLL/Microsoft Corporation) 82E331DC
    INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer

    DLL/Microsoft Corporation) 82E33958
    INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer

    DLL/Microsoft Corporation) 82E336F8
    INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer

    DLL/Microsoft Corporation) 82E33F2C
    INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer

    DLL/Microsoft Corporation) 82E341A8

    ---- Kernel code sections - GMER 1.0.15 ----

    .text ntkrnlpa.exe!ZwSaveKeyEx + 13AD

    82E93599 1 Byte [06]
    .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2

    82EB7F52 19 Bytes [E0, 0F, BA, F0, 07,

    73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX;

    RET ; MOV ECX, CR3}
    .text C:\Windows\system32\DRIVERS\atikmdag.sys

    section is writeable [0x94226000,

    0x2FBAB4, 0xE8000020]
    .text C:\Windows\system32\DRIVERS\atksgt.sys

    section is writeable [0xA0239300,

    0x3B6D8, 0xE8000020]
    .text C:\Windows\system32\DRIVERS\lirsgt.sys

    section is writeable [0xA027C300, 0x1BEE,

    0xE8000020]
    .text peauth.sys

    A0286C9D 28 Bytes [55, 14, A6, 45, 81,

    17, C0, ...]
    .text peauth.sys

    A0286CC1 28 Bytes [55, 14, A6, 45, 81,

    17, C0, ...]
    ? C:\Users\Adrien\AppData\Local\Temp\catchme.sys

    Le fichier spécifié est introuvable. !
    ? C:\Windows\system32\Drivers\PROCEXP113.SYS

    Le fichier spécifié est introuvable. !

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\Windows\System32\rundll32.exe[4088] @ C:\Windows\system32\USER32.dll

    [KERNEL32.dll!GetProcAddress] [75675E25] C:\Windows

    \system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft

    Corporation)
    IAT C:\Windows\System32\rundll32.exe[4088] @ C:\Windows\system32\GDI32.dll

    [KERNEL32.dll!GetProcAddress] [75675E25] C:\Windows

    \system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft

    Corporation)
    IAT C:\Windows\System32\rundll32.exe[4088] @ C:\Windows\system32\SHLWAPI.dll

    [KERNEL32.dll!GetProcAddress] [75675E25] C:\Windows

    \system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft

    Corporation)
    IAT C:\Windows\System32\rundll32.exe[4088] @ C:\Windows

    \system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [75675E25] C:

    \Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des

    applications/Microsoft Corporation)

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy1

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy2

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy3

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy4

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy5

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)

    Device \Driver\ACPI_HAL \Device\00000052

    halmacpi.dll (Hardware Abstraction Layer

    DLL/Microsoft Corporation)

    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy6

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy7

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy8

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy9

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\tdx \Device\Tcp

    kl1.sys (Kaspersky Unified

    Driver/Kaspersky Lab)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume1

    fvevol.sys (BitLocker Drive Encryption

    Driver/Microsoft Corporation)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume1

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume2

    fvevol.sys (BitLocker Drive Encryption

    Driver/Microsoft Corporation)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume2

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume3

    fvevol.sys (BitLocker Drive Encryption

    Driver/Microsoft Corporation)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume3

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume4

    fvevol.sys (BitLocker Drive Encryption

    Driver/Microsoft Corporation)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume4

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume5

    fvevol.sys (BitLocker Drive Encryption

    Driver/Microsoft Corporation)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume5

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume6

    fvevol.sys (BitLocker Drive Encryption

    Driver/Microsoft Corporation)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume6

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy10

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume7

    fvevol.sys (BitLocker Drive Encryption

    Driver/Microsoft Corporation)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume7

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy11

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume8

    fvevol.sys (BitLocker Drive Encryption

    Driver/Microsoft Corporation)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume8

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy12

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume9

    fvevol.sys (BitLocker Drive Encryption

    Driver/Microsoft Corporation)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume9

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy13

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy20

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy14

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy15

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy16

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy17

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\tdx \Device\Udp

    kl1.sys (Kaspersky Unified

    Driver/Kaspersky Lab)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy18

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \Driver\tdx \Device\RawIp

    kl1.sys (Kaspersky Unified

    Driver/Kaspersky Lab)
    AttachedDevice \Driver\volsnap \Device\HarddiskVolumeShadowCopy19

    hotcore3.sys (Hotbackup helper

    driver/Paragon Software Group)
    AttachedDevice \FileSystem\fastfat \Fat

    fltmgr.sys (Gestionnaire de filtres de

    système de fichiers Microsoft/Microsoft Corporation)
    AttachedDevice \FileSystem\fastfat \Fat

    fltmgr.sys (Gestionnaire de filtres de

    système de fichiers Microsoft/Microsoft Corporation)

