Malware impossible à supprimer, quelqu'un pour m'aider ?

[kurt7]

Bonjour,

j'ai des fichiers qui apparaissent au démarrage de mon ordinateur. Ils sont logés dans appdata/roaming et sont impossibles à supprimer (j'ai Vista).

 

J'ai essayé différents antivirus mais rien ne veut les supprimer (Avast, Norman,...). J'ai donc utilisé Hijackthis mais je n'ai pas les connaissances informatiques suffisantes pour utiliser les résultats. Je l'ai laisse donc sur le forum en espérant qu'un membre de zébulon sera m'aider. Je vous remercie d'avance pour votre aide.

 

ogfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:34:08, on 21/11/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v7.00 (7.00.6002.18005)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe

C:\Program Files\Alwil Software\Avast5\AvastUI.exe

C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe

C:\Users\jb\AppData\Local\clcjyho.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Users\jb\AppData\Roaming\rundlll.exe

C:\Users\jb\AppData\Roaming\AvProtector.exe

C:\Users\jb\AppData\Roaming\win32Runtime.exe

C:\Users\jb\AppData\Roaming\rundlll.exe

C:\Users\jb\AppData\Roaming\scvhost.exe

C:\Program Files\Internet Explorer\ieuser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows Live\Toolbar\wltuser.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\system32\Macromed\Flash\FlashUtil10e.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Windows\system32\SearchFilterHost.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: (no name) - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - (no file)

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE

O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto

O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE

O4 - HKCU\..\Run: [clcjyho] "c:\users\jb\appdata\local\clcjyho.exe" clcjyho

O4 - HKCU\..\Run: [win32Runtime] "C:\Users\jb\AppData\Roaming\win32Runtime.exe"

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - eBay - Achetez et vendez vos objets neufs ou d'occasion. Enchères, prix fixe, petites annonces - Et vous, vous achetez comment ? (file missing)

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - Amazon.fr: livres, DVD, jeux video, CD, lecteurs MP3, ordinateurs, appareils photo, logiciels et plus encore! (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FreshDownload - {9DC7D16A-252B-4AD5-B67B-5315430677F4} - C:\Program Files\FreshDevices\FreshDownload\fd.exe (file missing)

O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - Pricepirates.com - comparer de prix (file missing)

O9 - Extra button: Unibet - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\unibetpokerMPP\MPPoker.exe (HKCU)

O13 - Gopher Prefix:

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Unknown owner - C:\Program Files\Norton Internet Security\isPwdSvc.exe (file missing)

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe

O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

 

--

End of file - 9928 bytes

[Apollo]

Bonjour,

 

Il y a des restes de Symantec là-dedans: Remover Symantec/Norton

 

Avast est une passoire, on y reviendra.

 

Télécharge Navilog1 (par IL-MAFIOSO) Enregistre-le sur ton bureau.

 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

 

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.

 

Laisse-toi guider. Appuie sur une touche quand on te le demande.

Au menu principal, choisis 1 et valide.

 

< Ne fais pas le choix 2 >

 

Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.

Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.

 

Patiente jusqu'au message "Scan terminé le......"

Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.

Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

 

PS : le rapport est aussi sauvegardé à la racine du disque dur C:\cleannavi.txt

 

@++

[kurt7]

Tout d'abord merci d'avoir répondu aussi vite. Le téléchargement de Norton Removal ne fonctionne pas pour le moment mais je ne pense pas que ce soit le plus important.

 

J'ai utilisé navilog1, voici le registre cleanavi :

(le problème a pas l'air d'être parti, les 4 fichiers avprotector, rundlll, scvhost etwin32Runtime sont toujours dans appdata/roaming).

 

Fix Navipromo version 4.0.9 commencé le 22/11/2010 19:29:56,69

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

 

Outil exécuté depuis C:\navilog1

 

Mise à jour le 17.09.2010 à 16h00 par IL-MAFIOSO

 

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6002 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Intel® Pentium® Dual CPU T2310 @ 1.46GHz )

BIOS : Ver 1.00PARTTBL

USER : jb ( Administrator )

BOOT : Normal boot

 

Antivirus : Norton Internet Security 2007 (Not Activated)

Firewall : Norton Internet Security 2007 (Not Activated)

 

C:\ (Local Disk) - NTFS - Total:116 Go (Free:31 Go)

E:\ (Local Disk) - NTFS - Total:114 Go (Free:17 Go)

F:\ (CD or DVD)

 

 

Recherche executée en mode normal

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

C:\Program Files\WebMediaPlayer supprimé !

c:\progra~2\micros~1\windows\startm~1\programs\WebMediaPlayer supprimé !

