Infections multiples : Adware, Toolbars, keylogger + Trojan

[Apollo]

C'est très bien d'avoir cherché et trouvé!

 

En effet, qui mieux que le créateur de l'outil pouvait apporter la réponse à propos de ce problème que je n'avais encore jamais rencontré.

 

Tu vois, tu m'apprends des choses aussi

 

Je regarde ton rapport et reviens te dire quoi faire.

 

Pour le VRT, ne te fais pas de soucis, rares sont les fois où il demande une opération supplémentaire, à partir du moment où l'on a chosi comme réaction aux menaces: "Désinfecter, si impossible supprimer). Il fera bien son travail pendant que tu feras dodo.

 

Je reviens dans un instant.

 

@++

[Apollo]

Re,

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

[HKCU\Software\Prodiff]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6A87B991-A31F-4130-AE72-6D0C294BF082}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{e908b145-c847-4e85-b315-07e2e70decf8}]    
[MD5.276AC7BAE1F596A3A1D4B6D43AEF099C] - (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files\uTorrent\uTorrent.exe   [399736]  
M3 - MFPP: Plugins - [christian] -- C:\Program Files\Mozilla FireFox\searchplugins\conduit.xml    
G0 - GCSP: Preference [user Data\Default][HomePage] [url=http://home.sweetim.com][url=http://home.sweetim.com]http://home.sweetim.com[/url][/url]  
O41 - Driver:  (SRTSPX) . (. - .) - C:\Windows\System32\Drivers\SRTSPX.sys (.not file.)    
O41 - Driver:  (SYMTDI) . (. - .) - C:\WINDOWS\system32\Drivers\SYMTDI.sys (.not file.)    
O44 - LFC:[MD5.80B34C1A69D2D1557F0A63552C6BACD8] - 05/05/2011 - 01:34:22 ---A- . (...) -- C:\Ad-Report-CLEAN[3].txt   [7307]  
O44 - LFC:[MD5.6B5E05100ABB13BC328E4C60EA35A6C5] - 05/05/2011 - 00:10:11 ---A- . (...) -- C:\Ad-Report-CLEAN[2].txt   [7240]  
O44 - LFC:[MD5.B5F26BF24E3A6B52E3FA2AD7E8EF86D7] - 04/05/2011 - 15:59:42 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt   [10395]  
O44 - LFC:[MD5.481491581E82F8DEB0E3A596A89E0F72] - 04/05/2011 - 15:26:49 ---A- . (...) -- C:\Ad-Report-SCAN[1].txt   [10778]  
O64 - Services: CurCS - (.not file.) - pwrdypob (pwrdypob)  .(...) - LEGACY_PWRDYPOB    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}]    

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

[dsm11]

Wahoo , cette fois ci tout a gazé comme sur des roulettes. Merci pour le petit message de tout à l'heure si je n'avais pas perdu la connexion réseau, tu aurais déjà eu ma réponse ! Quand tout s'en mêle décidément... J'ai de la chance que tu sois au bout du tuyau je me sens nettement moins seule avec tout ça

 

Rapport de ZHPFix 1.12.3280 par Nicolas Coolman, Update du 02/05/2011

Fichier d'export Registre :

Run by christian at 06/05/2011 21:54:09

Windows XP Home Edition Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

HKCU\Software\Prodiff => Clé supprimée avec succès

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6A87B991-A31F-4130-AE72-6D0C294BF082} => Clé supprimée avec succès

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} => Clé supprimée avec succès

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{e908b145-c847-4e85-b315-07e2e70decf8} => Clé supprimée avec succès

O41 - Driver: (SRTSPX) . (. - .) - C:\Windows\System32\Drivers\SRTSPX.sys (.not file.) => Clé supprimée avec succès

O41 - Driver: (SYMTDI) . (. - .) - C:\WINDOWS\system32\Drivers\SYMTDI.sys (.not file.) => Clé supprimée avec succès

O64 - Services: CurCS - (.not file.) - pwrdypob (pwrdypob) .(...) - LEGACY_PWRDYPOB => Clé supprimée avec succès

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956} => Clé supprimée avec succès

 

========== Fichier(s) ==========

c:\program files\utorrent\utorrent.exe [399736] => Fichier absent

c:\program files\mozilla firefox\searchplugins\conduit.xml => Supprimé et mis en quarantaine

c:\ad-report-clean[3].txt => Supprimé et mis en quarantaine

c:\ad-report-clean[2].txt => Supprimé et mis en quarantaine

c:\ad-report-clean[1].txt => Supprimé et mis en quarantaine

c:\ad-report-scan[1].txt => Supprimé et mis en quarantaine

 

 

========== Récapitulatif ==========

8 : Clé(s) du Registre

6 : Fichier(s)

 

 

End of the scan

[Apollo]

Ok,

 

A demain sûrement, avec le rapport du VRT.