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg

    \14919EA49A8F3B4AA3CF1058D9A64CEC
    Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg

    \14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97

    0x02 ...
    Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg

    \14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
    Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg

    \14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x87 0xF9 0x45

    0x6B ...
    Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg

    \14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg

    \14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3

    0x97 0x02 ...
    Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg

    \14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
    Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg

    \14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x87 0xF9

    0x45 0x6B ...
    Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System


    Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

    \System@OODEFRAG12.00.00.01PROFESSIONAL

    1399AC84701F92F5180A2C88F7FBA3CD75B70174E2672ED7AB9CB1DA025982F61DEB27F933FB70DC5520003E

    D2BE0450B11F35D68D7A1807CA5F8DD572302B1437AFE464DDC68FDF9E7F3C03B165E7B09740A1DFDB5B75CB

    5752653534932E1637879BBF1D9D3259FC2972BB83417E07032055FEA2A90213261DE4129F1776E504DAB5ED

    EDA40D4C0DE66B338C29688AE70996058A0DEDF11D2A6DE663CF5F8D1AD4D232A30648DC0245221563F23A1B

    CB085B29902DD91EB726961381D8373F8A64C435656983D21F93C673767B0239C9ED528684B8FEBC9E127BEC

    C74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0

    AC4980AC7933A6171C11EC38DE3DBA7FD869164D67948EDD5E5BE2F6E6679592CD3DAC052E6EBC990DAFAA54

    8D64B08AE7D8BB4C9F4717854E78E80AE417FBCBD33EF254EF64C5D487ABB5EB73368C5E2C83DFEF9780AC1C

    3044F45123AA3DF309BB9F52742541434A215C9A4914BF3C1B46E85B587E175071D587FD3A9BAE2DAB1F1CE9

    1DA5F0BFE8F804D5D5C11AD7BB2C56A93076D14CAEF661F31B3199B90C9381E7235D8A47085FC4F1B68B5D08

    2C8360DBBF254C60173675FC8FB9BB041089A2FD92CAB7FCE3C4EBA95CBDC0C81ADCEFD27D49EA81EF686843

    AF82C498AF347FC04A6D9625C861791C0B2AF0B6C78F225833A3864
    Reg HKLM\SOFTWARE\Microsoft\Windows Search\UsnNotifier\Windows\Catalogs

    \SystemIndex@{A649675F-AD98-11DE-A933-806E6F6E6963} 6999541952

    ---- EOF - GMER 1.0.15 ----










    8 Juillet 2010 08:31:00

    hello,


    reposte moi les rapports de GMER et de SEAF via "Cijoint" stp ....



    et fait également ceci :


    Télécharge SystemLook de jpshortstuff sur ton bureau :

    http://images.malwareremoval.com/jpshortstuff/SystemLoo...


    * clique droit / "executer en tnat qu'admin..." sur "SystemLook.exe" pour lancer l'outil .

    -> Copies/colle le texte ci-dessous dans la fenêtre :


    :dir
    c:\Users\Adrien\AppData\Roaming\install



    * Clique sur le bouton [Look] pour lancer l'examen .

    Laisse travailler ...

    * Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

    -> Poste ce rapport dans ta prochaine réponse pour analyse ...


    ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )
    8 Juillet 2010 11:39:09

    re,


    pour les rapports c'est pas bon ...

    faire un copie/coller de ce qui est à l'écran n'est pas ce que je souhaite .... il faudra que tu m'uplaod directement les rapports originaux qui sont sur ton PC ...


    A ce soir ...
    8 Juillet 2010 20:07:16

    Re,

    Je vous donne les liens :

    > SEAF : http://www.cijoint.fr/cjlink.php?file=cj201007/cijRbCnB...