C:\Users\jb\AppData\Local\clcjyho.exe supprimé !

C:\Users\jb\AppData\Local\clcjyho.dat supprimé !

C:\Users\jb\AppData\Local\clcjyho_nav.dat supprimé !

C:\Users\jb\AppData\Local\clcjyho_navps.dat supprimé !

 

 

Nettoyage contenu C:\Windows\Temp effectué !

[Apollo]

Re,

 

(le problème a pas l'air d'être parti

 

Oui je m'en doute mais le monde ne s'est pas fait en un jour

 

J'ai hébergé le remover Norton ici: Download Norton_Removal_Tool.exe from Sendspace.com - send big files the easy way

 

*********

Si vous êtes sous Vista/seven:Désactiver provisoirement l'UAC

 

:arrow: Télécharge USBFIX de El Desaparecido et C_XX et enregistre le sur ton bureau.

 

UsbFix : telechargement

 

NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Clique sur Recherche et laisse l'outil travailler
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• Patiente le temps d'exécution du scan.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

@++

[kurt7]

Ok, Norton Removal a fonctionnée et voici le rapport UsbFix :

 

Internet Explorer 7.0.6002.18005

 

Pare-feu Windows: Activé

Antivirus: avast! antivirus 4.8.1229 [VPS 090311-1] 4.8.1229 [Enabled | Updated]

RAM -> 2046 Mo

C:\ (%systemdrive%) -> Disque fixe # 116 Go (31 Go libre(s) - 27%) [Vista] # NTFS

E:\ -> Disque fixe # 115 Go (18 Go libre(s) - 15%) [Data] # NTFS

F:\ -> CD-ROM

 

################## | Éléments infectieux |

 

 

 

################## | Registre |

 

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSConfig

 

################## | Mountpoints2 |

 

HKCU\.\.\.\.\Explorer\MountPoints2\G

Shell\AutoRun\Command = G:\LaunchU3.exe -a

 

HKCU\.\.\.\.\Explorer\MountPoints2\{244a71fc-6088-11dd-95bb-0013e8d53753}

Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\Recycled\ctfmon.exe

Shell\Open(0)\Command = D:\Recycled\ctfmon.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{244a7202-6088-11dd-95bb-0013e8d53753}

Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Recycled\ctfmon.exe

Shell\Open(0)\Command = G:\Recycled\ctfmon.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{27eeef40-3ffc-11de-8ca8-001b38a993f8}

Shell\AutoRun\Command = D:\setup.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{27eeef41-3ffc-11de-8ca8-001b38a993f8}

Shell\AutoRun\Command = G:\setup.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{3d95802d-418c-11de-86bc-001b38a993f8}

Shell\AutoRun\Command = D:\setup.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{4a24a7b8-3fd7-11de-9c22-001b38a993f8}

Shell\AutoRun\Command = D:\setup.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{68bbb8c6-1cd7-11dd-9407-001b38a993f8}

Shell\AutoRun\Command = RavMon.exe

Shell\explore\Command = RavMon.exe -e

Shell\open\Command = RavMon.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{68dd813d-d833-11de-9003-001b38a993f8}

Shell\AutoRun\Command = qbr2q.exe

Shell\open\Command = qbr2q.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{68dd814b-d833-11de-9003-001b38a993f8}

Shell\AutoRun\Command = D:\mbdm.exe

Shell\open\Command = D:\mbdm.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{79e40b96-25d2-11df-a822-001b38a993f8}

Shell\AutoRun\Command = G:\LaunchU3.exe -a

 

HKCU\.\.\.\.\Explorer\MountPoints2\{a70c66ac-c872-11de-b94b-001b38a993f8}

Shell\AutoRun\Command = 0fkk02x.exe

Shell\open\Command = 0fkk02x.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{ada73dce-08db-11de-aebd-001b38a993f8}

Shell\AutoRun\Command = m9ma.exe

Shell\explore\Command = m9ma.exe

Shell\open\Command = m9ma.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{dc5c551c-46a7-11dd-89ac-001b38a993f8}

Shell\auto\Command = D:\Knight.exe open

Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\Knight.exe open

Shell\explore\Command = D:\Knight.exe open

Shell\find\Command = D:\Knight.exe open

Shell\install\Command = D:\Knight.exe open

Shell\open\Command = D:\Knight.exe open

 

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné!

