Trojans qui persistent

[foxtrot1310]

Bonsoir à tous.

 

Je fais appel à votre aide car depuis plusieurs jours je suis confronté à plusieurs trojans malgré les nombreux scans et tentatives de suppression d'Antivir et Malwarebytes qui semblent sans effet.

 

A cause de cela mon ordi souffre d'assez gros ralentissements et j'ai souvent droit dans la journée à plusieurs alertes d'Antivir qui me signale la présence de TR/MSIL.Agent.bdt, TR/Trash.gen ainsi qu'un ou deux autres dont je ne me rappelle plus du nom sur des fichiers .exe ou .dll, mais quand je commence un scan avec Antivir le résultat ne donne rien, et ils reviennent toujours ensuite.

 

Quand à Malwarebytes à chaque scan il me signale un plusieurs Trojan.Agent que voici :

 

 

Et il n'arrive jamais à les supprimer completement.

J'ai aussi à chaque démarrage de l'ordi plusieurs fenêtres svchost.net qui s'affichent et se referment de suite depuis que j'ai ces cochonneries sur mon PC.

 

Je ne sais absolument pas quoi faire.

 

Merci d'avance pour votre aide.

[Apollo]

Bonsoir,

 

quand tu utilises MBAM, est-ce que tu fais ceci:

 

Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

[*] MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

 

-------------------

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman et enregistre-le sur ton Bureau
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse

 

+++

Modifié le 5 mars 2011 par Apollo

[foxtrot1310]

Bonsoir Apollo.

 

Concernant MBAM je fais exactement comme tu l'indiques pour supprimer les fichiers.

Voici le rapport donné à la fin du scan :

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 5945

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

05/03/2011 18:43:31

mbam-log-2011-03-05 (18-43-31).txt

 

Type d'examen: Examen complet (C:\|E:\|F:\|)

Elément(s) analysé(s): 294412

Temps écoulé: 1 heure(s), 10 minute(s), 2 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 4

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\CLSID\{062MVF6G-V7J4-0FJ0-8QMD-N0UKN1IWQ75R} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{062MVF6G-V7J4-0FJ0-8QMD-N0UKN1IWQ75R} (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Agent) -> Value: Policies -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Trojan.Agent) -> Value: HKLM -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Agent) -> Value: Policies -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Agent) -> Value: HKCU -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\WINDOWS\system32\windows\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

____________________

 

Et voilà le rapport ZHPDiag :

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Merci beaucoup pour ton aide.

[Apollo]

Houla C'est très infecté.

Je dois te dire que tant que tu utiliseras des logiciels de P2P (en nombre sur ta machine) pour télécharger musique ou films ou autres bidules, tu auras toujours ce genre de gros problèmes.

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur H

 

[*]Copie-colle les lignes ci-dessous dans la fenêtre

 

