[Résolu] Éradication rogue antivirus XP 2008

[Patitou]

Bonjour,

 

J'ai rencontré sur mon pc le rogue "antivirus XP 2008". J'ai lancé un scan via malwarebytes et effectivement j'étais largement infectée!!! Quelqu'un pourrait-il m'aider pour contrôler tout cela car j'avais plusieurs clés de registre corrompues? Même si malwarebytes a bien travaillé, je voudrais m'assurer que tout est rentré dans l'ordre.

Merci par avance.

Modifié le 31 août 2008 par Patitou

[Le sioux]

Bonsoir Patitou

 

* On va tout d'abord Vider la quarantaine de MalwareByte's Anti-Malware :

 

Double-clique sur le raccourci de MalwareByte's Anti-Malware présent sur ton Bureau afin de le lancer, puis clique sur "Quarantaine", clique sur "Supprimer", puis ferme MalwareByte's Anti-Malware.

 

Pour Malwarebytes' Anti-Malware

C'est un bon scan anti malware que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .

 

* Peux tu m'envoyer le rapport de MaklwareBytes Anti-malware stp :

 

Double-clique sur le raccourci de MalwareByte's Anti-Malware présent sur ton Bureau afin de le lancer, puis clique sur "Rapports et logs" , double-clique sur le rapport présent, il va s'afficher, copie colle le ici en réponse

 

* Puis envoie moi aussi un rapport HijackThis stp:

 

Télécharge HijackThis sur ton Bureau http://www.trendsecure.com/portal/en-US/to...ools/hijackthis

 

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connexion Internet.

 

Double-clique dessus pour lancer l'installation . Accepte la licence qui va apparaître par "I agree" .

 

Puis clique sur "Do a system scan and save a logfile"

 

Ferme HijackThis et fais un copier-coller du rapport en entier et poste le ici en réponse.

Note : le rapport HijackThis.txt se trouve dans C:\Program Files\Trend Micro\HijackThis

 

@ suivre.

Modifié le 27 août 2008 par Le sioux

[Patitou]

Merci de ton aide Le Sioux

J'ai supprimé la quarantaine de malwarebytes comme tu me l'as demandé.

Je te joins le rapport :

 

 

Malwarebytes' Anti-Malware 1.25

Version de la base de données: 1062

Windows 5.1.2600 Service Pack 2

 

01:07:39 28/08/2008

mbam-log-08-28-2008 (01-07-39).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 120728

Temps écoulé: 1 hour(s), 37 minute(s), 53 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 3

Valeur(s) du Registre infectée(s): 7

Elément(s) de données du Registre infecté(s): 2

Dossier(s) infecté(s): 12

Fichier(s) infecté(s): 19

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcvpqj0eac5 (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\rhcvpqj0eac5 (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcvpqj0eac5 (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcrpqj0eac5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcvpqj0eac5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

C:\Program Files\rhcvpqj0eac5 (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5 (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Program Files\rhcvpqj0eac5\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Program Files\rhcvpqj0eac5\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Program Files\rhcvpqj0eac5\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Program Files\rhcvpqj0eac5\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Program Files\rhcvpqj0eac5\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Program Files\rhcvpqj0eac5\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Program Files\rhcvpqj0eac5\rhcvpqj0eac5.exe (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Program Files\rhcvpqj0eac5\rhcvpqj0eac5.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Program Files\rhcvpqj0eac5\Uninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\blphcrpqj0eac5.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\lphcrpqj0eac5.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\phcrpqj0eac5.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Bureau\Antivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Local Settings\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\patricia guillemard\Local Settings\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

 

 

 

 

Et voici aussi le rapport hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:13:46, on 28/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashWebSv.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\uTorrent\utorrent.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\Eurobarre\eb.exe

C:\Program Files\OpenOffice.org 2.1\program\soffice.exe

C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Webroot\Spy Sweeper\SSU.EXE

C:\Documents and Settings\patricia guillemard\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [eDataSecurity Loader] "C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" 1

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\Avast4\ashWebSv.exe

O4 - HKLM\..\Run: [spySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray

O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\utorrent.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Eurobarre.lnk = C:\Program Files\Eurobarre\eb.exe

O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe

O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: e-Carte Bleue Banque Populaire.lnk = C:\Program Files\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1164045805325

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

 

--

End of file - 9642 bytes

 

 

 

 

Bonjour,

 

J'ai rencontré sur mon pc le rogue "antivirus XP 2008". J'ai lancé un scan via malwarebytes et effectivement j'étais largement infectée!!! Quelqu'un pourrait-il m'aider pour contrôler tout cela car j'avais plusieurs clés de registre corrompues? Même si malwarebytes a bien travaillé, je voudrais m'assurer que tout est rentré dans l'ordre.

