tony333

Salut Tomtom95.... Si je peux abuser encore un peu.... Juste pour mon info perso.... Depuis le 18/01 et tes conseils "aucun virus ou programmes indésirables trouvés" donc tout va bien mais chaque jour, lors du scan d'Avira j'ai : "fichier contient le code suspect GEN/PwdZIP.... C\Users.....FraudCodecx.4/5/6/7.zip (les nombres varient) et environ 8 messages/jour de scan.... C'est grave docteur ?? A priori non car la bécance semble stable mais au cas où un monstre sommeille... Bonne soirée Anthony

Ayé !! Ménage et correctifs effectués Un grand merci à toi pour ta disponibilité !! Amitiés Anthony

Bonsoir Tomtom 95 et merci pour ton aide Concernant la quarantaine, ccleaner et la suppression de Spybot : c'est fait Je n'ai pas eu d'alertes Avira aujourd'hui contrairement à hier toutes les 15 mn : pourrait il s'agir d'attaques en masse et ponctuelles ?? Par contre il y a deux points que je n'ai pas saisi ou maîtrise pas : concernant le "ménage sur le lecteur E" : qu'entends tu par là ?? concernant le point de restauration, il me semble l'avoir fait il y a longtemps mais je ne me souviens plus de la manip'... Tu aurais un petit bout de tuto sous la main ?? Merci encore pour ton aide et bonne soirée Tony