M3 - MFPP: Plugins - [Administrateur] -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\h2xut1da.default\searchplugins\askcom.xml    
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.ask.com]Ask.com Web Search[/url]    
R0 - HKUS\S-1-5-21-1343024091-1292428093-682003330-500\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.ask.com]Ask.com Web Search[/url]    
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} Clé orpheline     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At1.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At10.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At11.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At12.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At13.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At14.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At15.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At16.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At17.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At18.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At19.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At2.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At20.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At21.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At22.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At23.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At24.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At25.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At26.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At27.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At28.job      
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At29.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At3.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At30.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At31.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At32.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At33.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At34.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At35.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At36.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At37.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At38.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At39.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At4.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At40.job   
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At41.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At42.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At43.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At44.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At45.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At46.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At47.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At48.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At5.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At6.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At7.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At8.job    
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At9.job     
[MD5.00000000000000000000000000000000] [APT] [At1] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At10] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At11] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [At12] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [At13] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At14] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At15] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At16] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At17] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At18] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At19] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At2] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At20] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At21] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At22] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At23] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At24] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At25] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At26] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At27] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At28] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [At29] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At3] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [At30] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At31] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At32] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [At33] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At34] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At35] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [At36] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)   
[MD5.00000000000000000000000000000000] [APT] [At37] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At38] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At39] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At4] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At40] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [At41] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At42] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [At43] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At44] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [At45] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [At46] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [At47] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At48] (.Pas de propriétaire.) -- C:\WINDOWS\system32\HOpq6Se4.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At5] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At6] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [At7] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)   
[MD5.00000000000000000000000000000000] [APT] [At8] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [At9] (.Pas de propriétaire.) -- C:\WINDOWS\system32\gtU50oSE.exe (.not file.)    
[HKCU\Software\cacaoweb]    
O43 - CFD: 09/01/2011 - 18:06:20 - [358961040] ----D- C:\Documents and Settings\Administrateur\Application Data\cacaoweb    
O43 - CFD: 17/09/2008 - 12:48:18 - [27368] ----D- C:\Documents and Settings\Administrateur\Application Data\EoRezo     
O69 - SBI: C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\h2xut1da.default\searchplugins\askcom.xml    

 

• Tu cliques sur Tout sélectionner, puis clic-droit -> Copier
  Tu positionnes le curseur dans la zone blanche vide de ZHPFix, puis clic-droit -> Coller

 

[*]Vérifie que toutes les lignes que je t'ai demandé de copier-coller, et seulement ces lignes sont listées dans la fenêtre

 

[*]Clique sur OK puis:

 

[*]Clique sur Tous puis sur Nettoyer

 

[*]Valide par Oui la désinstallation des programmes si demandé

 

[*]Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC

 

[*]Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

@++

[foxtrot1310]

Re.

 

J'ai fais exactement comme c'est expliqué, voilà le rapport ZHPFix :

 

Cijoint.fr - Service gratuit de dépôt de fichiers

[Apollo]

Ok,

 

n'héberge les rapports que lorsque je le demande expressément stp

 

On poursuit:

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

Ad-Remover : Telechargement

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Scanner.

 

 

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

 

-----------------------------------------------------------------------------------------------

 

2) Double-clique pour XP, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône Ad-R placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer.

 

Le bureau va disparaitre, c'est normal!

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

-----------------

3) Lorsque tu auras posté les deux rapports, relance Ad-Remover et désinstalle-le.

 

@++

[foxtrot1310]

Voilà tout est fait.

 

Voici le rapport du scan :

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 01/03/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

 

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 22:35:50 le 05/03/2011, Mode normal

 

Microsoft Windows XP Professionnel Service Pack 3 (X86)

Administrateur@ORKAS ( )

 

============== RECHERCHE ==============

 

 

Dossier trouvé: C:\Documents and Settings\All Users\Application Data\Toolbar4

Dossier trouvé: C:\Documents and Settings\Administrateur\Application Data\ItsLabel

 

-- Fichier ouvert: C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\h2xut1da.default\Prefs.js --

Ligne trouvée: user_pref("browser.search.defaultengine", "Ask.com");

Ligne trouvée: user_pref("browser.search.defaultenginename", "Ask.com");

Ligne trouvée: user_pref("browser.search.order.1", "Ask.com");

-- Fichier Fermé --

 

 

Clé trouvée: HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}

Clé trouvée: HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}

Clé trouvée: HKLM\Software\Classes\EoRezoBHO.EoBho

Clé trouvée: HKLM\Software\Classes\EoRezoBHO.EoBho.1

Clé trouvée: HKCU\Software\ItsLabel

Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}

 

Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

============== SCAN ADDITIONNEL ==============

 

**** Mozilla Firefox Version [3.6.15 (fr)] ****

 

Plugins\npwachk.dll (Nullsoft, Inc.)