 

################## | E.O.F |

[Apollo]

Re,

 

On passe à la désinfection:

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Clique sur Suppression et laisse travailler l'outil.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• USBFix va continuer son exécution. Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. Ne t'inquiète pas, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

*** Poste le rapport puis fais ce qui suit stp:

 

Vaccination: Lance USBFIX et clique sur Vacciner

 

Désinstall:

 

Lance USBFIX et clique sur Désinstaller

 

Réactiver l'UAC sous Vista/7.

 

********************

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

 

******************

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Malwarebytes' Anti-Malware Free Download and Reviews - Fileforum

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes Forum -> Malwarebytes' Anti-Malware Support

 

@++

[kurt7]

Je laisse le rapport et continue les étapes suivantes.

 

 

############################## | UsbFix 7.035 | [suppression]

 

Utilisateur: jb (Administrateur) # PC-DE-JB [TOSHIBA Satellite A200]

Mis à jour le 22/11/10 par El Desaparecido / C_XX

Lancé à 22:36:34 | 22/11/2010

Site Web: TeamXscript : AD-Remover - FindyKill - UsbFix

Contact: eldesaparecido@teamxscript.org

 

CPU: Intel® Pentium® Dual CPU T2310 @ 1.46GHz

CPU 2: Intel® Pentium® Dual CPU T2310 @ 1.46GHz

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2

Internet Explorer 7.0.6002.18005

 

Pare-feu Windows: Activé

Antivirus: avast! antivirus 4.8.1229 [VPS 090311-1] 4.8.1229 [Enabled | Updated]

RAM -> 2046 Mo

C:\ (%systemdrive%) -> Disque fixe # 116 Go (31 Go libre(s) - 27%) [Vista] # NTFS

E:\ -> Disque fixe # 115 Go (18 Go libre(s) - 15%) [Data] # NTFS

F:\ -> CD-ROM

 

################## | Éléments infectieux |

 

 

Supprimé! C:\$RECYCLE.BIN\S-1-5-18

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1069816957-3265925485-632680182-1000

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1643969366-1937786268-369828714-500

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2152478756-3922319563-605102323-500

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2446354535-3758926445-94421575-500

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2820803949-3729524370-2303368394-500

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3104489088-2836857065-1364713530-500

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-402374355-2776029083-1576359178-500

Supprimé! E:\$RECYCLE.BIN\S-1-5-20

Supprimé! E:\$RECYCLE.BIN\S-1-5-21-1069816957-3265925485-632680182-1000

 

################## | Registre |

 

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSConfig

 

################## | Mountpoints2 |

 

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\G

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{244a71fc-6088-11dd-95bb-0013e8d53753}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{27eeef40-3ffc-11de-8ca8-001b38a993f8}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3d95802d-418c-11de-86bc-001b38a993f8}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4a24a7b8-3fd7-11de-9c22-001b38a993f8}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{68bbb8c6-1cd7-11dd-9407-001b38a993f8}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{68dd814b-d833-11de-9003-001b38a993f8}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{79e40b96-25d2-11df-a822-001b38a993f8}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a70c66ac-c872-11de-b94b-001b38a993f8}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ada73dce-08db-11de-aebd-001b38a993f8}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{dc5c551c-46a7-11dd-89ac-001b38a993f8}

 

################## | Listing |

 