Bonsoir à toutes et tous… Et bonne année !! (il est encore temps) Me revoilà parmi vous suite à des avertissements à répétition d’Avira…. Mon PC fonctionne correctement mais ces alertes m’inquiètent….. Tout a commencé il y a une semaine avec une infection par « vista antispyware 2012 » dont j’ai miraculeusement réussi à me débarrasser avec « rogue killer » (toutes les applis étant bloquées dès que je les ouvrai, j’ai pu le télécharger je ne sais comment) Depuis, Avira ne me cesse de m’avertir de menaces….. (je vous mettrai quelques exemples plus bas) Concernant ma configuration : Vista et concernant les outils utilisés (à plusieurs reprises ces derniers jours) : Avira donc… Malwarebytes CCleaner Spybot Et Glary Utilities par ce qu’il le vaut bien Si l’un de vous peut me prendre en charge : c’est avec plaisir que je me laisserai embarquer !! En tout cas bravo pour le dévouement dont vous faites preuve et qui m’a déjà par deux fois sauvé la vie A bientôt Tony 1. Quelques exemples d’avertissements Avira : Le fichier 'E:\SAUVEGARDE ANCIEN PC\SAUVEGARDE ANCIEN PC\Disque local\WINDOWS\T2I\Links_fr.exe.VIR' contenait un virus ou un programme indésirable 'TR/Offend.6387327' [trojan]. Action(s) exécutée(s) : Une copie de sécurité a été créée sous le nom 4c6150f3.qua ( QUARANTAINE ). Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '54f67f4c.qua' ! Dans le fichier 'E:\SAUVEGARDE ANCIEN PC\SAUVEGARDE ANCIEN PC\Disque local\WINDOWS\T2I\Links_fr.exe.VIR' un virus ou un programme indésirable 'TR/Offend.6387327' [trojan] a été détecté. Action exécutée : Refuser l'accès e fichier 'C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudCodecx7.zip' contenait un virus ou un programme indésirable 'GEN/PwdZIP' [heuristic]. Action(s) exécutée(s) : Le fichier est protégé par mot de passe. Le résultat positif a été classé comme suspect. Une copie de sécurité a été créée sous le nom 4ba84457.qua ( QUARANTAINE ). Fichier ignoré. e fichier 'C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudCodecx5.zip' contenait un virus ou un programme indésirable 'GEN/PwdZIP' [heuristic]. Action(s) exécutée(s) : Le fichier est protégé par mot de passe. Le résultat positif a été classé comme suspect. Une copie de sécurité a été créée sous le nom 52f66c2b.qua ( QUARANTAINE ). Fichier ignoré. Dans le fichier 'C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudCodecx4.zip' un virus ou un programme indésirable 'GEN/PwdZIP' [heuristic] a été détecté. Action exécutée : Refuser l'accès Le fichier 'C:\Users\MARIEJO\Desktop\RK_Quarantine\sqp.exe.vir' contenait un virus ou un programme indésirable 'TR/Fake.Rean.7534' [trojan]. Action(s) exécutée(s) : Une copie de sécurité a été créée sous le nom 4a2f608f.qua ( QUARANTAINE ). Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '52b84fc0.qua' ! Etc etc etc… 2. Voici le rapport du scan Avira effectué ce jour : Avira AntiVir Personal Date de création du fichier de rapport : mercredi 18 janvier 2012 12:00 La recherche porte sur 3157329 souches de virus. Le programme fonctionne en version intégrale illimitée. Les services en ligne sont disponibles. Détenteur de la licence : Avira AntiVir Personal - Free Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (Service Pack 2) [6.0.6002] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : PC-DE-MARIEJO Informations de version : BUILD.DAT : 10.2.0.152 35934 Bytes 03/11/2011 17:29:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 30/08/2011 17:43:21 AVSCAN.DLL : 10.0.5.0 56680 Bytes 30/08/2011 17:43:21 LUKE.DLL : 10.3.0.5 45416 Bytes 30/08/2011 17:43:22 LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 30/08/2011 17:43:22 AVREG.DLL : 10.3.0.9 88833 Bytes 30/08/2011 17:43:22 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 17:57:22 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 08:46:13 VBASE003.VDF : 7.11.19.171 