 

@++

[dsm11]

Merci ! Alors à demain ! Bonne soirée

[dsm11]

Bonjour Apollo,

 

Me revoilà, avec le rapport VRT, plutôt court... je ne me suis pas trompée ?

 

Rapport VRT 2011/05/07

 

Analyse automatique: terminée : il y a 4 heures (évênements : 6, objets : 951901, durée : 07:16:08)

07/05/2011 03:24:15 Lancement de la tâche

07/05/2011 03:55:43 Détectés: Trojan-Downloader.WMA.FakeDRM.x C:\Program Files\eMule\Incoming\Les Rêves dansants sur les pas de Pina Bausch de Anne Linsel Rainer Hoffmann.avi

07/05/2011 03:57:35 Supprimés: Trojan-Downloader.WMA.FakeDRM.x C:\Program Files\eMule\Incoming\Les Rêves dansants sur les pas de Pina Bausch de Anne Linsel Rainer Hoffmann.avi

07/05/2011 03:58:00 Détectés: Trojan-Downloader.WMA.FakeDRM.w C:\Program Files\eMule\Incoming\Nostalgie de la lumiere.avi

07/05/2011 03:59:22 Supprimés: Trojan-Downloader.WMA.FakeDRM.w C:\Program Files\eMule\Incoming\Nostalgie de la lumiere.avi

07/05/2011 10:40:24 Fin de la tâche

[Apollo]

Bonjour,

 

Et voilà les beaux "cadeaux" que te font Emule...

 

Si j'ai un conseil à te donner, vire cette saloperie de P2P de ton pc.

En téléchargeant des fichiers piégés, tu infectes toi-même ton ordinateur.

 

On n'arrête pas de le dire, les logiciels de peer to peer sont des nids à virus et tu peux encore t'estimer heureuse que tu n'aies pas chopé Virut, qui aurait tout simplement détruit ton système...

 

Refais un ZHPDiag stp.

 

@++

[dsm11]

Merci pour ce conseil, Apollo !

Cette machine est l'ordinateur familial, il y tellement de choses dessus... que je ne connais pas

 

D'après la personne qui m'a aidée sur le forum et qui m'a dit de poster dans cette section, il y a 3 logiciels de P2P : Bit Torrent, MicroTorrent, Azureus.

Mais je ne les ai pas trouvés ni dans "tous les programmes" à partir du menu Démarrer, ni dans "ajout/supression de programmes" du panneau de configuration.

Emule je le savais il est là depuis longtemps je le connais, il m'est même arrivé de l'utiliser, il est visible par les deux chemins, donc le virer je devrais pouvoir...

 

 

Le rapport de ZHPDiag : toujours sans "Recherche Master Boot Record Infection[MBR][080"]

j'ai essayé de nouveau d'abord sans décocher ce module 080 dans les options, mais même blocage à 80% de l'analyse, donc j'ai recommencé en ayant décoché.

 

Au lancement de ZHPDiag il y avait un message :

"Problème connexion internet (Socked Error # 11001 Host not found)"

mauvaise (ou pas de) connectivité au réseau local

Le message de ZHPDiag m'a étonnée... puisque avant de lancer l'analyse, il me semble avoir compris qu'il faut d'abord se déconnecter d'Internet : je ne sais pas si j'ai bien fait, mais j'ai lancée l'analyse sans que la connectivité soit rétablie,

 

Rapport de ZHPDiag v1.27.200 par Nicolas Coolman, Update du 04/05/2011

 

Aïe ! l est super long ce rapport, j'ai zappé le fait qu'il aurait fallu l'héberger ailleurs comme hier !

Dsl, je modifie ma réponse ci-dessus et j'héberge le rapport :

 

il est là à présent :

 

http://www.cijoint.fr/cjlink.php?file=cj201105/cijDla7d0c.txt

 

à+

Modifié le 7 mai 2011 par dsm11

[Apollo]

Re,

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

[MD5.276AC7BAE1F596A3A1D4B6D43AEF099C] - (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files\uTorrent
G0 - GCSP: Preference [user Data\Default][HomePage] [url=http://home.sweetim.com][url=http://home.sweetim.com]http://home.sweetim.com[/url][/url]  
O64 - Services: CurCS - (.not file.) - 89491102 Boot Guard Driver (89491102)  .(...) - LEGACY_89491102    
O64 - Services: CurCS - (.not file.) - setup_9.0.0.722_06.05.2011_23-37drv (setup_9.0.0.722_06.05.2011_23-37drv)  .(...) - LEGACY_SETUP_9.0.0.722_06.05.2011_23-37DRV M3 - MFPP: Plugins - [christian] -- C:\Documents and Settings\christian\Application Data\Mozilla\Firefox\Profiles\oheap1rh.default\searchplugins\sweetim.xml    
O42 - Logiciel: SweetIM Toolbar for Internet Explorer 4.0 - (.SweetIM Technologies Ltd..) [HKLM] -- {BF67F764-95B6-4360-BB57-B2E5AA6C814B}    
O42 - Logiciel: Winamp Toolbar - (.Pas de propriétaire.) [HKLM] -- Winamp Toolbar     
[HKCU\Software\SweetIM]    
[HKCU\Software\Winamp Toolbar]   
[HKLM\Software\SweetIM]    
O43 - CFD: 30/04/2011 - 08:17:38 - [4173654] ----D- C:\Program Files\SweetIM  
O43 - CFD: 06/02/2010 - 20:12:40 - [2296577] ----D- C:\Program Files\Winamp Toolbar    
O43 - CFD: 29/03/2009 - 22:26:04 - [17502] ----D- C:\Documents and Settings\christian\Local Settings\Application Data\Winamp Toolbar    => Toolbar.WinAmp  
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]    
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}]   
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}]     
[HKCU\Software\SweetIM]    
[HKLM\Software\SweetIM]   
[HKCU\Software\Winamp Toolbar]   
[HKLM\Software\Winamp Toolbar]   
C:\Program Files\SweetIM   
C:\Program Files\Winamp Toolbar   
C:\Documents and Settings\christian\Local Settings\Application Data\Winamp Toolbar 
O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe  
O64 - Services: CurCS - 27/07/2010 - C:\Program Files\Bonjour\mDNSResponder.exe - Service Bonjour(Bonjour Service)  .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE  
O47 - AAKE:Key Export SP - "C:\Program Files\uTorrent\uTorrent.exe" [Enabled] .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files\uTorrent
O47 - AAKE:Key Export SP - "C:\Program Files\eMule\emule.exe" [Enabled] .(.http://www.emule-project.net - eMule.) -- C:\Program Files\eMule
emptytemp

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

@++

[dsm11]

Me revoilà avec le rapport ZHPFix

 

J'ai dû m'absenter pendant le travail de ZHPFix, l'analyse était terminée, mais une petite fenêtre s'était ouverte (de winamp) qui disait (en anglais)"désinstallation complète avec succès" : je l'ai fermée. S'est alors ouverte une fenêtre I.E. que j'ai fermée sans lui laisser le temps de charger sa page : est-ce que j'aurais dû attendre de voir ???

 

Merci pour tout ce que tu fais !

 

 

Rapport de ZHPFix 1.12.3280 par Nicolas Coolman, Update du 02/05/2011

Fichier d'export Registre : C:\ZHPExportRegistry-07-05-2011-20-43-53.txt

Run by christian at 07/05/2011 20:43:53

Windows XP Home Edition Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

O42 - Logiciel: SweetIM Toolbar for Internet Explorer 4.0 - (.SweetIM Technologies Ltd..) [HKLM] -- {BF67F764-95B6-4360-BB57-B2E5AA6C814B} => Clé supprimée avec succès

O42 - Logiciel: Winamp Toolbar - (.Pas de propriétaire.) [HKLM] -- Winamp Toolbar => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!

O64 - Services: CurCS - (.not file.) - 89491102 Boot Guard Driver (89491102) .(...) - LEGACY_89491102 => Clé supprimée avec succès

O64 - Services: CurCS - (.not file.) - setup_9.0.0.722_06.05.2011_23-37drv (setup_9.0.0.722_06.05.2011_23-37drv) .(...) - LEGACY_SETUP_9.0.0.722_06.05.2011_23-37DRV M3 - MFPP: Plugins - [christian] -- C:\Documents and Settings\christian\Application Data\ => Clé absente

HKCU\Software\SweetIM => Clé supprimée avec succès

HKCU\Software\Winamp Toolbar => Clé absente

HKLM\Software\SweetIM => Clé supprimée avec succès

HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine => Clé supprimée avec succès

HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847} => Clé supprimée avec succès

HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847} => Clé supprimée avec succès

HKLM\Software\Winamp Toolbar => Clé absente

O64 - Services: CurCS - 27/07/2010 - C:\Program Files\Bonjour\mDNSResponder.exe - Service Bonjour(Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE => Clé supprimée avec succès

 

========== Valeur(s) du Registre ==========

O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe => Valeur supprimée avec succès

O47 - AAKE:Key Export SP - "C:\Program Files\uTorrent\uTorrent.exe" [Enabled] .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files\uTorrent => Valeur supprimée avec succès

O47 - AAKE:Key Export SP - "C:\Program Files\eMule\emule.exe" [Enabled] .(.http://www.emule-project.net - eMule.) -- C:\Program Files\eMule => Valeur supprimée avec succès

 

========== Dossier(s) ==========

Dossiers temporaires Windows supprimés: 91

 

========== Fichier(s) ==========

Fichiers temporaires Windows supprimés : 167

 

 

========== Récapitulatif ==========

12 : Clé(s) du Registre

3 : Valeur(s) du Registre

1 : Dossier(s)

1 : Fichier(s)

 

 

End of the scan