Mails involontaires

[kormick1]

Bonjour,

depuis quelques temps, certains des mes contacts de ma boîte mail Yahoo! se plaignent de l'envoi d'un lien provenant de mon adresse e-mail.

Je soupçonne évidemment un virus et je ne sais pas par où commencer pour m'en défaire.

 

Deux personnes se sont plaintes et les liens qui leur ont été envoyés sont les suivants:

 

http://beadsandco.com/wbcms.htm

 

http://inklingmedia.com/wp-content/themes/wmfmsg.htm

 

 

 

Merci de me venir en aide

(je suis actuellement en train de faire un scan avec AntiVir, il scanne mon système et est à 18%. Il a trouvé déjà ce virus: TR/Spy.544256.5 )

[kormick1]

voici le rapport après l'analyse:

 

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : Wednesday, August 03, 2011 09:19

 

La recherche porte sur 3314668 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows Vista

Version de Windows : (plain) [6.1.7600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : CABELUDO-PC

 

Informations de version :

BUILD.DAT : 9.0.0.81 21698 Bytes 10/22/2010 12:02:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 11/19/2009 20:41:39

AVSCAN.DLL : 9.0.3.0 49409 Bytes 3/3/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 2/20/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 3/3/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 11/6/2009 20:41:39

VBASE001.VDF : 7.11.0.0 13342208 Bytes 12/14/2010 17:51:23

VBASE002.VDF : 7.11.3.0 1950720 Bytes 2/9/2011 22:33:57

VBASE003.VDF : 7.11.5.225 1980416 Bytes 4/7/2011 10:16:00

VBASE004.VDF : 7.11.8.178 2354176 Bytes 5/31/2011 14:34:16

VBASE005.VDF : 7.11.10.251 1788416 Bytes 7/7/2011 16:21:15

VBASE006.VDF : 7.11.10.252 2048 Bytes 7/7/2011 16:21:15

VBASE007.VDF : 7.11.10.253 2048 Bytes 7/7/2011 16:21:15

VBASE008.VDF : 7.11.10.254 2048 Bytes 7/7/2011 16:21:15

VBASE009.VDF : 7.11.10.255 2048 Bytes 7/7/2011 16:21:15

VBASE010.VDF : 7.11.11.0 2048 Bytes 7/7/2011 16:21:15

VBASE011.VDF : 7.11.11.1 2048 Bytes 7/7/2011 16:21:15

VBASE012.VDF : 7.11.11.2 2048 Bytes 7/7/2011 16:21:15

VBASE013.VDF : 7.11.11.75 688128 Bytes 7/12/2011 16:23:22

VBASE014.VDF : 7.11.11.104 978944 Bytes 7/13/2011 16:51:23

VBASE015.VDF : 7.11.11.137 655360 Bytes 7/14/2011 16:51:26

VBASE016.VDF : 7.11.11.184 699392 Bytes 7/18/2011 17:12:37

VBASE017.VDF : 7.11.11.214 414208 Bytes 7/19/2011 18:18:45

VBASE018.VDF : 7.11.11.242 772096 Bytes 7/20/2011 18:20:00

VBASE019.VDF : 7.11.12.3 1291776 Bytes 7/20/2011 18:20:02

VBASE020.VDF : 7.11.12.30 844288 Bytes 7/21/2011 18:19:35

VBASE021.VDF : 7.11.12.67 149504 Bytes 7/24/2011 15:57:46

VBASE022.VDF : 7.11.12.93 195072 Bytes 7/25/2011 15:57:47

VBASE023.VDF : 7.11.12.113 150528 Bytes 7/26/2011 15:57:47

VBASE024.VDF : 7.11.12.152 182784 Bytes 7/28/2011 15:57:48

VBASE025.VDF : 7.11.12.181 117760 Bytes 8/1/2011 19:06:10

VBASE026.VDF : 7.11.12.182 2048 Bytes 8/1/2011 19:06:10

VBASE027.VDF : 7.11.12.183 2048 Bytes 8/1/2011 19:06:10

VBASE028.VDF : 7.11.12.184 2048 Bytes 8/1/2011 19:06:10

VBASE029.VDF : 7.11.12.185 2048 Bytes 8/1/2011 19:06:10

VBASE030.VDF : 7.11.12.186 2048 Bytes 8/1/2011 19:06:10

VBASE031.VDF : 7.11.12.198 51200 Bytes 8/2/2011 19:06:10

Version du moteur : 8.2.6.22

AEVDF.DLL : 8.1.2.1 106868 Bytes 7/30/2010 04:07:32

AESCRIPT.DLL : 8.1.3.73 1622395 Bytes 7/15/2011 16:51:43

AESCN.DLL : 8.1.7.2 127349 Bytes 11/22/2010 18:44:03

AESBX.DLL : 8.2.1.34 323957 Bytes 6/2/2011 14:34:50

AERDL.DLL : 8.1.9.13 639349 Bytes 7/14/2011 16:51:41

AEPACK.DLL : 8.2.9.5 676214 Bytes 7/14/2011 16:51:40

AEOFFICE.DLL : 8.1.2.13 201083 Bytes 8/1/2011 15:57:54

AEHEUR.DLL : 8.1.2.148 3576184 Bytes 8/1/2011 15:57:53

AEHELP.DLL : 8.1.17.7 254327 Bytes 8/1/2011 15:57:49

AEGEN.DLL : 8.1.5.6 401780 Bytes 5/19/2011 23:44:47

AEEMU.DLL : 8.1.3.0 393589 Bytes 11/22/2010 18:42:54

AECORE.DLL : 8.1.22.4 196983 Bytes 7/14/2011 16:51:29

AEBB.DLL : 8.1.1.0 53618 Bytes 4/24/2010 07:27:55

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 9/26/2009 09:43:58

AVREP.DLL : 10.0.0.9 174120 Bytes 3/4/2011 17:57:39

AVREG.DLL : 9.0.0.0 36609 Bytes 11/7/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 3/24/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 1/30/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 1/28/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/2/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 11/7/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 6/17/2009 12:44:26

RCTEXT.DLL : 9.0.73.0 88321 Bytes 11/19/2009 20:41:39

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : Wednesday, August 03, 2011 09:19

 

La recherche d'objets cachés commence.

'49273' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jucheck.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Dropbox.exe' - '1' module(s) sont contrôlés

Processus de recherche 'StikyNot.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskhost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WLIDSVCM.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'YahooAUService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WLIDSVC.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'tagsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nisvcloc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nidmsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nimxs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lktsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lkads.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lkcitdl.exe' - '1' module(s) sont contrôlés

Processus de recherche 'cbService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'armsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'vpnagent.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'62' processus ont été contrôlés avec '62' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '26' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Program Files\ZARASOFT\EQUATION\Equation V3.46.dat

[RESULTAT] Contient le cheval de Troie TR/Spy.544256.5

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\1dd6a40c-5babca2a

[0] Type d'archive: ZIP

--> ________vload.class

[RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2008-5353.CG.1

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\30feb821-5357443f

[0] Type d'archive: ZIP

--> ________vload.class

[RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2008-5353.KM

--> vmain.class

[RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2008-5353.ND

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\5541aec4-4f17c632

[0] Type d'archive: ZIP

--> vmain.class

[RESULTAT] Contient le modèle de détection du virus Java JAVA/C-2009-3867.EH

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\31bba1f4-572e0205

[0] Type d'archive: ZIP

--> vmain.class

[RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2009-3867.GC

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\42441975-421dfe29

[0] Type d'archive: ZIP

--> vmain.class

[RESULTAT] Contient le modèle de détection du virus Java JAVA/C-2009-3867.EH

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\15fa27bd-4da2d04e

[0] Type d'archive: ZIP

--> PictureManager.class

[RESULTAT] Contient le modèle de détection du virus Java JAVA/OpenConnect.O

--> PictureManager.java

[RESULTAT] Contient le modèle de détection du virus Java JAVA/Dldr.Ceca.A

C:\Windows\SoftwareDistribution\Download\df2d2983f4b589d5627aef7ba995f68c\BIT712.tmp

[0] Type d'archive: CAB SFX (self extracting)

--> mpengine.dll

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

Recherche débutant dans 'D:\' <DATA>

 

Début de la désinfection :

C:\Program Files\ZARASOFT\EQUATION\Equation V3.46.dat

[RESULTAT] Contient le cheval de Troie TR/Spy.544256.5

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4eae1a73.qua' !

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\1dd6a40c-5babca2a

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e9d1a66.qua' !

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\30feb821-5357443f

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e9f1a32.qua' !

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\5541aec4-4f17c632

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e6d1a38.qua' !

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\31bba1f4-572e0205

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e9b1a34.qua' !

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\42441975-421dfe29

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e6d1a35.qua' !

C:\Users\CABELUDO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\15fa27bd-4da2d04e

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e9f1a38.qua' !

 

 

Fin de la recherche : Wednesday, August 03, 2011 11:50

Temps nécessaire: 1:32:58 Heure(s)

 

La recherche a été effectuée intégralement

 

35610 Les répertoires ont été contrôlés

1008535 Des fichiers ont été contrôlés

9 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

7 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

1008524 Fichiers non infectés

7698 Les archives ont été contrôlées

4 Avertissements

9 Consignes

49273 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

[Apollo]

Bonjour,

 

Installe la dernière version de Java: Download Java Runtime Environment 1.7.0.0 (32-bit) - FileHippo.com

Fais attention, il y a une version 32 bits et 64 bits. C'est selon la version de ton navigateur employée.

 

Désinstalle ensuite toute version plus ancienne de Java via Programmes et fonctionnalités.

 

~~~~~~~~~~~~~~~~

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse.
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

@++

[kormick1]

merci pour votre réponse.

 

voici:

 

Cijoint.fr - Service gratuit de dépôt de fichiers

[Apollo]

Bonjour,

 

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

http://www.teamxscript.org/adremoverTelechargement.html

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur scanner

 

 

Le rapport se trouve aussi sous C:\Ad-Report Scan.

Copie/colle-le dans ta réponse stp.

 

 

----------------------------------------------------

 

2) Relance Ad-Remover et cette fois, clique sur Nettoyer

 

Le bureau va disparaître, c'est normal.

 

Le rapport à poster sera sur C:\Ad-Report Clean.

 

*** Poste les deux rapports stp.

 

-------------------------------------------

Seulement après avoir posté les rapports:

3) Relance Ad-Remover et clique sur Désinstaller.

 

++

[kormick1]

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

 

Updated by TeamXscript on 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

website: http://www.teamxscript.org

 

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Launched at 12:55:06 on 04/08/2011, Normal boot

 

Microsoft Windows 7 Professional (X86)

CABELUDO@CABELUDO-PC (FUJITSU SIEMENS AMILO Xi 2428)

 

============== SEARCH ==============

 

 

 

Key found: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

Key found: HKLM\Software\Conduit

Key found: HKCU\Software\Conduit

Key found: HKCU\Software\pacificpoker

Key found: HKCU\Software\pokerinstaller

Key found: HKLM\Software\Canneverbe Limited\OpenCandy

Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

 

Value found: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

============== ADDITIONNAL SCAN ==============

 

**** Mozilla Firefox Version [5.0 (en-US)] ****

 

Plugins\npdeployJava1.dll (Oracle Corporation)

Plugins\nplv85win32.dll (National Instruments)

HKLM_MozillaPlugins\@messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6 (x)

HKLM_MozillaPlugins\Adobe Reader (x)

Searchplugins\amazondotcom.xml (hxxp://www.amazon.com/exec/obidos/external-search/)

Searchplugins\bing.xml ( hxxp://www.bing.com/search)

Searchplugins\eBay.xml (hxxp://rover.ebay.com/rover/1/711-47294-18009-3/4)

Searchplugins\wikipedia.xml (hxxp://en.wikipedia.org/wiki/Special:Search)

Components\browsercomps.dll (Mozilla Foundation)

Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension )

Extensions\{CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} (Java Console)

 

-- C:\Users\CABELUDO\AppData\Roaming\Mozilla\FireFox\Profiles\ya1eempp.default --

Extensions\[email protected] (Zotero)

Prefs.js - browser.download.dir, D:\\Downloads

Prefs.js - browser.download.lastDir, D:\\My Documents\\EPFL

Prefs.js - browser.startup.homepage, hxxps://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%...

Prefs.js - browser.startup.homepage_override.buildID, 20110615151330

Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

 

-- C:\Users\Guest\AppData\Roaming\Mozilla\FireFox\Profiles\rfqmqo0j.default --

Prefs.js - browser.startup.homepage, hxxps://login.yahoo.com/config/mail?.src=ym&.intl=fr

Prefs.js - browser.startup.homepage_override.buildID, 20110413222027

Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1

 

========================================

 

**** Internet Explorer Version [8.0.7600.16385] ****

 

Plugins\LV85ActiveXControl.dll (National Instruments)

HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKCU_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157

HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157

HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)

HKCU_Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (x)

HKCU_ElevationPolicy\{D09C464F-07DE-4C04-ABB4-88C30329C02D} - C:\Users\CABELUDO\AppData\Local\Yahoo!\BrowserPlus\2.5.1\BrowserPlusCore.exe (x)

HKCU_ElevationPolicy\{F6406B2D-39A7-4566-A174-E19DDD818A95} - C:\Users\CABELUDO\AppData\Local\Yahoo!\BrowserPlus\2.4.21\BrowserPlusCore.exe (x)

HKCU_ElevationPolicy\{FDBA56A8-8FA7-41A3-97F4-A094019C4178} - C:\Users\CABELUDO\AppData\Local\Yahoo!\BrowserPlus\2.4.17\BrowserPlusCore.exe (x)

HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)

HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 File(s)

C:\Program Files\Ad-Remover\Backup: 1 File(s)

 

C:\Ad-Report-SCAN[1].txt - 04/08/2011 12:55:12 (4291 Byte(s))

 

End at: 12:55:57, 04/08/2011

 

============== E.O.F ==============

 

 

 

 

 

 

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

 

Updated by TeamXscript on 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

website: http://www.teamxscript.org

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 12:57:06 on 04/08/2011, Normal boot

 

Microsoft Windows 7 Professional (X86)

CABELUDO@CABELUDO-PC (FUJITSU SIEMENS AMILO Xi 2428)

 

============== ACTION(S) ==============

 

 

 

(!) -- Temporary files deleted.

 

 

Key deleted: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

Key deleted: HKLM\Software\Conduit

Key deleted: HKCU\Software\Conduit

Key deleted: HKCU\Software\pacificpoker

Key deleted: HKCU\Software\pokerinstaller

Key deleted: HKLM\Software\Canneverbe Limited\OpenCandy

Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

 

Value deleted: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

============== ADDITIONNAL SCAN ==============

 

**** Mozilla Firefox Version [5.0 (en-US)] ****

 

Plugins\npdeployJava1.dll (Oracle Corporation)

Plugins\nplv85win32.dll (National Instruments)

HKLM_MozillaPlugins\@messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6 (x)

HKLM_MozillaPlugins\Adobe Reader (x)

Searchplugins\amazondotcom.xml (hxxp://www.amazon.com/exec/obidos/external-search/)

Searchplugins\bing.xml ( hxxp://www.bing.com/search)

Searchplugins\eBay.xml (hxxp://rover.ebay.com/rover/1/711-47294-18009-3/4)

Searchplugins\wikipedia.xml (hxxp://en.wikipedia.org/wiki/Special:Search)

Components\browsercomps.dll (Mozilla Foundation)

Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension )

Extensions\{CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} (Java Console)

 

-- C:\Users\CABELUDO\AppData\Roaming\Mozilla\FireFox\Profiles\ya1eempp.default --

Extensions\[email protected] (Zotero)

Prefs.js - browser.download.dir, D:\\Downloads

Prefs.js - browser.download.lastDir, D:\\My Documents\\EPFL

Prefs.js - browser.startup.homepage, hxxps://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%...

Prefs.js - browser.startup.homepage_override.buildID, 20110615151330

Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

 

-- C:\Users\Guest\AppData\Roaming\Mozilla\FireFox\Profiles\rfqmqo0j.default --

Prefs.js - browser.startup.homepage, hxxps://login.yahoo.com/config/mail?.src=ym&.intl=fr

Prefs.js - browser.startup.homepage_override.buildID, 20110413222027

Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1

 

========================================

 

**** Internet Explorer Version [8.0.7600.16385] ****

 

Plugins\LV85ActiveXControl.dll (National Instruments)

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)

HKCU_ElevationPolicy\{D09C464F-07DE-4C04-ABB4-88C30329C02D} - C:\Users\CABELUDO\AppData\Local\Yahoo!\BrowserPlus\2.5.1\BrowserPlusCore.exe (x)

HKCU_ElevationPolicy\{F6406B2D-39A7-4566-A174-E19DDD818A95} - C:\Users\CABELUDO\AppData\Local\Yahoo!\BrowserPlus\2.4.21\BrowserPlusCore.exe (x)

HKCU_ElevationPolicy\{FDBA56A8-8FA7-41A3-97F4-A094019C4178} - C:\Users\CABELUDO\AppData\Local\Yahoo!\BrowserPlus\2.4.17\BrowserPlusCore.exe (x)

HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)

HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 File(s)

C:\Program Files\Ad-Remover\Backup: 15 File(s)

 

C:\Ad-Report-CLEAN[1].txt - 04/08/2011 12:57:09 (4506 Byte(s))

C:\Ad-Report-SCAN[1].txt - 04/08/2011 12:55:12 (4429 Byte(s))

 

End at: 12:57:58, 04/08/2011

 

============== E.O.F ==============

[Apollo]

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

 

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[kormick1]

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org

 

Version de la base de données: 7373

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

04.08.2011 15:11

mbam-log-2011-08-04 (15-11-06).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 471168

Temps écoulé: 1 heure(s), 34 minute(s), 29 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

 

J'aimerais comprendre mieux le mode d'action de ces genre de virus (il y avait bien un virus?!).

Est-ce que lorsque quelque chose comme il m'est arrivé se passe (envoi involontaire de liens URL à mes contacts), est-ce parce que mon ordinateur est infecté et il a accès à ma boîte? Ou est-ce que ma boîte elle-même est infectée? Dans ce dernier cas, est-ce que ce genre de mails continueront à être envoyés si mon ordinateur n'est plus infecté?

Ou dans le premier cas, si j'ai maintenant un MAC par exemple, et les virus ne sont pas dirigés contre des MAC, ce genre de messages ne sera pas envoyés?

 

Merci pour l'aide et les éclaircissements!

[kormick1]

c'est tout bon?

[Apollo]

Bonjour,

 

Ca devrait; à toi de voir avec tes contacts s'il reçoivent toujours des pourriels de ta messagerie.

 

Spamihilator - Free Anti-Spam-Filter