2048 Bytes 20/12/2011 08:46:46 VBASE004.VDF : 7.11.19.172 2048 Bytes 20/12/2011 08:46:47 VBASE005.VDF : 7.11.19.173 2048 Bytes 20/12/2011 08:46:47 VBASE006.VDF : 7.11.19.174 2048 Bytes 20/12/2011 08:46:48 VBASE007.VDF : 7.11.19.175 2048 Bytes 20/12/2011 08:46:48 VBASE008.VDF : 7.11.19.176 2048 Bytes 20/12/2011 08:46:48 VBASE009.VDF : 7.11.19.177 2048 Bytes 20/12/2011 08:46:49 VBASE010.VDF : 7.11.19.178 2048 Bytes 20/12/2011 08:46:50 VBASE011.VDF : 7.11.19.179 2048 Bytes 20/12/2011 08:46:50 VBASE012.VDF : 7.11.19.180 2048 Bytes 20/12/2011 08:46:50 VBASE013.VDF : 7.11.19.217 182784 Bytes 22/12/2011 08:47:04 VBASE014.VDF : 7.11.19.255 148480 Bytes 24/12/2011 08:17:38 VBASE015.VDF : 7.11.20.29 164352 Bytes 27/12/2011 08:17:39 VBASE016.VDF : 7.11.20.70 180224 Bytes 29/12/2011 08:28:12 VBASE017.VDF : 7.11.20.102 240640 Bytes 02/01/2012 05:29:53 VBASE018.VDF : 7.11.20.139 164864 Bytes 04/01/2012 12:43:16 VBASE019.VDF : 7.11.20.178 167424 Bytes 06/01/2012 07:39:41 VBASE020.VDF : 7.11.20.207 230400 Bytes 10/01/2012 05:39:23 VBASE021.VDF : 7.11.20.236 150528 Bytes 11/01/2012 07:24:45 VBASE022.VDF : 7.11.21.13 135168 Bytes 13/01/2012 17:02:25 VBASE023.VDF : 7.11.21.40 163840 Bytes 16/01/2012 18:19:50 VBASE024.VDF : 7.11.21.65 1001472 Bytes 17/01/2012 18:20:04 VBASE025.VDF : 7.11.21.66 2048 Bytes 17/01/2012 18:20:04 VBASE026.VDF : 7.11.21.67 2048 Bytes 17/01/2012 18:20:04 VBASE027.VDF : 7.11.21.68 2048 Bytes 17/01/2012 18:20:04 VBASE028.VDF : 7.11.21.69 2048 Bytes 17/01/2012 18:20:04 VBASE029.VDF : 7.11.21.70 2048 Bytes 17/01/2012 18:20:04 VBASE030.VDF : 7.11.21.71 2048 Bytes 17/01/2012 18:20:04 VBASE031.VDF : 7.11.21.73 12288 Bytes 17/01/2012 18:20:04 Version du moteur : 8.2.8.28 AEVDF.DLL : 8.1.2.2 106868 Bytes 26/10/2011 07:15:49 AESCRIPT.DLL : 8.1.3.97 426363 Bytes 13/01/2012 17:03:53 AESCN.DLL : 8.1.7.2 127349 Bytes 12/12/2010 09:23:02 AESBX.DLL : 8.2.4.5 434549 Bytes 03/12/2011 20:36:36 AERDL.DLL : 8.1.9.15 639348 Bytes 10/09/2011 19:46:08 AEPACK.DLL : 8.2.16.1 799094 Bytes 17/01/2012 18:20:10 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30/12/2011 08:28:33 AEHEUR.DLL : 8.1.3.18 4297079 Bytes 13/01/2012 17:03:45 AEHELP.DLL : 8.1.18.0 254327 Bytes 26/10/2011 07:15:38 AEGEN.DLL : 8.1.5.17 405877 Bytes 08/12/2011 17:58:13 AEEMU.DLL : 8.1.3.0 393589 Bytes 12/12/2010 09:22:47 AECORE.DLL : 8.1.24.3 201079 Bytes 29/12/2011 08:30:14 AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 06:40:14 AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56 AVPREF.DLL : 10.0.3.2 44904 Bytes 30/08/2011 17:43:21 AVREP.DLL : 10.0.0.10 174120 Bytes 18/05/2011 18:59:58 AVARKT.DLL : 10.0.26.1 255336 Bytes 30/08/2011 17:43:21 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 30/08/2011 17:43:21 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56 NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 30/08/2011 17:43:20 RCTEXT.DLL : 10.0.64.0 100712 Bytes 30/08/2011 17:43:20 Configuration pour la recherche actuelle : Nom de la tâche...............................: Disques durs locaux Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\alldiscs.avp Documentation.................................: par défaut Action principale.............................: réparer Action secondaire.............................: renommer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, E:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: marche Fichier mode de recherche.....................: Sélection de fichiers intelligente Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: avancé Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Début de la recherche : mercredi 18 janvier 2012 12:00 La recherche d'objets cachés commence. La recherche sur les processus démarrés commence : Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'vssvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'DfrgNtfs.