    > bootkit remover

    Bootkit Remover version 1.0.0.1
    (c) 2009 eSage Lab
    www.esagelab.com

    \\.\C: -> \\.\PhysicalDrive0
    MD5: bb4f1627d8b9beda49ac0d010229f3ff
    \\.\J: -> \\.\PhysicalDrive0
    \\.\K: -> \\.\PhysicalDrive0

    Size Device Name MBR Status
    --------------------------------------------
    931 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

    > Gmer : http://www.cijoint.fr/cjlink.php?file=cj201007/cijndtCs...
    8 Juillet 2010 20:10:16

    > System Look

    SystemLook v1.0 by jpshortstuff (11.01.10)
    Log created at 20:09 on 08/07/2010 by Adrien (Administrator - Elevation successful)

    ========== dir ==========

    c:\Users\Adrien\AppData\Roaming\install - Parameters: "(none)"

    ---Files---
    iexplorer.exe --a--- 2019343 bytes [18:27 06/07/2010] [17:29 07/07/2010]

    ---Folders---
    None found.

    -=End Of File=-
    8 Juillet 2010 20:52:03

    hello,


    on va faire ceci :


    1- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    Registry::
    [HKEY_CLASSES_ROOT\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2S26LQ68-6CCP-PM0W-3TY6-6A8S160I7KDS}]
    "StubPath"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "HKCU"=-
    [HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2S26LQ68-6CCP-PM0W-3TY6-6A8S160I7KDS}]
    "StubPath"=-
    [HKEY_USERS\S-1-5-21-3617878951-1056192740-355076414-1000\Software\Microsoft\Windows\CurrentVersion\Run]
    "HKCU"=-
    [HKEY_USERS\S-1-5-21-3617878951-1056192740-355076414-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2S26LQ68-6CCP-PM0W-3TY6-6A8S160I7KDS}]
    "StubPath"=-
    [HKEY_USERS\S-1-5-21-3617878951-1056192740-355076414-1000_Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2S26LQ68-6CCP-PM0W-3TY6-6A8S160I7KDS}]
    "StubPath"=-

    Folder::
    c:\Users\Adrien\AppData\Roaming\install

    Rootkit::
    c:\Users\Adrien\AppData\Roaming\install\iexplorer.exe



  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    8 Juillet 2010 22:08:56

    impec ...


    reste encore des possible traces d'infections via support amovible ...


    On va contrôler :


    Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Clique droit / "executer en tant qu'admin ..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Clique sur le bouton [ Recherche ] .

    -> Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html
    8 Juillet 2010 22:48:37

    ############################## | UsbFix 7.016 | [Recherche]

    Utilisateur: Adrien (Administrateur) # PC-ADRIEN [Dell Inc. Dell XPS430]
    Mis à jour le 05/07/10 par El Desaparecido / C_XX
    Lancé à 22:42:27 | 08/07/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM)2 Quad CPU Q8300 @ 2.50GHz
    CPU 2: Intel(R) Core(TM)2 Quad CPU Q8300 @ 2.50GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 32-Bit) #
    Internet Explorer 8.0.7600.16385

    RAM -> 3070 Mo
    C:\ (%systemdrive%) -> Disque fixe # 151 Go (105 Go libre(s) - 70%) [OS] # NTFS
    D:\ -> CD-ROM
    E:\ -> CD-ROM
    J:\ -> Disque fixe # 391 Go (167 Go libre(s) - 43%) [GAMES] # NTFS
    K:\ -> Disque fixe # 374 Go (121 Go libre(s) - 32%) [DATA] # NTFS
    L:\ -> Disque amovible # 2 Go (748 Mo libre(s) - 39%) [] # FAT
    N:\ -> Disque amovible # 1007 Mo (166 Mo libre(s) - 17%) [CLÉ USB 1GA] # FAT32

    ################## | Éléments infectieux |

    Présent! C:\Windows\system32\install

    ################## | Registre |

    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    8 Juillet 2010 22:54:28

    bien ...



    dans l'ordre :


    1- ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu cliques sur le bouton [ Suppression ] .

    -> Laisse travailler l'outil et ne touche à rien ...

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Important : une fois le rapport posté , redémarre le PC pour que l'outil puisse terminer le nettoyage .


