Infection Trojan - Ouverture au démarrage d'un fullscreen "Bun

[neosapri]

Bonjour !

 

J'ai été infecté par un Troyen qui me bloque l'accès à mon ordinateur dès le démarrage via l'affichage d'un pop-up "Bundespolizei" (voir photo ci-dessous)

 

 

Ce pop-up est "inamovible" (Alt-Esc ; Crl-Alt-Delete ;... ne fonctionnent pas). Je peux cependant couper l'ordinateur sans le moindre problème

 

La seule facon où je puisse démarrer l'ordinateur sans apparition du pop-up est en utilisant le "mode sans échec avec accès aux répertoires" (ou un truc dans le style, bref le 3ème choix de mode sans échec).

 

Mon ordinateur tourne sur Windows XP Professionnel SP3.

 

Via clé usb, j'ai eu la possibilité de faire tourner "Antimalwarebyte" qui a trouvé 7 infections (toutes éliminées) mais le problème persiste.

Mes recherches sur Internet font état que ce virus est assez bien développé et n'est pas traitable via les actuels anti-virus !

 

Toujours vis USB, j'ai pu réaliser une analyse HiJackThis sous le mode sans-échec mentionné auparavant, dont voici le rapport ci-dessous

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:44:34, on 08.08.2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\cmd.exe

F:\Ced\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=6061116

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Dell-Suchseite

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Dell-Suchseite

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=6061116

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local

F2 - REG:system.ini: Shell=C:\Dokumente und Einstellungen\fabry\Anwendungsdaten\jashla.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\Scriptcl.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [Document Manager] C:\Programme\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [shStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe

O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe

O4 - HKLM\..\Run: [bDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [avast5] "C:\Programme\Alwil Software\Avast5\avastUI.exe" /nogui

O4 - HKLM\..\Run: [TkBellExe] "C:\programme\real\realplayer\update\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ModemOnHold] C:\Programme\NetWaiting\netwaiting.exe

O4 - HKCU\..\Run: [iSUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup

O4 - HKCU\..\Run: [infoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash

O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\Run: [infoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: EMBASSY Trust Suite Secure Update.lnk = C:\Programme\Wave Systems Corp\Services Manager\Secure Update\AutoUpdate.exe

O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe

O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.mypix.com/importer/newconf/aurigma5.8.1.0/ImageUploader5.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://altran.webex.com/client/T27LSP21/webex/ieatgpc.cab

O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - https://ssl.altranweb.be/dana-cached/setup/JuniperSetupSP1.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.mypix.com/be/fr/importer/ImageUploader4.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = germany.europe.corp.altran.com

O17 - HKLM\Software\..\Telephony: DomainName = germany.europe.corp.altran.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = germany.europe.corp.altran.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = germany.europe.corp.altran.com

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = germany.europe.corp.altran.com

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: DataSvr2 - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Common\DataServer.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: SolidConverterPDFReadSpool (SCPDFReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSI2C.tmp

O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - C:\Programme\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe

O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

 

--

End of file - 13216 bytes

 

 

 

Merci d'avance pour votre aide

[Apollo]

Bonjour,

 

Poste le rapport de MBAM stp.

 

Fais ensuite ceci:

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse.
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

Info: Apollo Et Compagnie ZHPDiag, un outil de diagnostic

 

@++

[neosapri]

Bonjour,

 

Poste le rapport de MBAM stp.

 

 

Merci pour ton aide Apollo.

 

Juste pour aller plus vite, pourrais-tu me dire où s'enregistre le rapport MBAM en général?

Dans le pire des cas, je peux reproduire un nouveau Scan MBAM.

 

Sinon pour rappel, je dois exécuter tout en mode sans échec via clé usb (pour le moment).

Je n'ai pas d'accès direct au bureau (pour le moment).

 

Mais je vais essayer de faire ta procédure et t'envoie les infos dès que possible...

 

Merci encore !

[Apollo]

Si tu ouvres l'interface de MBAM, tu verras un onglet "rapports/logs"; c'est là que se trouvent les rapports texte.

 

Il suffit d'ouvrir le dernier, le copier et le coller ici.

 

++

[neosapri]

Ok...

 

Voici le rapport MBAM :

 

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

 

Version de la base de données: 6705

 

Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702

 

08.08.2011 22:31:00

mbam-log-2011-08-08 (22-31-00).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 185229

Temps écoulé: 13 minute(s), 41 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 7

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\CLSID\{CA13D72F-2DAC-4D99-B08D-C5EA1C920E89} (Adware.WebDir) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{50DA37BB-7083-4FA7-80CF-DE4CDB634166} (Adware.WebDir) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{0B0A76E7-ADE1-41F4-B157-559605721B3A} (Adware.WebDir) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\IEObject.IEObjectObj.1 (Adware.WebDir) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\IEObject.IEObjectObj (Adware.WebDir) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CA13D72F-2DAC-4D99-B08D-C5EA1C920E89} (Adware.WebDir) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{CA13D72F-2DAC-4D99-B08D-C5EA1C920E89} (Adware.WebDir) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Et le rapport ZHPDiag :

 

Mon lien

 

Ca prend un peu plus de temps à faire sous "DOS", mais j'y arrive quand même... Y a juste les raccourcis sur le bureau que je n'arrive pas à exécuter depuis DOS pour le moment...