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'defrag.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés Processus de recherche 'OUTLOOK.EXE' - '1' module(s) sont contrôlés Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'Dwm.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'sua.exe' - '1' module(s) sont contrôlés Processus de recherche 'SmartFaceVWatchSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés Processus de recherche 'SDWinSec.exe' - '1' module(s) sont contrôlés Processus de recherche 'WLIDSvcM.exe' - '1' module(s) sont contrôlés Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés Processus de recherche 'xaudio.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés Processus de recherche 'WLIDSVC.EXE' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés Processus de recherche 'TosIPCSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TosCoSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TODDSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TNaviSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TempoSVC.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'PSIA.exe' - '1' module(s) sont contrôlés Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'o2flash.exe' - '1' module(s) sont contrôlés Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés Processus de recherche 'CFSvcs.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'WLANExt.exe' - '1' module(s) sont contrôlés Processus de recherche 'atieclxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'AUDIODG.EXE' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'atiesrxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'PresentationFontCache.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés Début du contrôle des fichiers système : Signé -> 'C:\Windows\system32\svchost.exe' Signé -> 'C:\Windows\system32\winlogon.exe' Signé -> 'C:\Windows\explorer.exe' Signé -> 'C:\Windows\system32\smss.exe' Signé -> 'C:\Windows\system32\wininet.DLL' Signé -> 'C:\Windows\system32\wsock32.DLL' Signé -> 'C:\Windows\system32\ws2_32.DLL' Signé -> 'C:\Windows\system32\services.exe' Signé -> 'C:\Windows\system32\lsass.exe' Signé -> 'C:\Windows\system32\csrss.exe' Signé -> 'C:\Windows\system32\drivers\kbdclass.sys' Signé -> 'C:\Windows\system32\spoolsv.exe' Signé -> 'C:\Windows\system32\alg.exe' Signé -> 'C:\Windows\system32\wuauclt.exe' Signé -> 'C:\Windows\system32\advapi32.DLL' Signé -> 'C:\Windows\system32\user32.DLL' Signé -> 'C:\Windows\system32\gdi32.DLL' Signé -> 'C:\Windows\system32\kernel32.DLL' Signé -> 'C:\Windows\system32\ntdll.DLL' Signé -> 'C:\Windows\system32\ntoskrnl.exe' Signé -> 'C:\Windows\system32\ctfmon.exe' Les fichiers système ont été contrôlés ('21' fichiers) La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [iNFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [iNFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [iNFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '659' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' <Vista> C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudCodecx4.zip [RESULTAT] Contient le code suspect GEN/PwdZIP [REMARQUE] Le résultat positif a été classé comme suspect. [REMARQUE] Une copie de sécurité a été créée sous le nom 4bed3859.qua ( QUARANTAINE ) [AVERTISSEMENT] Fichier ignoré. C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudCodecx5.zip [RESULTAT] Contient le code suspect GEN/PwdZIP [REMARQUE] Le résultat positif a été classé comme suspect. [REMARQUE] Une copie de sécurité a été créée sous le nom 537a17fe.qua ( QUARANTAINE ) [AVERTISSEMENT] Fichier ignoré. C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudCodecx6.zip [RESULTAT] Contient le code suspect GEN/PwdZIP [REMARQUE] Le résultat positif a été classé comme suspect. [REMARQUE] Une copie de sécurité a été créée sous le nom 01254d16.qua ( QUARANTAINE ) [AVERTISSEMENT] Fichier ignoré. C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudCodecx7.zip [RESULTAT] Contient le code suspect GEN/PwdZIP [REMARQUE] Le résultat positif a été classé comme suspect. [REMARQUE] Une copie de sécurité a été créée sous le nom 671202d4.qua ( QUARANTAINE ) [AVERTISSEMENT] Fichier ignoré. C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudCodecx4.zip [RESULTAT] Contient le code suspect GEN/PwdZIP [REMARQUE] Le résultat positif a été classé comme suspect. [REMARQUE] Une copie de sécurité a été créée sous le nom 22962aab.qua ( QUARANTAINE ) [AVERTISSEMENT] Fichier ignoré. C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudCodecx5.zip [RESULTAT] Contient le code suspect GEN/PwdZIP [REMARQUE] Le résultat positif a été classé comme suspect. [REMARQUE] Une copie de sécurité a été créée sous le nom 5d8d18ca.qua ( QUARANTAINE ) [AVERTISSEMENT] Fichier ignoré. C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudCodecx6.zip [RESULTAT] Contient le code suspect GEN/PwdZIP [REMARQUE] Le résultat positif a été classé comme suspect. [REMARQUE] Une copie de sécurité a été créée sous le nom 11353487.qua ( QUARANTAINE ) [AVERTISSEMENT] Fichier ignoré. C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudCodecx7.zip [RESULTAT] Contient le code suspect GEN/PwdZIP [REMARQUE] Le résultat positif a été classé comme suspect. [REMARQUE] Une copie de sécurité a été créée sous le nom 6d2d74d7.qua ( QUARANTAINE ) [AVERTISSEMENT] Fichier ignoré. C:\Users\MARIEJO\Desktop\RK_Quarantine\sqp.exe.vir [RESULTAT] Contient le cheval de Troie TR/Fake.Rean.7534 [REMARQUE] Une copie de sécurité a été créée sous le nom 40865b76.qua ( QUARANTAINE ) C:\Users\MARIEJO\SAUVEGARDE ANCIEN PC\Disque local\WINDOWS\T2I\Links_fr.exe [REMARQUE] Une copie de sécurité a été créée sous le nom 59ec7134.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'Links_fr.exe.VIR' ! C:\Windows\SoftwareDistribution\Download\69bea2bed5a5ee2ff732854dbfa0e304ee96e020 [0] Type d'archive: Portable Executable Resource --> object [1] Type d'archive: CAB (Microsoft) --> WriterProdLang.7z [2] Type d'archive: 7-Zip --> WriterProdLang.cab [3] Type d'archive: CAB (Microsoft) --> writerprodlang.msi [AVERTISSEMENT] Impossible de lire le fichier ! --> object [1] Type d'archive: CAB (Microsoft) --> LanguageSelector64.7z [2] Type d'archive: 7-Zip --> LanguageSelector64.cab [3] Type d'archive: CAB (Microsoft) --> LanguageSelector64.msi [AVERTISSEMENT] Impossible de lire le fichier ! Recherche débutant dans 'E:\' <Data> E:\SAUVEGARDE ANCIEN PC\SAUVEGARDE ANCIEN PC\Disque local\WINDOWS\T2I\Links_fr.exe [REMARQUE] Une copie de sécurité a été créée sous le nom 35b03ec7.qua ( QUARANTAINE ) [REMARQUE] Le fichier a été renommé en 'Links_fr.exe.VIR' ! Fin de la recherche : mercredi 18 janvier 2012 15:03 Temps nécessaire: 3:03:41 Heure(s) La recherche a été effectuée intégralement 32944 Les répertoires ont été contrôlés 1083627 Des fichiers ont été contrôlés 3 Des virus ou programmes indésirables ont été trouvés 8 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 11 Les fichiers ont été déplacés dans la quarantaine 2 Les fichiers ont été renommés 0 Impossible de scanner des fichiers 1083616 Fichiers non infectés 18706 Les archives ont été contrôlées 10 Avertissements 11 Consignes 162851 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés 3. Et pour finit le MBAM : Malwarebytes Anti-Malware 1.60.0.1800 www.malwarebytes.org Version de la base de données: v2012.01.18.02 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 8.0.6001.19170 MARIEJO :: PC-DE-MARIEJO [administrateur] 18/01/2012 13:41:45 mbam-log-2012-01-18 (13-41-45).txt Type d'examen: Examen complet Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 416927 Temps écoulé: 3 heure(s), 55 minute(s), 59 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté) (fin)