HKLM_MozillaPlugins\@nexon.net/NxGame (x)

HKLM_MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 (x)

HKCU_MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0 (x)

HKLM_Extensions|{23fcfd51-4958-4f00-80a3-ae97e717ed8b} - C:\Program Files\DivX\DivX Plus Web Player\firefox\html5video

HKLM_Extensions|{6904342A-8307-11DF-A508-4AE2DFD72085} - C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa

 

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\h2xut1da.default --

Extensions\devious_green@firefox.theme (Devious Green)

Extensions\{00352F14-3F76-4e4d-ACFF-9972D7E4B3B9} (MacOSX Theme)

Extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} (Winamp Toolbar)

Extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} (FlashGot)

Searchplugins\winamp-search.xml (?)

Prefs.js - browser.download.dir, C:\\Documents and Settings\\Administrateur\\Bureau

Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Administrateur\\Bureau

Prefs.js - browser.search.defaultenginename, Ask.com

Prefs.js - browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

Prefs.js - browser.search.selectedEngine, Google

Prefs.js - browser.startup.homepage, hxxp://www.google.fr/webhp?rls=ig

Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15

Prefs.js - keyword.URL, hxxp://www.google.fr/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

 

========================================

 

**** Google Chrome Version [9.0.597.107] ****

 

Extension\fnjbmmemklcjgepojigaapkoodmkgbae (C:\Program Files\DivX\DivX Plus Web Player\google_chrome\wpa\wpa.crx) (?)

Extension\nneajnkjbffgblleaoojgaacokifdkhm (C:\Program Files\DivX\DivX Plus Web Player\google_chrome\html5video\html5video.crx) (?)

 

-- C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default --

Preferences - default_search_provider: "Google" (Activé: true) (hxxp://www.google.com/search?q={searchTerms}&ie=utf-8&oe=utf-8&aq=t)

Plugin - Unity Player (Activé: true) (C:\Documents and Settings\Administrateur\Local Settings\Application Data\Unity\WebPlayer\loader\npUnity3D32.dll)

Plugin - "DivX Player" (Activé: true)

Plugin - "Nexon Game Controller" (Activé: true)

Plugin - "Unity Player" (Activé: true)

Plugin - "Winamp Application Detector" (Activé: true)

Plugin - "Yahoo! activeX Plug-in Bridge" (Activé: true)

 

========================================

 

**** Internet Explorer Version [8.0.6001.18702] ****

 

HKCU_Main|Start Page - hxxp://www.google.fr/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157

HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Start Page - hxxp://www.bigseekpro.com/splitcam/{CBFFAA55-F4E2-49FD-ADB0-27F211463705}

AboutUrls|Tabs - hxxp://toolbar.aol.com/browserpages/newtab-winamp-ie-en-us.html

HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "Ask Search" (hxxp://websearch.ask.com/redirect?client=ie&tb=VD&o=14770&src=crm&q={searchTerms...)

HKCU_Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (x)

HKCU_Toolbar\WebBrowser|{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} (C:\Program Files\Winamp Toolbar\winamptb.dll)

HKLM_Toolbar|{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} (C:\Program Files\Winamp Toolbar\winamptb.dll)

HKLM_ElevationPolicy\{5F17E524-3447-4c7d-8E5F-4EFF31CDE3B7} - C:\Program Files\DivX\DivX Plus Web Player\DDMService.exe (DivX, LLC)

HKLM_ElevationPolicy\{64903E32-AE0B-408D-909C-09A08791F28D} - C:\Program Files\DivX\DivX Plus Web Player\dwpBroker.exe (DivX, LLC)

HKLM_ElevationPolicy\{ADADAEE2-457A-4984-A57C-E01C3A2BA612} - c:\program files\winamp toolbar\WinampTbServer.exe (AOL LLC.)

HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)

HKLM_Extensions\{725EC34E-943C-4df6-B0B2-FBDE7F242276} - "PartyPoker.fr" (C:\Program Files\PartyFrance\PartyPokerFr\images\ppicon.ico)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll)

BHO\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - "Winamp Toolbar Loader" (C:\Program Files\Winamp Toolbar\winamptb.dll)

BHO\{326E768D-4182-46FD-9C16-1449A49795F4} - "DivX Plus Web Player HTML5 <video>" (C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll)

BHO\{4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - "Windows Live Family Safety Browser Helper Class" (C:\Program Files\Windows Live\Family Safety\fssbho.dll)

BHO\{593DDEC6-7468-4cdd-90E1-42DADAA222E9} - "DivX HiQ" (C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} - "Click-to-Call BHO" (C:\Program Files\Windows Live\Messenger\wlchtc.dll)

BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 05/03/2011 22:35:53 (4272 Octet(s))

 

Fin à: 22:36:24, 05/03/2011

 

============== E.O.F ==============

 

_____________________________________________

 

Et le rapport du nettoyage :

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 01/03/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:40:46 le 05/03/2011, Mode normal

 

Microsoft Windows XP Professionnel Service Pack 3 (X86)

Administrateur@ORKAS ( )

 

============== ACTION(S) ==============

 

 

Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Toolbar4

Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\ItsLabel

 

(!) -- Fichiers temporaires supprimés.

 

 

-- Fichier ouvert: C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\h2xut1da.default\Prefs.js --

/!\ Impossible d'ouvrir le fichier, nettoyage interrompu /!\

-- Fichier Fermé --

 

 

Clé supprimée: HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}

Clé supprimée: HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}

Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho

Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho.1

Clé supprimée: HKCU\Software\ItsLabel

Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}

 

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

============== SCAN ADDITIONNEL ==============

 

**** Mozilla Firefox Version [3.6.15 (fr)] ****

 

Plugins\npwachk.dll (Nullsoft, Inc.)

HKLM_MozillaPlugins\@nexon.net/NxGame (x)

HKLM_MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 (x)

HKCU_MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0 (x)

HKLM_Extensions|{23fcfd51-4958-4f00-80a3-ae97e717ed8b} - C:\Program Files\DivX\DivX Plus Web Player\firefox\html5video

HKLM_Extensions|{6904342A-8307-11DF-A508-4AE2DFD72085} - C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa

 

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\h2xut1da.default --

Extensions\devious_green@firefox.theme (Devious Green)

Extensions\{00352F14-3F76-4e4d-ACFF-9972D7E4B3B9} (MacOSX Theme)

Extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} (Winamp Toolbar)

Extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} (FlashGot)

Searchplugins\winamp-search.xml (?)

Prefs.js - browser.download.dir, C:\\Documents and Settings\\Administrateur\\Bureau

Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Administrateur\\Bureau

Prefs.js - browser.search.defaultenginename, Ask.com

Prefs.js - browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

Prefs.js - browser.search.selectedEngine, Google

Prefs.js - browser.startup.homepage, hxxp://www.google.fr/webhp?rls=ig

Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15

Prefs.js - keyword.URL, hxxp://www.google.fr/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

 

========================================

 

**** Google Chrome Version [9.0.597.107] ****

 

Extension\fnjbmmemklcjgepojigaapkoodmkgbae (C:\Program Files\DivX\DivX Plus Web Player\google_chrome\wpa\wpa.crx) (?)

Extension\nneajnkjbffgblleaoojgaacokifdkhm (C:\Program Files\DivX\DivX Plus Web Player\google_chrome\html5video\html5video.crx) (?)

 

-- C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default --

Preferences - default_search_provider: "Google" (Activé: true) (hxxp://www.google.com/search?q={searchTerms}&ie=utf-8&oe=utf-8&aq=t)

Plugin - Unity Player (Activé: true) (C:\Documents and Settings\Administrateur\Local Settings\Application Data\Unity\WebPlayer\loader\npUnity3D32.dll)

Plugin - "DivX Player" (Activé: true)

Plugin - "Nexon Game Controller" (Activé: true)

Plugin - "Unity Player" (Activé: true)

Plugin - "Winamp Application Detector" (Activé: true)

Plugin - "Yahoo! activeX Plug-in Bridge" (Activé: true)

 

========================================

 

**** Internet Explorer Version [8.0.6001.18702] ****

 

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKCU_Toolbar\WebBrowser|{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} (C:\Program Files\Winamp Toolbar\winamptb.dll)

HKLM_Toolbar|{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} (C:\Program Files\Winamp Toolbar\winamptb.dll)

HKLM_ElevationPolicy\{5F17E524-3447-4c7d-8E5F-4EFF31CDE3B7} - C:\Program Files\DivX\DivX Plus Web Player\DDMService.exe (DivX, LLC)

HKLM_ElevationPolicy\{64903E32-AE0B-408D-909C-09A08791F28D} - C:\Program Files\DivX\DivX Plus Web Player\dwpBroker.exe (DivX, LLC)

HKLM_ElevationPolicy\{ADADAEE2-457A-4984-A57C-E01C3A2BA612} - c:\program files\winamp toolbar\WinampTbServer.exe (AOL LLC.)

HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)

HKLM_Extensions\{725EC34E-943C-4df6-B0B2-FBDE7F242276} - "PartyPoker.fr" (C:\Program Files\PartyFrance\PartyPokerFr\images\ppicon.ico)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll)

BHO\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - "Winamp Toolbar Loader" (C:\Program Files\Winamp Toolbar\winamptb.dll)

BHO\{326E768D-4182-46FD-9C16-1449A49795F4} - "DivX Plus Web Player HTML5 <video>" (C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll)

BHO\{4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - "Windows Live Family Safety Browser Helper Class" (C:\Program Files\Windows Live\Family Safety\fssbho.dll)

BHO\{593DDEC6-7468-4cdd-90E1-42DADAA222E9} - "DivX HiQ" (C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} - "Click-to-Call BHO" (C:\Program Files\Windows Live\Messenger\wlchtc.dll)

BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 05/03/2011 22:40:49 (866 Octet(s))

C:\Ad-Report-SCAN[1].txt - 05/03/2011 22:35:53 (7122 Octet(s))

 

Fin à: 22:41:23, 05/03/2011

 

============== E.O.F ==============

 

 

 

Par contre à la fin du nettoyage le logiciel m'a demandé de redémarrer. C'est ce que j'ai fait et j'ai encore eu une alerte d'Antivir pour un trojan :/ C'est normal ?

 

Merci encore.

[Apollo]

Antivir n'est pas infaillible, il peut avoir de faux-positifs, ce qui arrive à tous les antivirus.

 

Comment nomme-t-il son trojan???

 

Mets MalwareBytes à jour et relance une analyse complète; fixe tout ce qu'il trouve et poste ensuite le rapport stp.

 

@++

[foxtrot1310]

Le trojan c'était le TR/MSIL.Agent.bdt

 

Sinon j'ai MAJ MBAM et refais un scan, il n'a rien signalé.

 

Pour le rapport :

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 5968

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

06/03/2011 00:26:01

mbam-log-2011-03-06 (00-26-01).txt

 

Type d'examen: Examen complet (C:\|E:\|)

Elément(s) analysé(s): 291378

Temps écoulé: 1 heure(s), 10 minute(s), 34 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Apollo]

Bonjour,

 

MBAM ne trouve plus rien, bon signe non?

 

L'ordi va mieux?

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

 

• Double-clique sur RSIT.exe afin de lancer RSIT. Pour XP
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

Les rapports sont également enregistrés dans le répertoire C:\RSIT.

 

>>>Héberge les rapports RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter. ou ici: Free large file hosting. Send big files the easy way! >> copier/coller le tout premier lien fourni par l'hébergeur svp.

 

++