    ==============================

    2- Refais un scan ZHPDiag " en tant qu'admin..." .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    8 Juillet 2010 23:34:30

    Sur mon disque C: des dossiers se sont créés, tel que UsbFix, Qoobox. J'ai regardé et à l'interieur il y a un dossier quarantaine. Je peux les supprimer ou ... ?
    9 Juillet 2010 00:39:50

    re,


    ne touche à aucun de ces dossier pour le moment ! .... cela sera nettoyer en temsp et en heure ! ... :p 

    Pour tes supports amovibles , il trainait quelques clés infectieuses et un résidu (dossier) d'infection ... Puis l'outil a 'vaccineé' le tout au passage pour empêcher que ce type d'infection se propage trop facilement la prochaine fois ( en espèrant qu'il n'y en est pas ;)  )


    Dis moi comment va le PC ... du mieux ? ... puis fait ceci :


    Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    [HKLM\Software\McAfeeInstaller]
    O44 - LFC:[MD5.0ADC025A73395D495E110AA92E03278D] - 08/07/2010 - 22:01:05 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix_Upload_Me_PC-ADRIEN.zip [2843]



    > Puis Lance ZHPFix "en tant qu'admin..." depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



    9 Juillet 2010 01:02:42

    Le pc démarre plus vite ! c'est agréable ca prouve que ton travail est de qualité :) 

    Voila le rapport :

    Rapport de ZHPFix v1.12.3117 par Nicolas Coolman, Update du 06/07/2010
    Fichier d'export Registre :
    Run by Adrien at 09/07/2010 01:00:21
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    ========== Clé du Registre ==========
    HKLM\Software\McAfeeInstaller => Clé supprimée avec succès

    ========== Fichier ==========
    c:\usbfix_upload_me_pc-adrien.zip => Fichier absent


    ========== Récapitulatif ==========
    1 : Clé du Registre
    1 : Fichier


    End of the scan


    Le zip je l'ai supprimé car je pensai qu'il ne nous servirais plus :s
    9 Juillet 2010 08:02:36

    hello,



    on est Ok ...


    Fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :



    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix ( "entant qu'admin..." ) depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!


    A- Clique sur le bouton " Nettoyeur de tools " . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    > Là tu décoches la case devant ZHPDiag !


    > Enfin clique en bas sur .


    Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    -> Copie/colle le contenu de ce rapport pour analyse ...

    ( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

    Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



    B- Clique sur le bouton en haut à droite " Vider la quarantaine "

    Au message de confirmation , clique sur "Ok" .


    Puis ferme ZHPFix ...


    =====================

    2- Refais un coup de CCleaner ( registre compris ) .


    =====================

    3- Télécharge et installe le logiciel HijackThis (version compatible OS Seven 32 et 64 bit) :

    ici http://www.infos-du-net.com/telecharger/HijackThis,0301...
    ou ici http://www.clubic.com/lancer-le-telechargement-51452-0-...

    > Clique droit / "executer entant qu'admin..." sur le setup pour lancer l'installe :
    * laisse toi guider et ne modifie pas les paramètres d'installation .
    * A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .

    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    C:\program files\Trend Micro\HijackThis\HijackThis.exe .

    ( ne fais pas de scan pour le moment )

    =====================

    4- Important :
    Purge de la restauration système

    Pour le fair, il faut
    a- désactiver la restauration système / rebooter le PC .
    b- réactiver la restauration système / rebooter le PC .

    Suit les indications de ce tuto > http://www.commentcamarche.net/faq/25651-desactiver-rea...


    =====================

    5- On va utiliser Kaspersky .

    Mets le à jours si besion .

    > Fait un scan complet de ton PC et mets tout ce qu'il peux trouver en quarantaine .

    > poste le rapport de scan obtenu ....

    9 Juillet 2010 09:07:11

    Ok chef je fais cela en rentrant ;) 
    9 Juillet 2010 18:21:01

    re,


    Citation :
    kaspersky (je précise c'est une version d'essai que je réactualise ... d'ou le fait qu'il ai detecter des exe pas net )



    tu m'as pris pour un lapin de 3 semaines ??? ... :heink: 
    et toi tu fais confiance à un antivirus qui a été 'piraté' pour protéger ton PC ? ... c'est ce qu'on appelle un comble ! ...


    je te conseille TRES FORTEMENT de désinstaller ce Kaspersky cracké et d'opté soit pour la vrai version payante, soit pour un autre AV gratos comme AntiVir qui est tout aussi bien ....


    tu me diras , avec quelq'un qui cultive les cracks ( et donc les infections ... :D  ) :