Bonjour, J'ai terminé de mettre en oeuvre tes préconisations et ai terminé par un ESET. Tout va bien : la bête à disparu !! Un grand merci pour ton aide et surtout ta disponiblité... Donner gratuitement de son temps est une chose rare de nos jours... Merci encore !!! Amicalement Anthony

Bonsoir ! J'ai refais un scan avec ESET et à priori la bête est encore là : C:\_OTL\MovedFiles\08212011_230942\C_Users\MARIEJO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\x3_Codec 1.5.0.0\Visit x3_Codec website.lnk LNK/URL.B trojan Au secours.... Si tu as encore un peu de temps à me consacrer..... Merci !! Bonne soirée Tony

Bonjour, ok et merci encore. Je fais tout ça ce soir ou ce w end et te tiens au courant Bonne journée Tony

Bonsoir, Ce qui me reste à vérifier je ne sais pas.... Suivant les différents rapports que je t'ai envoyé, penses tu qu'il reste des traces du trojan ?? Si tu en es d'accord, je te propose de t'envoyer un nouveau rapport avira.... Voire un ESET car c'est celui qui avait trouvé le trojan... Qu'en penses-tu ??? Bonne soirée Tony

Bonsoir, Voici le rapport... A priori il est allé jusqu'au bout mais à la fin il m'a demandé si je voulais désinstaller emule, j'ai fait "annuler".... Je sens d'ailleurs que sur cette histoire de mule, une fois que nous aurons résolu le problème, tu risques de me gronder Pour info, il ne m'a pas demandé de redémarrer.... Près pour la suite des aventures !! Bonne soirée Tony Rapport de ZHPFix 1.12.3357 par Nicolas Coolman, Update du 23/08/2011 Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-25-08-2011-18-53-16.txt Run by MARIEJO at 25/08/2011 18:53:16 Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002) Web site : ZHPFix Fix de rapport ========== Logiciel(s) ========== ABSENT Uninstall Process: c:\program files\emule\uninstall.exe ========== Clé(s) du Registre ========== SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eMule] SUPPRIME Key: StartupReg: ApnUpdater SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440} SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440} SUPPRIME Key: HKCU\Software\eMule SUPPRIME Key: SearchScopes :{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} ABSENT Key: HKCU\Software\ESET SUPPRIME Key: HKLM\Software\Eset SUPPRIME Key: HKLM\Software\SUPERAntiSpyware.com SUPPRIME Key: HKCU\Software\SUPERAntiSpyware.com ========== Valeur(s) du Registre ========== SUPPRIME UDP Query User{904B9E1C-A0C1-4CC1-BBE0-EBCD7E397026}C:/program files/emule/emule.exe ========== Dossier(s) ========== SUPPRIME Folder: C:\ProgramData\eMule SUPPRIME Folder: C:\Users\MARIEJO\AppData\Local\eMule ========== Fichier(s) ========== SUPPRIME c:\users\mariejo\appdata\roaming\mozilla\firefox\profiles\nctzb4pc.default\searchplugins\askcom.xml SUPPRIME c:\program files\ask.com ABSENT File: c:\users\mariejo\appdata\roaming\mozilla\firefox\profiles\nctzb4pc.default\searchplugins\askcom.xml ABSENT Folder/File: c:\users\mariejo\appdata\roaming\mozilla\firefox\profiles\nctzb4pc.default\user.js (.not file.) SUPPRIME c:\users\mariejo\desktop\internet - raccourci.lnk SUPPRIME c:\users\mariejo\appdata\roaming\microsoft\internet explorer\quick launch\internet - raccourci (2).lnk SUPPRIME c:\users\mariejo\appdata\roaming\microsoft\internet explorer\quick launch\internet - raccourci.lnk ========== Tache planifiée ========== SUPPRIME Task: Ad-Aware Update (Daily 1) SUPPRIME Task: Ad-Aware Update (Daily 2) SUPPRIME Task: Ad-Aware Update (Daily 3) SUPPRIME Task: Ad-Aware Update (Daily 4) SUPPRIME Task: Ad-Aware Update (Weekly) ========== Autre ========== NON TRAITE 02/09/2009 - 21:41:44 - [0] ----D- C:\Users\MARIEJO\AppData\Roaming\PC Tools NON TRAITE 02/09/2009 - 21:41:44 - [0] ----D- C:\ProgramData\PC Tools ========== Récapitulatif ========== 12 : Clé(s) du Registre 1 : Valeur(s) du Registre 2 : Dossier(s) 7 : Fichier(s) 1 : Logiciel(s) 5 : Tache planifiée 2 : Autre End of the scan in 00mn 39s ========== Chemin de fichier rapport ========== C:\ZHP\ZHPFix[R1].txt - 25/08/2011 18:53:16 [2918]

Bonjour, Merci je fais ça ce soir... Concernant le chemin d'accès celui que je t'avais donné ne va pas ?? : c:\programdata\microsoft\windows\start menu\Programs\Spyware Doctor Bonne journée Tony

Hello Le voici : Lien CJoint.com AHyuNy6EXrm Et quand tu parles de nom exact : que te manques-t-il ?? Car à part les chemins donnés plus haut je ne vois pas trop... A moins d'aller farfouiler dans des endroits que je ne connais pas..... Let me know.... Bonne soirée Tony

Voici le rapport mais quand j'effectue une recherche dans l'explorateur avec "doctor" il me retrouve quand même les fichiers (toujours des raccourcis) Ouin.... C'est grave doctor ?? All processes killed ========== OTL ========== ========== SERVICES/DRIVERS ========== ========== REGISTRY ========== ========== FILES ========== File\Folder c:\programdata\microsoft\windows\start menu\Programs\Spyware Doctor not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: MARIEJO ->Temp folder emptied: 219190 bytes ->Temporary Internet Files folder emptied: 731485 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 48423024 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 607 bytes User: Public ->Temp folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 524378 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 48,00 mb [EMPTYFLASH] User: All Users User: Default User: Default User User: MARIEJO ->Flash cache emptied: 0 bytes User: Public Total Flash Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.26.5 log created on 08242011_192244 Files\Folders moved on Reboot... File\Folder C:\Windows\temp\TMP00000042DECC82C2DDCDAFD7 not found! Registry entries deleted on Reboot...