[22/11/2010 - 22:38:44 | SHD ] C:\$Recycle.Bin

[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat

[04/09/2010 - 19:59:08 | D ] C:\Boot

[11/04/2009 - 07:36:36 | RASH | 333257] C:\bootmgr

[22/11/2010 - 19:37:02 | N | 1539] C:\cleannavi.txt

[21/11/2010 - 03:57:10 | D ] C:\Config.Msi

[18/09/2006 - 22:43:37 | N | 10] C:\config.sys

[02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings

[21/11/2010 - 22:23:46 | D ] C:\Downloads

[13/07/2010 - 15:18:36 | D ] C:\found.000

[21/12/2009 - 23:45:20 | D ] C:\Games

[18/06/2009 - 00:44:13 | D ] C:\GTR2Demo

[06/01/2008 - 00:59:46 | D ] C:\Intel

[06/02/2008 - 19:14:07 | N | 0] C:\IO.SYS

[24/04/2010 - 19:48:18 | D ] C:\LFS

[03/10/2009 - 15:16:20 | D ] C:\MicroGaming

[06/02/2008 - 19:14:07 | N | 0] C:\MSDOS.SYS

[09/03/2010 - 09:45:56 | RHD ] C:\MSOCache

[22/03/2008 - 23:08:43 | D ] C:\My Downloads

[22/11/2010 - 19:53:23 | D ] C:\Navilog1

[22/11/2010 - 21:27:56 | ASH | 2459635712] C:\pagefile.sys

[16/06/2008 - 03:06:57 | D ] C:\PerfLogs

[22/11/2010 - 21:26:00 | D ] C:\Program Files

[22/11/2010 - 21:25:52 | HD ] C:\ProgramData

[22/11/2010 - 19:07:28 | SHD ] C:\System Volume Information

[15/04/2008 - 22:39:36 | D ] C:\Toshiba

[22/11/2010 - 22:38:44 | D ] C:\UsbFix

[22/11/2010 - 22:36:43 | A | 3864] C:\UsbFix.txt

[24/12/2007 - 22:25:27 | D ] C:\Users

[21/11/2010 - 03:57:10 | D ] C:\Windows

[01/03/2010 - 13:03:46 | D ] C:\Xerox

[22/11/2010 - 22:38:44 | SHD ] E:\$RECYCLE.BIN

[09/06/2010 - 09:19:56 | D ] E:\clé USB

[12/10/2009 - 18:00:30 | D ] E:\Cours

[10/05/2010 - 16:56:15 | D ] E:\CV

[12/05/2010 - 11:06:32 | N | 67072] E:\cv jb nivet Ecole des Jeunes Créateurs de Coopératives.doc

[13/05/2009 - 17:12:15 | N | 852480] E:\ehthumbs_vista.db

[01/11/2010 - 20:38:01 | D ] E:\Emploi janvier 2011

[16/10/2005 - 10:55:08 | N | 70032720] E:\EViews 5 CDINSTALLER + crack.zip

[12/01/2010 - 13:21:50 | D ] E:\Exposés

[02/12/2009 - 21:02:13 | N | 6739823] E:\fdminst.exe

[03/04/2010 - 21:03:12 | D ] E:\Films

[01/12/2009 - 00:42:28 | N | 2118785] E:\freshdow.exe

[30/08/2010 - 13:18:18 | N | 27136] E:\Lettre changement préavis.doc

[16/11/2009 - 23:51:27 | D ] E:\Music

[13/01/2009 - 22:47:59 | D ] E:\Mémoire

[30/03/2010 - 09:43:08 | N | 13312] E:\Ordre_du_jour_du_CA_du_7_04_10.doc

[24/12/2009 - 02:59:05 | D ] E:\Points_d'arrêt_Hiver_09-10

[07/10/2009 - 16:51:34 | N | 40852] E:\prog.pdf

[16/05/2008 - 13:17:48 | N | 41984] E:\PROGRAMMA_SICILIA.doc

[07/10/2009 - 16:50:30 | N | 158846] E:\programme.pdf

[19/11/2008 - 19:29:56 | N | 40448] E:\prêts économie d'énergie.doc

[22/01/2009 - 22:50:06 | D ] E:\Recherche humanitaire

[16/07/2009 - 20:45:15 | N | 27047] E:\reform_CRICDP.odt

[20/10/2009 - 13:42:09 | N | 32295681] E:\scribus-1.3.5.1-win32-install.exe

[06/01/2010 - 23:34:31 | D ] E:\Stage

[24/12/2007 - 22:07:25 | SHD ] E:\System Volume Information

[22/07/2009 - 09:40:21 | D ] E:\Séjour Angleterre

[01/12/2009 - 12:03:07 | D ] E:\Séries

[17/09/2010 - 13:02:27 | D ] E:\Travaux

[26/10/2009 - 03:03:06 | N | 305664] E:\Xtremsplit.exe

[24/01/2010 - 17:35:50 | N | 19456] E:\~WRL0003.tmp

[24/01/2010 - 17:36:21 | N | 19456] E:\~WRL0005.tmp

 

################## | Vaccin |

 

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

[kurt7]

Voici le rapport Mbam, en espérant qu'il est tout supprimé :

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 5173

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 7.0.6002.18005

 

23/11/2010 02:30:29

mbam-log-2010-11-23 (02-30-29).txt

 

Type d'examen: Examen complet (C:\|E:\|)

Elément(s) analysé(s): 314372

Temps écoulé: 3 heure(s), 13 minute(s), 16 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 3

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\win32runtime (Password.Stealer) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Users\jb\AppData\Roaming\scvhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Users\jb\AppData\Roaming\win32Runtime.exe (Password.Stealer) -> Quarantined and deleted successfully.

[Apollo]

Bonjour,

 

On va s'en assurer.

 

Suis le tuto d'utilisation du KVRT ici et quand c'est terminé, poste-moi son rapport stp.

C'est beaucoup plus efficace qu'un scan en ligne et cela ne dure pas plus longtemps Apollo Et Compagnie Virus Removal Tool en français

 

Bonne journée.

 

@++