 

En attente des prochaines insructions Huston ! Over !

[Apollo]

Tu peux travailler en mode sans échec avec certains outils.

 

MBAM étant loin d'être à jour, il ne peut fire un bon boulot: on voit ça plus tard.

 

Si vous êtes sous Vista/seven:, Désactiver provisoirement l'UAC

 

Désactiver l'UAC sous Windows 7 :: Désactiver l'UAC sous Windows 7 - DepanneTonPC

 

:arrow: Télécharge USBFIX de TeamXscript et enregistre le sur ton bureau.

 

http://teamxscript.changelog.fr/too/UsbFix.exe

 

NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus. Si vous ne savez pas comment faire, reportez-vous à cet article.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista/7, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Clique sur Recherche et laisse l'outil travailler
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• Patiente le temps d'exécution du scan.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

------------------------------------------

 

On passe à la désinfection:

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Clique sur Suppression et laisse travailler l'outil.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• USBFix va continuer son exécution. Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. Ne t'inquiète pas, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

++

[neosapri]

Tu peux travailler en mode sans échec avec certains outils.

 

MBAM étant loin d'être à jour, il ne peut fire un bon boulot: on voit ça plus tard.

 

Si vous êtes sous Vista/seven:, Désactiver provisoirement l'UAC

 

Désactiver l'UAC sous Windows 7 :: Désactiver l'UAC sous Windows 7 - DepanneTonPC

 

:arrow: Télécharge USBFIX de TeamXscript et enregistre le sur ton bureau.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

-----------------------------------------

 

Voila la premier rapport :

 

############################## | UsbFix 7.055 | [Research]

 

User: fabry (Administrator) # GACITUA [ ]

Updated 06/08/2011 by El Desaparecido

Started at 15:08:13 | 09/08/2011

Website: http://www.teamxscript.org

Submit your sample: http://www.teamxscript.org/Upload.php

Contact: TeamXscript.ElDesaparecido@gmail.com

 

CPU: Genuine Intel® CPU T2300 @ 1.66GHz

CPU 2: Genuine Intel® CPU T2300 @ 1.66GHz

Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 3

Internet Explorer 8.0.6001.18702

 

Antivirus: avast! Antivirus 5.0.83952505 [(!) Disabled | Updated]

Antivirus: McAfee VirusScan Enterprise 8.5.0.781 [Enabled | Updated]

RAM -> 1022 Mb

C:\ (%systemdrive%) -> Fixed drive # 37 Gb (2 Mb free - 6%) [] # NTFS

D:\ -> CD-ROM

F:\ -> Removable drive # 4 Gb (3 Mb free - 75%) [] # FAT32

 

################## | Files # Infected Folders |

 

Found ! C:\Dokumente und Einstellungen\fabry\Anwendungsdaten\jashla.exe

Found ! C:\RECYCLER\S-1-5-21-1103728661-2722025453-4222091425-2130

Found ! C:\RECYCLER\S-1-5-21-1103728661-2722025453-4222091425-2195

Found ! C:\RECYCLER\S-1-5-21-1103728661-2722025453-4222091425-2315

Found ! C:\RECYCLER\S-1-5-21-533443744-2194358678-2581950738-1011

Found ! C:\RECYCLER\S-1-5-21-533443744-2194358678-2581950738-500

 

################## | Registry |

 

 

################## | Mountpoints2 |

 

HKCU\.\.\.\.\Explorer\MountPoints2\{4f1e7c2c-c738-11de-a403-001641a2d349}

Shell\AutoRun\Command = E:\g8k.exe

Shell\open\Command = E:\g8k.exe

 

 

################## | Vaccin |

 

(!) This computer is not vaccinated!