Bonsoir, Voici le chemin d'accès : c:\programdata\microsoft\windows\start menu\Programs\Spyware Doctor Lorsque je tente de les supprimer voici le message qui s'affiche : le dossier c:\programdata\microsoft\windows etc.... (jusqu'au nom de l'un des 4 "fichiers traces" que j'ai trouvé) n'existe pas. Le fichier a peut être été déplacé ou supprimé. Voulez vous le créer ?? -> Oui/Ignorer/Annuler @ + Tony

Oui pour Java c'est fait.... A priori il n'y en avait pas d'autres à faire ?? Et pour les programmes à désinstaller, à part les traces de spyware doctor que je n'arrive pas à désinstaller je pense que c'est bon.... A ta dispo pour la suite des événements....

Bonsoir !! Effectivement c'était bien Avira qui mettait le bazar... Voici donc le rapport (et pour Java : c'est fait) @ + Tony All processes killed ========== OTL ========== No active process named SASCORE.EXE was found! No active process named SUPERANTISPYWARE.EXE was found! Error: No service named !SASCORE was found to stop! Service\Driver key !SASCORE not found. File C:\Program Files\SUPERAntiSpyware\SASCORE.EXE not found. Prefs.js: "Ask.com" removed from browser.search.defaultengine Prefs.js: "Ask.com" removed from browser.search.defaultenginename Prefs.js: "Ask.com" removed from browser.search.order.1 Prefs.js: "Ask.com" removed from browser.search.selectedEngine Prefs.js: [email protected]:3.11.3.15590 removed from extensions.enabledItems Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SUPERAntiSpyware not found. File C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe not found. Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found. Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{76577871-04EC-495E-A12B-91F7C3600AFA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{76577871-04EC-495E-A12B-91F7C3600AFA}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\localhost\ not found. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\GD\\http not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon\ not found. File C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}\ not found. File C:\Program Files\SUPERAntiSpyware\SASSEH.DLL not found. Folder C:\Program Files\ESET\ not found. Unable to delete ADS C:\ProgramData\TEMP:22FA7A05 . Unable to delete ADS C:\ProgramData\TEMP:8CE646EE . Unable to delete ADS C:\ProgramData\TEMP:DFC5A2B2 . Unable to delete ADS C:\ProgramData\TEMP:FA5F15C4 . ========== SERVICES/DRIVERS ========== ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\TCP Query User{1A34F531-81A2-4819-B847-418F0FA07145}C:\program files\emule\emule.exe not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\TCP Query User{F84513FF-9B08-49F9-8D39-5D20B84893F3}C:\program files\emule\emule.exe not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\UDP Query User{4DE8EE3C-B7FF-43AF-A2A9-1111260E6287}C:\program files\emule\emule.exe not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\eMule not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\ESET Online Scanner not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice\ not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice\ not found. ========== FILES ========== < ipconfig /flushdns /c > Configuration IP de Windows Cache de r‚solution DNS vid‚. C:\Users\MARIEJO\Desktop\cmd.bat deleted successfully. C:\Users\MARIEJO\Desktop\cmd.txt deleted successfully. C:\WINDOWS\tasks\Google Software Updater.job moved successfully. File\Folder C:\*.sqm not found. File\Folder C:\WINDOWS\System32\*.tmp not found. File\Folder C:\WINDOWS\*.tmp not found. File\Folder C:\Users\MARIEJO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\x3_Codec 1.5.0.0\Visit x3_Codec website.lnk not found. File\Folder C:\Program Files\SUPERAntiSpyware not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: MARIEJO ->Temp folder emptied: 31832 bytes ->Temporary Internet Files folder emptied: 633945 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 49893005 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 568 bytes User: Public ->Temp folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 4662 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 48,00 mb [EMPTYFLASH] User: All Users User: Default User: Default User User: MARIEJO ->Flash cache emptied: 0 bytes User: Public Total Flash Files Cleaned = 0,00 mb C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.26.5 log created on 08232011_184855 Files\Folders moved on Reboot... Registry entries deleted on Reboot...