Merci par avance.

[Le sioux]

Bonjour Patitou

 

Apparemment, MalwareBytes antimalware a bien bossé, pas de trace visible sur le rapport HijackThis, juste un petit doute sur la suppression de deux dossiers dans celui de MBAM.

 

* Il faudra plus tard mettre à jour Open Office à jour (tu en es est à la version 2.1, version actuelle => 2.4) ainsi que la console Java ( ta version 1.6.0.1, version actuelle => 1.60.6) ,: se sont des failles de sécurité que peuvent exploiter les malwares.

 

* Shareazza, uTorrent ... attention P2P = danger

 

* Utilises tu des jeux de Boonty games depuis longtemps ?

 

Voici une petite information sur la politique de Boonty games :

"Il se peut que nous partageons aussi des informations payantes avec des tiers

qui fournissent des services payants et partage des données regroupées montrant le type

et le nombre de jeux vidéos que vous téléchargez, votre age, votre sexe, vos occupations,

niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,

Internet et intérêts pour les jeux vidéos, activités et entraînement des jeux édités.

De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails

qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."

Si tu es d'accord avec eux, pas de problèmes sinon, il faut désactiver le service en allant dans le menu Démarrer / Exécuter / tape services.msc ) recherche le service Boonty, double-clique sur sa ligne et dans "Type de démarrage" tu mets sur désactivé et tu valides puis OK .

 

Lance une recherche Boonty et supprime tout.

 

* Puis on peut en profiter pour corriger quelques lignes via HijackThis pour optimiser ton démarrage en évitant que les programmes qui s'y lancent inutilement, accaparent des ressources du système.

Cela désactive du démarrage des programmes qui ne sont pas primordiaux.

Un programme utilise des ressources quand il est en cours d'exécution.

Trop de programmes qui tournent utilisent beaucoup de ressources qui peuvent conduire au ralentissement de l'ordinateur.

 

1) HijackThis

 

Double-clique sur le raccourci d’HijackThis présent sur ton Bureau afin de le lancer puis :

 

Clique sur "Do a System Scan Only" et coche les lignes suivantes :

 

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\utorrent.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Eurobarre.lnk = C:\Program Files\Eurobarre\eb.exe

O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

Une fois les lignes cochées, ferme toutes les autres fenêtres, tous les autres programmes.

Clique sur Fix checked puis clique sur OK.

 

Note : Il est possible que certaines lignes soient absentes, signale-les dans ta prochaine réponse.

 

Ferme HijackThis.

 

2) OTMoveIt de Old_Timer

 

Télécharge OTMoveIt2 de Old_Timer sur ton Bureau.

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

 

Double clique sur OTMoveIt.exe pour le lancer.

Copie la liste qui se trouve en citation ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt :

Paste standard List of Files/Folders to be moved.

 

C:\Program Files\rhcvpqj0eac5

C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5

Clique sur MoveIt! pour lancer la suppression.

Le résultat apparaîtra dans le cadre Results.

Clique sur Exit pour fermer.

 

Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.

si c'est le cas accepte par Yes.

 

3) Rapports

 

Fais redémarrer le PC et poste un nouveau rapport HijackThis en réponse ainsi que le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

 

@ suivre

Modifié le 28 août 2008 par Le sioux

[Patitou]

Bonjour Le Sioux

 

Bon bien j'ai suivi scrupuleusement ce que tu m'as demandé de faire.

J'ai supprimé les fichiers et applications Boonty games.

J'ai coché toutes les lignes attendues dans Hijackthis : RAS aucune manquante. (rapport ci-dessous)

Fix checked OK

En revanche pour OTMoveIt de Old_Timer, il semblerait que le rapport (ci-joint) mentionne qu'il ne trouve pas ("not found") les fichiers concernés?...

A toi de me dire...

Il me reste les mises à jour de la console Java et Open Office : ce que je vais faire sans tarder.

Encore merci pour ton aide : je suis toujours admirative devant la vraie maîtrise de l'outil informatique compte tenu de mes maigres capacités en ce domaine.

A suivre...

 

Rapport Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:22:57, on 28/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashWebSv.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe

C:\Program Files\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\neodivx2006\NeoDivX.exe

C:\Documents and Settings\patricia guillemard\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [eDataSecurity Loader] "C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" 1

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\Avast4\ashWebSv.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe

O4 - Global Startup: e-Carte Bleue Banque Populaire.lnk = C:\Program Files\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1164045805325

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

 

--

End of file - 7969 bytes

 

 

 

Rapport OTMoveIt de Old_Timer :

 

File/Folder C:\Program Files\rhcvpqj0eac5 not found.

File/Folder C:\Documents and Settings\patricia guillemard\Application Data\rhcvpqj0eac5 not found.

 

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08282008_121734

 

Bonjour Patitou

 

Apparemment, MalwareBytes antimalware a bien bossé, pas de trace visible sur le rapport HijackThis, juste un petit doute sur la suppression de deux dossiers dans celui de MBAM.

 

* Il faudra plus tard mettre à jour Open Office à jour (tu en es est à la version 2.1, version actuelle => 2.4) ainsi que la console Java ( ta version 1.6.0.1, version actuelle => 1.60.6) ,: se sont des failles de sécurité que peuvent exploiter les malwares.

 

* Shareazza, uTorrent ... attention P2P = danger

 

* Utilises tu des jeux de Boonty games depuis longtemps ?

 

Voici une petite information sur la politique de Boonty games :

 

Si tu es d'accord avec eux, pas de problèmes sinon, il faut désactiver le service en allant dans le menu Démarrer / Exécuter / tape services.msc ) recherche le service Boonty, double-clique sur sa ligne et dans "Type de démarrage" tu mets sur désactivé et tu valides puis OK .

 

Lance une recherche Boonty et supprime tout.

 

* Puis on peut en profiter pour corriger quelques lignes via HijackThis pour optimiser ton démarrage en évitant que les programmes qui s'y lancent inutilement, accaparent des ressources du système.

Cela désactive du démarrage des programmes qui ne sont pas primordiaux.

Un programme utilise des ressources quand il est en cours d'exécution.

Trop de programmes qui tournent utilisent beaucoup de ressources qui peuvent conduire au ralentissement de l'ordinateur.

 

1) HijackThis

 

Double-clique sur le raccourci d’HijackThis présent sur ton Bureau afin de le lancer puis :

 

Clique sur "Do a System Scan Only" et coche les lignes suivantes :

 

 

 

Une fois les lignes cochées, ferme toutes les autres fenêtres, tous les autres programmes.

Clique sur Fix checked puis clique sur OK.

 

Note : Il est possible que certaines lignes soient absentes, signale-les dans ta prochaine réponse.

 

Ferme HijackThis.

 

2) OTMoveIt de Old_Timer

 

Télécharge OTMoveIt2 de Old_Timer sur ton Bureau.

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

 

Double clique sur OTMoveIt.exe pour le lancer.

Copie la liste qui se trouve en citation ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt :

Paste standard List of Files/Folders to be moved.

 

 

Clique sur MoveIt! pour lancer la suppression.

Le résultat apparaîtra dans le cadre Results.

Clique sur Exit pour fermer.

 

Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.

si c'est le cas accepte par Yes.

 

3) Rapports

 

Fais redémarrer le PC et poste un nouveau rapport HijackThis en réponse ainsi que le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

 

@ suivre

[Le sioux]

Re

 

Bien bossé.

 

* Attends un peu pour les mises à jours, tu feras cela à la fin

 

* OTMoveIt n'a rien trouvé, c'est donc que MalwareBytes Antimalware avait enlevé l'intégralité de ces dossiers, je voulais en être sur.

 

* On va faire une dernière vérification si tu veux bien

 

Scan en ligne Kaspersky

 

Tuto d’aide : http://cybersecurite.xooit.com/t100-Scan-e...spersky.htm#768

 

Rends toi sur http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html avec Internet explorer et

 

Clique sur Accept

Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.

Clique une nouvelle fois sur "Accept"

Les bases de mises à jour vont s'installer, patiente un moment.

Clique sur Next.

Clique sur My Computer, le scan se met en route.

 

Attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis Bureau et nomme le rapport "Rapport Kaspersky" et dans le champ d'enregistrement, choisis "Fichiers texte" enregistre alors le rapport.

 

Copie/colle le fichier texte ouvert en intégralité, en faisant un clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta prochaine réponse.

 

@ suivre car il restera des conseils de sécurité à appliquer.

Modifié le 28 août 2008 par Le sioux

[Patitou]

Coucou Le Sioux

 

Bon ben t'en as pas fini avec moi... après un scan de plus de 4 heures...le verdict est tombé.

Je te joins le rapport Kaspersky et j'attends que tu me guides pour la suite.

Merci pour le temps que tu m'accordes.

 

Rapport Kaspersky :

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Thursday, August 28, 2008

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Thursday, August 28, 2008 13:29:07

Records in database: 1156209

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

 

Scan statistics:

Files scanned: 83558

Threat name: 5

Infected objects: 10

Suspicious objects: 0

Duration of the scan: 04:32:30

 

 

File name / Threat name / Threats count

C:\Documents and Settings\patricia guillemard\Local Settings\Temp\.tt197.tmp Infected: not-a-virus:FraudTool.Win32.XPAntivirus.qr 1

C:\Documents and Settings\patricia guillemard\Mes documents\Downloads\Windows XP Ultimate-Edition 7 SP3 By Mad Dog\ULTIMATE EDITION V7.iso Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\Program Files\uTorrent\uTorrent-1.6.1-install.exe Infected: Trojan-Downloader.Win32.Banload.ujv 1

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP480\A0106306.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f 1

C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP480\A0106317.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f 1

C:\WINDOWS\system32\32.tmp Infected: not-a-virus:FraudTool.Win32.XPAntivirus.qj 1

C:\WINDOWS\system32\33.tmp Infected: not-a-virus:FraudTool.Win32.XPAntivirus.qj 1

C:\WINDOWS\system32\34.tmp Infected: not-a-virus:FraudTool.Win32.XPAntivirus.qj 1

C:\WINDOWS\system32\35.tmp Infected: not-a-virus:FraudTool.Win32.XPAntivirus.qj 1

C:\WINDOWS\system32\36.tmp Infected: not-a-virus:FraudTool.Win32.XPAntivirus.qj 1

 

The selected area was scanned.

 

 

Re

 

Bien bossé.

 

* Attends un peu pour les mises à jours, tu feras cela à la fin

 

* OTMoveIt n'a rien trouvé, c'est donc que MalwareBytes Antimalware avait enlevé l'intégralité de ces dossiers, je voulais en être sur.

 

* On va faire une dernière vérification si tu veux bien

 

Scan en ligne Kaspersky

 

Tuto d’aide : http://cybersecurite.xooit.com/t100-Scan-e...spersky.htm#768

 

Rends toi sur http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html avec Internet explorer et

 

Clique sur Accept

Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.

Clique une nouvelle fois sur "Accept"

Les bases de mises à jour vont s'installer, patiente un moment.

Clique sur Next.

Clique sur My Computer, le scan se met en route.

 

Attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis Bureau et nomme le rapport "Rapport Kaspersky" et dans le champ d'enregistrement, choisis "Fichiers texte" enregistre alors le rapport.

 

Copie/colle le fichier texte ouvert en intégralité, en faisant un clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta prochaine réponse.

 

@ suivre car il restera des conseils de sécurité à appliquer.

[Le sioux]

Bonsoir Patitou

 

4 heures, c'était long ... mais cela valait le coup, il nous a listé quelques restes que l'on va shooté avec :

 

OTMoveIt de Old_Timer

 

Double clique sur OTMoveIt.exe sur ton Bureau, pour le lancer.

Copie la liste qui se trouve en citation ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt :

Paste standard List of Files/Folders to be moved.

 

C:\Documents and Settings\patricia guillemard\Local Settings\Temp\.tt197.tmp

C:\Documents and Settings\patricia guillemard\Mes documents\Downloads\Windows XP Ultimate-Edition 7 SP3 By Mad Dog\ULTIMATE EDITION V7.iso

C:\Program Files\uTorrent\uTorrent-1.6.1-install.exe

C:\WINDOWS\system32\32.tmp

C:\WINDOWS\system32\33.tmp

C:\WINDOWS\system32\34.tmp

C:\WINDOWS\system32\35.tmp

C:\WINDOWS\system32\36.tmp

Clique sur MoveIt! pour lancer la suppression.

Le résultat apparaîtra dans le cadre Results.

Clique sur Exit pour fermer.

 

Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.

si c'est le cas accepte par Yes.

 

--> Poste le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

 

@ suivre.

Edit : Par la suite, on passera un autre outils SDFix, je t'expliquerai comment faire dans un prochain message, cela pour vérifier qu'il ne reste pas de *.tmp infectieux dans ton system32)

Modifié le 28 août 2008 par Le sioux

[Le sioux]

Bonsoir patitou

 

Regarde mon message, juste au dessus ici : http://forum.zebulon.fr/index.php?s=&s...t&p=1274691

 

Puis fais cela stp :

 

Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en format HTLM afin d’appliquer la procédure comme il faut, pour cela :

* Avec Firefox

- clique sur le menu Fichier (en haut à gauche), puis choisis Enregistrer sous...

- dans la boîte de dialogue Enregistrer sous, pour le champ "Enregistrer dans" (en haut), clique sur la flèche de la "liste déroulante" et choisis Bureau; pour le champ "Type", laisse Page Web complète; pour le champ "Nom du fichier", saisis Discussion en cours; termine en cliquant sur Enregistrer

* Avec Internet Explorer 7, presse la touche Alt pour faire apparaître le menu et suis les mêmes instructions qu’avec FireFox.

Pour afficher la page (après redémarrage), double-clique sur "Discussion en cours.htm" situé sur le Bureau.

(Tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)

 

Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) Télécharge SDFix d' AndyManchesta

 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe sur ton Bureau.

 

Double-clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\)

N'y touche pas pour l'instant.

 

2) Redémarre en mode sans échec

 

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains PCs) jusqu'à l'affichage du menu des options avancées de Windows.

Sélectionne "Mode sans échec" et appuie sur [Entrée]

Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

 

Double-clique sur "Discussion en cours.htm" situé sur ton Bureau afin de suivre les instructions comme il faut.

3) SDFix

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

 

4) Rapports :

 

Poste un nouveau rapport HijackThis et le rapport de SDFix en réponse.

PS : N'oublie pas de me poster aussi le rapport d'OTMoveIt de la manip précédente; Merci

 

@ suivre

Modifié le 29 août 2008 par Le sioux

[Patitou]

Hello Le Sioux

 

Voila la suite de mon histoire...enfin si je puis dire!

J'ai lancé OTMoveIt et effectué ce que tu m'as demandé.

Au moment de la commande "Movelt " j'ai mon antivirus (Avast) qui s'est brutalement rendu compte que je "jouais" avec des virus et autres infections et qui m'a envoyé 4 ou 5 messages d'alerte (mieux vaut tard que jamais).

Ne sachant que faire pour ne pas compromettre ton travail, j'ai opté pour la mise en quarantaine...j'espère que je n'ai pas fait de bêtises.

 

Rapport MoveIt :

 

 

C:\Documents and Settings\patricia guillemard\Local Settings\Temp\.tt197.tmp moved successfully.

File/Folder C:\Documents and Settings\patricia guillemard\Mes documents\Downloads\Windows XP Ultimate-Edition 7 SP3 By Mad Dog\ULTIMATE EDITION V7.iso not found.

C:\Program Files\uTorrent\uTorrent-1.6.1-install.exe moved successfully.

C:\WINDOWS\system32\32.tmp moved successfully.

C:\WINDOWS\system32\33.tmp moved successfully.

C:\WINDOWS\system32\34.tmp moved successfully.

C:\WINDOWS\system32\35.tmp moved successfully.

C:\WINDOWS\system32\36.tmp moved successfully.

 

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08292008_105541

 

 

 

Bonsoir Patitou

 

4 heures, c'était long ... mais cela valait le coup, il nous a listé quelques restes que l'on va shooté avec :

 

OTMoveIt de Old_Timer

 

Double clique sur OTMoveIt.exe sur ton Bureau, pour le lancer.

Copie la liste qui se trouve en citation ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt :

Paste standard List of Files/Folders to be moved.

 

 

Clique sur MoveIt! pour lancer la suppression.

Le résultat apparaîtra dans le cadre Results.

Clique sur Exit pour fermer.

 

Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.

si c'est le cas accepte par Yes.

 

--> Poste le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

 

@ suivre.

Edit : Par la suite, on passera un autre outils SDFix, je t'expliquerai comment faire dans un prochain message, cela pour vérifier qu'il ne reste pas de *.tmp infectieux dans ton system32)