 

################## | E.O.F |

 

On passe à la désinfection:

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

++

 

Et le deuxième rapport :

 

############################## | UsbFix 7.055 | [Deletion]

 

User: fabry (Administrator) # GACITUA [ ]

Updated 06/08/2011 by El Desaparecido

Started at 15:19:16 | 09/08/2011

Website: http://www.teamxscript.org

Submit your sample: http://www.teamxscript.org/Upload.php

Contact: TeamXscript.ElDesaparecido@gmail.com

 

CPU: Genuine Intel® CPU T2300 @ 1.66GHz

CPU 2: Genuine Intel® CPU T2300 @ 1.66GHz

Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 3

Internet Explorer 8.0.6001.18702

 

Antivirus: avast! Antivirus 5.0.83952505 [(!) Disabled | Updated]

Antivirus: McAfee VirusScan Enterprise 8.5.0.781 [Enabled | Updated]

RAM -> 1022 Mb

C:\ (%systemdrive%) -> Fixed drive # 37 Gb (2 Mb free - 6%) [] # NTFS

D:\ -> CD-ROM

F:\ -> Removable drive # 4 Gb (3 Mb free - 75%) [] # FAT32

 

################## | Files # Infected Folders |

 

Deleted ! C:\Dokumente und Einstellungen\fabry\Anwendungsdaten\jashla.exe

Deleted ! C:\Recycler\S-1-5-21-1103728661-2722025453-4222091425-2130

Deleted ! C:\Recycler\S-1-5-21-1103728661-2722025453-4222091425-2195

Deleted ! C:\Recycler\S-1-5-21-1103728661-2722025453-4222091425-2315

Deleted ! C:\Recycler\S-1-5-21-533443744-2194358678-2581950738-1011

Deleted ! C:\Recycler\S-1-5-21-533443744-2194358678-2581950738-500

 

################## | Registry |

 

 

################## | Mountpoints2 |

 

Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{4f1e7c2c-c738-11de-a403-001641a2d349}

 

################## | Listing |

 

[27/12/2006 - 14:39:52 | D ] C:\15f5b2f50554d8ee3e7b27159a97

[27/12/2006 - 14:38:05 | D ] C:\1be3821eddcd8623096dc683

[13/08/2004 - 14:54:56 | N | 0] C:\AUTOEXEC.BAT

[21/11/2006 - 15:40:46 | N | 211] C:\boot.ini

[04/08/2004 - 16:00:00 | N | 4952] C:\bootfont.bin

[01/04/2009 - 10:59:54 | D ] C:\c08a5e585f3b40823b

[08/08/2011 - 20:27:38 | D ] C:\Config.Msi

[13/08/2004 - 14:54:56 | N | 0] C:\CONFIG.SYS

[21/11/2006 - 21:50:17 | D ] C:\dell

[16/11/2006 - 12:53:42 | N | 5043] C:\dell.sdr

[09/07/2009 - 11:59:22 | D ] C:\Dokumente und Einstellungen

[16/11/2006 - 12:53:14 | D ] C:\drivers

[02/02/2007 - 11:31:59 | D ] C:\i386

[17/04/2007 - 12:13:53 | N | 4128] C:\INFCACHE.1

[21/11/2006 - 16:40:38 | D ] C:\instal

[13/08/2004 - 14:54:56 | N | 0] C:\IO.SYS

[28/01/2009 - 00:28:02 | D ] C:\lj1200

[15/09/2007 - 21:28:35 | N | 90] C:\LogiSetup.log

[21/11/2010 - 13:43:26 | N | 22535] C:\MP4debug.log

[13/08/2004 - 14:54:56 | N | 0] C:\MSDOS.SYS

[21/11/2006 - 16:30:30 | RHD ] C:\MSOCache

[04/08/2004 - 16:00:00 | N | 47564] C:\NTDETECT.COM

[28/08/2008 - 20:50:57 | N | 251712] C:\ntldr

[10/01/2010 - 14:13:46 | N | 304160] C:\PA207.DAT

[09/08/2011 - 14:03:04 | ASH | 1610612736] C:\pagefile.sys

[09/08/2011 - 14:21:10 | N | 512] C:\PhysicalDisk0_MBR.bin

[16/08/2009 - 22:49:55 | D ] C:\Program Files

[09/08/2011 - 14:08:24 | D ] C:\Programme

[14/03/2011 - 21:15:04 | D ] C:\QUARANTINE

[09/08/2011 - 15:20:29 | SHD ] C:\RECYCLER

[04/11/2010 - 10:18:37 | D ] C:\Settings

[04/11/2010 - 10:18:37 | N | 711] C:\Settings.ini

[14/11/2008 - 14:58:41 | N | 268] C:\sqmdata00.sqm

[14/11/2008 - 23:15:41 | N | 268] C:\sqmdata01.sqm

[15/11/2008 - 16:51:21 | N | 268] C:\sqmdata02.sqm

[15/11/2008 - 17:00:08 | N | 268] C:\sqmdata03.sqm

[16/11/2008 - 18:37:55 | N | 268] C:\sqmdata04.sqm

[17/11/2008 - 09:19:43 | N | 268] C:\sqmdata05.sqm

[17/11/2008 - 09:25:53 | N | 268] C:\sqmdata06.sqm

[18/11/2008 - 21:34:43 | N | 268] C:\sqmdata07.sqm

[04/01/2009 - 20:05:23 | N | 268] C:\sqmdata08.sqm

[05/01/2009 - 18:58:26 | N | 268] C:\sqmdata09.sqm

[19/01/2009 - 22:37:45 | N | 268] C:\sqmdata10.sqm

[20/01/2009 - 15:31:19 | N | 268] C:\sqmdata11.sqm

[20/01/2009 - 20:51:53 | N | 268] C:\sqmdata12.sqm

[21/01/2009 - 21:26:06 | N | 268] C:\sqmdata13.sqm

[22/01/2009 - 12:34:14 | N | 268] C:\sqmdata14.sqm

[23/01/2009 - 00:48:57 | N | 268] C:\sqmdata15.sqm

[26/01/2009 - 22:57:16 | N | 268] C:\sqmdata16.sqm

[27/01/2009 - 12:43:56 | N | 268] C:\sqmdata17.sqm

[27/01/2009 - 21:41:49 | N | 268] C:\sqmdata18.sqm

[13/11/2008 - 23:08:39 | N | 268] C:\sqmdata19.sqm

[14/11/2008 - 14:58:41 | N | 244] C:\sqmnoopt00.sqm

[14/11/2008 - 23:15:41 | N | 244] C:\sqmnoopt01.sqm

[15/11/2008 - 16:51:21 | N | 244] C:\sqmnoopt02.sqm

[15/11/2008 - 17:00:08 | N | 244] C:\sqmnoopt03.sqm

[16/11/2008 - 18:37:55 | N | 244] C:\sqmnoopt04.sqm

[17/11/2008 - 09:19:43 | N | 244] C:\sqmnoopt05.sqm

[17/11/2008 - 09:25:53 | N | 244] C:\sqmnoopt06.sqm

[18/11/2008 - 21:34:43 | N | 244] C:\sqmnoopt07.sqm

[04/01/2009 - 20:05:23 | N | 244] C:\sqmnoopt08.sqm

[05/01/2009 - 18:58:26 | N | 244] C:\sqmnoopt09.sqm

[19/01/2009 - 22:37:44 | N | 244] C:\sqmnoopt10.sqm

[20/01/2009 - 15:31:19 | N | 244] C:\sqmnoopt11.sqm

[20/01/2009 - 20:51:53 | N | 244] C:\sqmnoopt12.sqm

[21/01/2009 - 21:26:05 | N | 244] C:\sqmnoopt13.sqm

[22/01/2009 - 12:34:14 | N | 244] C:\sqmnoopt14.sqm

[23/01/2009 - 00:48:57 | N | 244] C:\sqmnoopt15.sqm

[26/01/2009 - 22:57:16 | N | 244] C:\sqmnoopt16.sqm

[27/01/2009 - 12:43:56 | N | 244] C:\sqmnoopt17.sqm

[27/01/2009 - 21:41:49 | N | 244] C:\sqmnoopt18.sqm

[13/11/2008 - 23:08:39 | N | 244] C:\sqmnoopt19.sqm

[21/11/2006 - 15:40:49 | SHD ] C:\System Volume Information

[08/10/2010 - 20:51:32 | N | 177] C:\TO_InstallLog.txt

[09/08/2011 - 15:20:29 | D ] C:\UsbFix

[09/08/2011 - 14:45:16 | N | 1235521] C:\UsbFix.exe

[09/08/2011 - 15:20:29 | A | 1329] C:\UsbFix.txt

[08/08/2011 - 21:42:50 | D ] C:\WINDOWS

[09/08/2011 - 14:21:12 | D ] C:\ZHP

[02/02/2009 - 12:14:07 | D ] C:\_rpcs

 

################## | Vaccin |

[Apollo]

Stp, ne place pas les rapports entre des balises, merci.

 

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

http://www.teamxscript.org/adremoverTelechargement.html

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur scanner

 

 

Le rapport se trouve aussi sous C:\Ad-Report Scan.

Copie/colle-le dans ta réponse stp.

 

 

----------------------------------------------------

 

2) Relance Ad-Remover et cette fois, clique sur Nettoyer

 

Le bureau va disparaître, c'est normal.

 

Le rapport à poster sera sur C:\Ad-Report Clean.

 

*** Poste les deux rapports stp.

 

-------------------------------------------

Seulement après avoir posté les rapports:

3) Relance Ad-Remover et clique sur Désinstaller.

 

++

[neosapri]

Stp, ne place pas les rapports entre des balises, merci.

 

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

http://www.teamxscript.org/adremoverTelechargement.html

 

 

Désolé pour les balises... je ne le ferai plus :$

 

Sinon, je n'ai pas accès au site de téléchargement (filtre du lieu de travail)...

Y a-t-il un moyen de se le procurer autrement ? (voire le dissimuler dans un fichier zip ou rar et l'envoyer par mail)

 

Merci de ta réponse !

[Apollo]

Ok,

 

donne-moi ton mail par message privé.

 

@+