    Citation :
    ---\\ Crack & Keygen Files (O82)
    J:\PC Games\Anno 1404\Anno.1404.Team.HF\Anno1404_Venise_TeamHF\Crack\keygen.exe
    J:\PC Games\Anno 1404\Anno.1404.Team.HF\CrackAnno1404ByRazor1911UbByOrishma\Razor1911\Razor1911\Anno4.exe
    J:\PC Games\Anno 1404\Anno.1404.Team.HF\CrackAnno1404ByRazor1911UbByOrishma\Razor1911\Razor1911\Trainer\rzr-a4t4.exe
    J:\PC Games\Batman Arkham Asylum\Iso\Crack\BmStartApp.exe
    J:\PC Games\Borderlands\Iso + patchs\During install\Crack\Borderlands.exe
    J:\PC Games\Colin Mcrae Dirt2\rld-drt2.AK-TEAM-NOx\Crack\dirt2.exe
    J:\PC Games\Colin Mcrae Dirt2\rld-drt2.AK-TEAM-NOx\Crack\dirt2o.exe
    J:\PC Games\Crysis\Iso + Crack\Crysis_Patch_1_1& 2\crysispatchv12multilangues221832_JeuxVideo.com_13638.exe
    J:\PC Games\Crysis\Iso + Crack\Crysis_Patch_1_1& 2\Crysis_Patch_1_1_JeuxVideo.com_13554.exe
    J:\PC Games\Crysis\Iso + Crack\Crysis_Patch_1_1& 2\vty-0170\ViTALiTY\Bin32\Crysis.exe
    J:\PC Games\Crysis\Iso + Crack\Crysis_Patch_1_1& 2\vty-0170\ViTALiTY\Bin64\Crysis.exe
    J:\PC Games\PES 2010\Iso + CRack\CP10\Crack\pes2010.exe
    J:\PC Games\Race driver GRID\Iso Grid\CRACK\GRID.exe
    J:\PC Games\Split Second\Iso\Crack\SplitSecond.exe
    K:\Applications\Apple.QuickTime.Pro.v7.4.5.Multilanguage.Incl.Keygen-DI\Apple.QuickTime.Pro.v7.4.5.Multilanguage.Incl.Keygen-DI\Keygen.exe
    K:\Applications\Apple.QuickTime.Pro.v7.4.5.Multilanguage.Incl.Keygen-DI\Apple.QuickTime.Pro.v7.4.5.Multilanguage.Incl.Keygen-DI\QuickTimeInstaller.exe
    K:\Applications\Crak Adobe CS4\Adobe CS4 Master Collection Keygen.exe
    K:\Applications\LMSOFT.Web.Creator.Pro.v4.0.0.5.Multilangages.Incl-Crack.[emule-island.com]\Bienvenue sur eMule-Island !.url
    K:\Applications\LMSOFT.Web.Creator.Pro.v4.0.0.5.Multilangages.Incl-Crack.[emule-island.com]\Consignes D'installation.txt
    K:\Applications\LMSOFT.Web.Creator.Pro.v4.0.0.5.Multilangages.Incl-Crack.[emule-island.com]\Crack\WebCreatorPro4.exe
    K:\Applications\LMSOFT.Web.Creator.Pro.v4.0.0.5.Multilangages.Incl-Crack.[emule-island.com]\WC4ProInstall170.EXE
    K:\Applications\Maya 2010\Keygen Maya 2010 32bits\xf-maya2010.exe
    K:\Applications\Sony Vegas Pro 9.0 - Up by Épikourien\Keygen all product Sony\Keygen.exe
    K:\Applications\Tune_up_utilities_2010_FRANCAIS_+_keygen\TUFRENCH2010\keygen.exe
    K:\Applications\Tune_up_utilities_2010_FRANCAIS_+_keygen\TUFRENCH2010\TU2010TrialFR.exe


    cela ne m'étonne qu'à moitier ....


    > donc je répète : vire moi toutes ces merdes de cracks si tu ne veux pas réinfecter le PC et change d'AV ...



    ============================

    une fois ceci fait, relance un scan ZHPDiag "en tant qu'admin..." .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...



    9 Juillet 2010 18:24:55

    J'ai pris conscience de tout ca depuis que tu m'a pris en charge... je désinstalle tout.

    Je fais le scan après !

    Je compte acheter kaspersky peux tu me dire comment bien désinstaller la merde d'AV, afin que l'installation de l'authentique se passe bien.

    9 Juillet 2010 18:31:16

    il doit se désinstaller de la même manière que le normal ....

    mais je doute fort que tu achètes comme tu dis la vrais licences ! .... moi je te conseil de passer sur AnitVir mais bon ....

        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS