Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Trojans TR/ATRAPS.Gen et Gen2

benhype

Par benhype
dans Analyses et éradication malwares

 Partager

Messages recommandés

benhype Member

benhype

Posté(e)
  • Auteur
Posté(e)

Voici les rapports Rogues Killer:

 

RogueKiller V8.0.2 [31/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Benoit BARTEAU [Droits d'admin]

Mode : Recherche -- Date : 01/09/2012 11:26:44

 

¤¤¤ Processus malicieux : 1 ¤¤¤

[sUSP PATH] ninyc.exe -- C:\Users\Benoit BARTEAU\AppData\Roaming\Atus\ninyc.exe -> TUÉ [TermProc]

 

¤¤¤ Entrees de registre : 5 ¤¤¤

[RUN][sUSP PATH] HKCU\[...]\Run : Wivuv ("C:\Users\Benoit BARTEAU\AppData\Roaming\Atus\ninyc.exe") -> TROUVÉ

[RUN][sUSP PATH] HKUS\S-1-5-21-2701181367-2656551406-3778408007-1000[...]\Run : Wivuv ("C:\Users\Benoit BARTEAU\AppData\Roaming\Atus\ninyc.exe") -> TROUVÉ

[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST250LT007-9ZV14C +++++

--- User ---

[MBR] b2cdd291be167379e772677ef7e41199

[bSP] bcd3b0bbf4d63131a5420b26f3d7c6ac : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 39 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 81920 | Size: 16016 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 32882688 | Size: 119124 Mo

3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 276848640 | Size: 103294 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: General USB Flash Disk USB Device +++++

--- User ---

[MBR] af2cba9d486121d911172faf5735996b

[bSP] 1cbc1c04aa5ae8782bdfe97f6505e10d : MBR Code unknown

Partition table:

0 - [XXXXXX] UNKNOWN (0x72) [VISIBLE] Offset (sectors): 778135908 | Size: 557377 Mo

1 - [XXXXXX] UNKNOWN (0x65) [VISIBLE] Offset (sectors): 168689522 | Size: 945326 Mo

2 - [XXXXXX] UNKNOWN (0x79) [VISIBLE] Offset (sectors): 1869881465 | Size: 945326 Mo

3 - [XXXXXX] UNKNOWN (0x0d) [VISIBLE] Offset (sectors): 0 | Size: 1775989 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

------------------------------------------------------

RogueKiller V8.0.2 [31/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Benoit BARTEAU [Droits d'admin]

Mode : Suppression -- Date : 01/09/2012 11:27:41

 

¤¤¤ Processus malicieux : 1 ¤¤¤

[sUSP PATH] ninyc.exe -- C:\Users\Benoit BARTEAU\AppData\Roaming\Atus\ninyc.exe -> TUÉ [TermProc]

 

¤¤¤ Entrees de registre : 4 ¤¤¤

[RUN][sUSP PATH] HKCU\[...]\Run : Wivuv ("C:\Users\Benoit BARTEAU\AppData\Roaming\Atus\ninyc.exe") -> SUPPRIMÉ

[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST250LT007-9ZV14C +++++

--- User ---

[MBR] b2cdd291be167379e772677ef7e41199

[bSP] bcd3b0bbf4d63131a5420b26f3d7c6ac : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 39 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 81920 | Size: 16016 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 32882688 | Size: 119124 Mo

3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 276848640 | Size: 103294 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: General USB Flash Disk USB Device +++++

--- User ---

[MBR] af2cba9d486121d911172faf5735996b

[bSP] 1cbc1c04aa5ae8782bdfe97f6505e10d : MBR Code unknown

Partition table:

0 - [XXXXXX] UNKNOWN (0x72) [VISIBLE] Offset (sectors): 778135908 | Size: 557377 Mo

1 - [XXXXXX] UNKNOWN (0x65) [VISIBLE] Offset (sectors): 168689522 | Size: 945326 Mo

2 - [XXXXXX] UNKNOWN (0x79) [VISIBLE] Offset (sectors): 1869881465 | Size: 945326 Mo

3 - [XXXXXX] UNKNOWN (0x0d) [VISIBLE] Offset (sectors): 0 | Size: 1775989 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

 

-------------------------------------------------------------

RogueKiller V8.0.2 [31/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Benoit BARTEAU [Droits d'admin]

Mode : HOSTS RAZ -- Date : 01/09/2012 11:27:45

 

¤¤¤ Processus malicieux : 1 ¤¤¤

[sUSP PATH] ninyc.exe -- C:\Users\Benoit BARTEAU\AppData\Roaming\Atus\ninyc.exe -> TUÉ [TermProc]

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

 

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

 

----------------------------------------------------------------

RogueKiller V8.0.2 [31/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Benoit BARTEAU [Droits d'admin]

Mode : Proxy RAZ -- Date : 01/09/2012 11:27:52

 

¤¤¤ Processus malicieux : 1 ¤¤¤

[sUSP PATH] ninyc.exe -- C:\Users\Benoit BARTEAU\AppData\Roaming\Atus\ninyc.exe -> TUÉ [TermProc]

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

 

 

-----------------------------------------------------------------------

RogueKiller V8.0.2 [31/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Benoit BARTEAU [Droits d'admin]

Mode : DNS RAZ -- Date : 01/09/2012 11:27:54

 

¤¤¤ Processus malicieux : 1 ¤¤¤

[sUSP PATH] ninyc.exe -- C:\Users\Benoit BARTEAU\AppData\Roaming\Atus\ninyc.exe -> TUÉ [TermProc]

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

 

 

----------------------------------------------------------------------------------------

RogueKiller V8.0.2 [31/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Benoit BARTEAU [Droits d'admin]

Mode : Raccourcis RAZ -- Date : 01/09/2012 11:28:09

 

¤¤¤ Processus malicieux : 1 ¤¤¤

[sUSP PATH] ninyc.exe -- C:\Users\Benoit BARTEAU\AppData\Roaming\Atus\ninyc.exe -> TUÉ [TermProc]

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 1 / Fail 0

Lancement rapide: Success 1 / Fail 0

Programmes: Success 8 / Fail 0

Menu demarrer: Success 1 / Fail 0

Dossier utilisateur: Success 73 / Fail 0

Mes documents: Success 0 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 96 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[D:] \Device\CdRom0 -- 0x5 --> Skipped

[E:] \Device\HarddiskVolume4 -- 0x3 --> Restored

[F:] \Device\HarddiskVolume6 -- 0x2 --> Restored

 

¤¤¤ Infection : ¤¤¤

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

 

 

 

--------------------------------------------------------------------------------------

 

Je continue les autres scan

Merci

Lien vers le commentaire
Partager sur d’autres sites

benhype Member

benhype

Posté(e)
  • Auteur
Posté(e)

Voici ADW cleaner:

 

# AdwCleaner v2.000 - Rapport créé le 01/09/2012 à 11:31:45

# Mis à jour le 30/08/2012 par Xplode

# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)

# Nom d'utilisateur : Benoit BARTEAU - PC-ICA-BBA

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\Benoit BARTEAU\Desktop\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Présent : C:\Program Files (x86)\01NET.com

Dossier Présent : C:\Program Files (x86)\Conduit

Dossier Présent : C:\Users\Benoit BARTEAU\AppData\Local\Conduit

Dossier Présent : C:\Users\Benoit BARTEAU\AppData\LocalLow\01NET.com

Dossier Présent : C:\Users\Benoit BARTEAU\AppData\LocalLow\Conduit

Dossier Présent : C:\Users\Benoit BARTEAU\AppData\Roaming\Mozilla\Firefox\Profiles\ga7h8m1z.default-1346425367565\CT3128284

Dossier Présent : C:\Users\Benoit BARTEAU\AppData\Roaming\Mozilla\Firefox\Profiles\ga7h8m1z.default-1346425367565\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}

Dossier Présent : C:\Users\Benoit BARTEAU\AppData\Roaming\Mozilla\Firefox\Profiles\ga7h8m1z.default-1346425367565\Smartbar

Dossier Présent : C:\Users\BENOIT~1\AppData\Local\Temp\CT3128284

Fichier Présent : C:\Users\Benoit BARTEAU\AppData\Roaming\Mozilla\Firefox\Profiles\ga7h8m1z.default-1346425367565\searchplugins\Conduit.xml

 

***** [Registre] *****

 

Clé Présente : HKCU\Software\AppDataLow\Software\01NET.com

Clé Présente : HKCU\Software\AppDataLow\Software\Conduit

Clé Présente : HKCU\Software\AppDataLow\Software\ConduitSearchScopes

Clé Présente : HKCU\Software\AppDataLow\Software\SmartBar

Clé Présente : HKCU\Software\AppDataLow\Toolbar

Clé Présente : HKCU\Software\Conduit

Clé Présente : HKCU\Software\Google\Chrome\Extensions\ehdmaehkiiampolokajdcelladmnopgp

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E5025C2-8EA3-430D-80B8-A14151068A6D}

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E5025C2-8EA3-430D-80B8-A14151068A6D}

Clé Présente : HKLM\Software\01NET.com

Clé Présente : HKLM\SOFTWARE\Classes\Toolbar.CT3128284

Clé Présente : HKLM\Software\Conduit

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{151867D5-7359-40AF-8764-66E58D06283C}

Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{151867D5-7359-40AF-8764-66E58D06283C}

Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{8E5025C2-8EA3-430D-80B8-A14151068A6D}

Clé Présente : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ehdmaehkiiampolokajdcelladmnopgp

Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{55DB1B74-0C44-4FE3-874F-E5978266EB5C}

Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B88FFEB9-34E5-4F38-ACC9-305C7C721F3D}

Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E5025C2-8EA3-430D-80B8-A14151068A6D}

Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\01NET.com Toolbar

Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{8E5025C2-8EA3-430D-80B8-A14151068A6D}]

Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{8E5025C2-8EA3-430D-80B8-A14151068A6D}]

Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{8E5025C2-8EA3-430D-80B8-A14151068A6D}]

Valeur Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{8E5025C2-8EA3-430D-80B8-A14151068A6D}]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT3128284

 

-\\ Mozilla Firefox v15.0 (fr)

 

Nom du profil : default-1346425367565 [Profil par défaut]

Fichier : C:\Users\Benoit BARTEAU\AppData\Roaming\Mozilla\Firefox\Profiles\ga7h8m1z.default-1346425367565\prefs.js

 

Présente : user_pref("CT3128284.1000082.isPlayDisplay", "true");

Présente : user_pref("CT3128284.1000082.state", "{\"state\":\"stopped\",\"text\":\"RMC\",\"description\":\"RMC\[...]

Présente : user_pref("CT3128284.1000234.TWC_TMP_city", "NICE");

Présente : user_pref("CT3128284.1000234.TWC_TMP_country", "FR");

Présente : user_pref("CT3128284.3128284a129638404769606799000000paramsGK0", "{\"updateReqTime\":1346485453677,\[...]

Présente : user_pref("CT3128284.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");

Présente : user_pref("CT3128284.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]

Présente : user_pref("CT3128284.FirstTime", "true");

Présente : user_pref("CT3128284.FirstTimeFF3", "true");

Présente : user_pref("CT3128284.RSS_Pub_Config", "{\"settings\":{\"icon\":\"hxxp://storage.conduit.com/bankimag[...]

Présente : user_pref("CT3128284.RSSapp3128284a129638404769606799000000ReadItemsArr", "%7B%22571787%22%3A0%2C%22[...]

Présente : user_pref("CT3128284.RSSapp3128284a129638404769606799000000cat0", "%5B%7B%22type%22%3A%22rss%22%2C%2[...]

Présente : user_pref("CT3128284.RSSapp3128284a129638404769606799000000cat1", "%5B%7B%22type%22%3A%22rss%22%2C%2[...]

Présente : user_pref("CT3128284.RSSapp3128284a129638404769606799000000embeddedVersion", "2.4.0");

Présente : user_pref("CT3128284.RSSapp3128284a129638404769606799000000feedsObj", "%7B%22channels%22%3A%7B%22id%[...]

Présente : user_pref("CT3128284.RSSapp3128284a129638404769606799000000lastReportTime", "1346485483775 ");

Présente : user_pref("CT3128284.RSSapp3128284a129638404769606799000000newFeeds", "newFeeds");

Présente : user_pref("CT3128284.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT312[...]

Présente : user_pref("CT3128284.UserID", "UN60057459239170861");

Présente : user_pref("CT3128284.addressBarTakeOverEnabledInHidden", "true");

Présente : user_pref("CT3128284.autoDisableScopes", -1);

Présente : user_pref("CT3128284.browser.search.defaultthis.engineName", true);

Présente : user_pref("CT3128284.defaultSearch", "true");

Présente : user_pref("CT3128284.embeddedsData", "[{\"appId\":\"129638404645388048\",\"apiPermissions\":{\"cross[...]

Présente : user_pref("CT3128284.enableAlerts", "always");

Présente : user_pref("CT3128284.enableSearchFromAddressBar", "true");

Présente : user_pref("CT3128284.firstTimeDialogOpened", "true");

Présente : user_pref("CT3128284.fixPageNotFoundError", "true");

Présente : user_pref("CT3128284.fixPageNotFoundErrorInHidden", "true");

Présente : user_pref("CT3128284.fixUrls", true);

Présente : user_pref("CT3128284.installId", "ct3128284_01net.com_s.exe");

Présente : user_pref("CT3128284.installType", "ConduitNSISIntegration");

Présente : user_pref("CT3128284.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");

Présente : user_pref("CT3128284.isNewTabEnabled", true);

Présente : user_pref("CT3128284.isPerformedSmartBarTransition", "true");

Présente : user_pref("CT3128284.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");

Présente : user_pref("CT3128284.keyword", true);

Présente : user_pref("CT3128284.navigationAliasesJson", "{\"EB_SEARCH_TERM\":\"\",\"EB_MAIN_FRAME_URL\":\"\",\"[...]

Présente : user_pref("CT3128284.openThankYouPage", "false");

Présente : user_pref("CT3128284.openUninstallPage", "true");

Présente : user_pref("CT3128284.search.searchAppId", "129638404645388048");

Présente : user_pref("CT3128284.search.searchCount", "0");

Présente : user_pref("CT3128284.searchInNewTabEnabledInHidden", "true");

Présente : user_pref("CT3128284.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");

Présente : user_pref("CT3128284.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]

Présente : user_pref("CT3128284.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"4\[...]

Présente : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]

Présente : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]

Présente : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]

Présente : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]

Présente : user_pref("CT3128284.serviceLayer_service_usage_toolbarUsageCount", "{\"dataType\":\"number\",\"data[...]

Présente : user_pref("CT3128284.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1346485449620");

Présente : user_pref("CT3128284.serviceLayer_services_appsMetadata_lastUpdate", "1346485449272");

Présente : user_pref("CT3128284.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1346485450074");

Présente : user_pref("CT3128284.serviceLayer_services_login_10.10.27.503_lastUpdate", "1346485451989");

Présente : user_pref("CT3128284.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1346485450110");

Présente : user_pref("CT3128284.serviceLayer_services_searchAPI_lastUpdate", "1346485448605");

Présente : user_pref("CT3128284.serviceLayer_services_serviceMap_lastUpdate", "1346485448379");

Présente : user_pref("CT3128284.serviceLayer_services_toolbarContextMenu_lastUpdate", "1346485450048");

Présente : user_pref("CT3128284.serviceLayer_services_toolbarSettings_lastUpdate", "1346485448662");

Présente : user_pref("CT3128284.serviceLayer_services_translation_lastUpdate", "1346485449596");

Présente : user_pref("CT3128284.settingsINI", true);

Présente : user_pref("CT3128284.shouldFirstTimeDialog", "false");

Présente : user_pref("CT3128284.smartbar.CTID", "CT3128284");

Présente : user_pref("CT3128284.smartbar.Uninstall", "0");

Présente : user_pref("CT3128284.smartbar.homepage", true);

Présente : user_pref("CT3128284.smartbar.toolbarName", "01NET.com ");

Présente : user_pref("CT3128284.toolbarBornServerTime", "1-9-2012");

Présente : user_pref("CT3128284.toolbarCurrentServerTime", "1-9-2012");

Présente : user_pref("CT3128284.toolbarDisabled", "true");

Présente : user_pref("CT3128284.twitter_v1.8.0_twitter_app_open_t_f", "false");

Présente : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=1[...]

Présente : user_pref("Smartbar.ConduitSearchEngineList", "01NET.com Customized Web Search");

Présente : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284[...]

Présente : user_pref("Smartbar.keywordURLSelectedCTID", "CT3128284");

Présente : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=[...]

 

*************************

 

AdwCleaner[R1].txt - [10732 octets] - [01/09/2012 11:31:45]

 

########## EOF - C:\AdwCleaner[R1].txt - [10793 octets] ##########

 

 

 

# AdwCleaner v2.000 - Rapport créé le 01/09/2012 à 11:33:07

# Mis à jour le 30/08/2012 par Xplode

# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)

# Nom d'utilisateur : Benoit BARTEAU - PC-ICA-BBA

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\Benoit BARTEAU\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Program Files (x86)\01NET.com

Dossier Supprimé : C:\Program Files (x86)\Conduit

Dossier Supprimé : C:\Users\Benoit BARTEAU\AppData\Local\Conduit

Dossier Supprimé : C:\Users\Benoit BARTEAU\AppData\LocalLow\01NET.com

Dossier Supprimé : C:\Users\Benoit BARTEAU\AppData\LocalLow\Conduit

Dossier Supprimé : C:\Users\Benoit BARTEAU\AppData\Roaming\Mozilla\Firefox\Profiles\ga7h8m1z.default-1346425367565\CT3128284

Dossier Supprimé : C:\Users\Benoit BARTEAU\AppData\Roaming\Mozilla\Firefox\Profiles\ga7h8m1z.default-1346425367565\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}

Dossier Supprimé : C:\Users\Benoit BARTEAU\AppData\Roaming\Mozilla\Firefox\Profiles\ga7h8m1z.default-1346425367565\Smartbar

Dossier Supprimé : C:\Users\BENOIT~1\AppData\Local\Temp\CT3128284

Fichier Supprimé : C:\Users\Benoit BARTEAU\AppData\Roaming\Mozilla\Firefox\Profiles\ga7h8m1z.default-1346425367565\searchplugins\Conduit.xml

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\AppDataLow\Software\01NET.com

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit

Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes

Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar

Clé Supprimée : HKCU\Software\AppDataLow\Toolbar

Clé Supprimée : HKCU\Software\Conduit

Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\ehdmaehkiiampolokajdcelladmnopgp

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E5025C2-8EA3-430D-80B8-A14151068A6D}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E5025C2-8EA3-430D-80B8-A14151068A6D}

Clé Supprimée : HKLM\Software\01NET.com

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3128284

Clé Supprimée : HKLM\Software\Conduit

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{151867D5-7359-40AF-8764-66E58D06283C}

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{151867D5-7359-40AF-8764-66E58D06283C}

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{8E5025C2-8EA3-430D-80B8-A14151068A6D}

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ehdmaehkiiampolokajdcelladmnopgp

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{55DB1B74-0C44-4FE3-874F-E5978266EB5C}

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B88FFEB9-34E5-4F38-ACC9-305C7C721F3D}

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E5025C2-8EA3-430D-80B8-A14151068A6D}

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\01NET.com Toolbar

Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{8E5025C2-8EA3-430D-80B8-A14151068A6D}]

Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{8E5025C2-8EA3-430D-80B8-A14151068A6D}]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{8E5025C2-8EA3-430D-80B8-A14151068A6D}]

Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{8E5025C2-8EA3-430D-80B8-A14151068A6D}]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

Restauré : [HKCU\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Restauré : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Restauré : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Restauré : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Restauré : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT3128284 --> hxxp://www.google.com

 

-\\ Mozilla Firefox v15.0 (fr)

 

Nom du profil : default-1346425367565 [Profil par défaut]

Fichier : C:\Users\Benoit BARTEAU\AppData\Roaming\Mozilla\Firefox\Profiles\ga7h8m1z.default-1346425367565\prefs.js

 

C:\Users\Benoit BARTEAU\AppData\Roaming\Mozilla\Firefox\Profiles\ga7h8m1z.default-1346425367565\user.js ... Supprimé !

 

Supprimée : user_pref("CT3128284.1000082.isPlayDisplay", "true");

Supprimée : user_pref("CT3128284.1000082.state", "{\"state\":\"stopped\",\"text\":\"RMC\",\"description\":\"RMC\[...]

Supprimée : user_pref("CT3128284.1000234.TWC_TMP_city", "NICE");

Supprimée : user_pref("CT3128284.1000234.TWC_TMP_country", "FR");

Supprimée : user_pref("CT3128284.3128284a129638404769606799000000paramsGK0", "{\"updateReqTime\":1346485453677,\[...]

Supprimée : user_pref("CT3128284.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");

Supprimée : user_pref("CT3128284.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]

Supprimée : user_pref("CT3128284.FirstTime", "true");

Supprimée : user_pref("CT3128284.FirstTimeFF3", "true");

Supprimée : user_pref("CT3128284.RSS_Pub_Config", "{\"settings\":{\"icon\":\"hxxp://storage.conduit.com/bankimag[...]

Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000ReadItemsArr", "%7B%22571787%22%3A0%2C%22[...]

Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000cat0", "%5B%7B%22type%22%3A%22rss%22%2C%2[...]

Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000cat1", "%5B%7B%22type%22%3A%22rss%22%2C%2[...]

Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000embeddedVersion", "2.4.0");

Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000feedsObj", "%7B%22channels%22%3A%7B%22id%[...]

Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000lastReportTime", "1346485483775 ");

Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000newFeeds", "newFeeds");

Supprimée : user_pref("CT3128284.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT312[...]

Supprimée : user_pref("CT3128284.UserID", "UN60057459239170861");

Supprimée : user_pref("CT3128284.addressBarTakeOverEnabledInHidden", "true");

Supprimée : user_pref("CT3128284.autoDisableScopes", -1);

Supprimée : user_pref("CT3128284.browser.search.defaultthis.engineName", true);

Supprimée : user_pref("CT3128284.defaultSearch", "true");

Supprimée : user_pref("CT3128284.embeddedsData", "[{\"appId\":\"129638404645388048\",\"apiPermissions\":{\"cross[...]

Supprimée : user_pref("CT3128284.enableAlerts", "always");

Supprimée : user_pref("CT3128284.enableSearchFromAddressBar", "true");

Supprimée : user_pref("CT3128284.firstTimeDialogOpened", "true");

Supprimée : user_pref("CT3128284.fixPageNotFoundError", "true");

Supprimée : user_pref("CT3128284.fixPageNotFoundErrorInHidden", "true");

Supprimée : user_pref("CT3128284.fixUrls", true);

Supprimée : user_pref("CT3128284.installId", "ct3128284_01net.com_s.exe");

Supprimée : user_pref("CT3128284.installType", "ConduitNSISIntegration");

Supprimée : user_pref("CT3128284.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");

Supprimée : user_pref("CT3128284.isNewTabEnabled", true);

Supprimée : user_pref("CT3128284.isPerformedSmartBarTransition", "true");

Supprimée : user_pref("CT3128284.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");

Supprimée : user_pref("CT3128284.keyword", true);

Supprimée : user_pref("CT3128284.navigationAliasesJson", "{\"EB_SEARCH_TERM\":\"\",\"EB_MAIN_FRAME_URL\":\"\",\"[...]

Supprimée : user_pref("CT3128284.openThankYouPage", "false");

Supprimée : user_pref("CT3128284.openUninstallPage", "true");

Supprimée : user_pref("CT3128284.search.searchAppId", "129638404645388048");

Supprimée : user_pref("CT3128284.search.searchCount", "0");

Supprimée : user_pref("CT3128284.searchInNewTabEnabledInHidden", "true");

Supprimée : user_pref("CT3128284.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");

Supprimée : user_pref("CT3128284.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]

Supprimée : user_pref("CT3128284.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"4\[...]

Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]

Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]

Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]

Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]

Supprimée : user_pref("CT3128284.serviceLayer_service_usage_toolbarUsageCount", "{\"dataType\":\"number\",\"data[...]

Supprimée : user_pref("CT3128284.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1346485449620");

Supprimée : user_pref("CT3128284.serviceLayer_services_appsMetadata_lastUpdate", "1346485449272");

Supprimée : user_pref("CT3128284.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1346485450074");

Supprimée : user_pref("CT3128284.serviceLayer_services_login_10.10.27.503_lastUpdate", "1346485451989");

Supprimée : user_pref("CT3128284.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1346485450110");

Supprimée : user_pref("CT3128284.serviceLayer_services_searchAPI_lastUpdate", "1346485448605");

Supprimée : user_pref("CT3128284.serviceLayer_services_serviceMap_lastUpdate", "1346485448379");

Supprimée : user_pref("CT3128284.serviceLayer_services_toolbarContextMenu_lastUpdate", "1346485450048");

Supprimée : user_pref("CT3128284.serviceLayer_services_toolbarSettings_lastUpdate", "1346485448662");

Supprimée : user_pref("CT3128284.serviceLayer_services_translation_lastUpdate", "1346485449596");

Supprimée : user_pref("CT3128284.settingsINI", true);

Supprimée : user_pref("CT3128284.shouldFirstTimeDialog", "false");

Supprimée : user_pref("CT3128284.smartbar.CTID", "CT3128284");

Supprimée : user_pref("CT3128284.smartbar.Uninstall", "0");

Supprimée : user_pref("CT3128284.smartbar.homepage", true);

Supprimée : user_pref("CT3128284.smartbar.toolbarName", "01NET.com ");

Supprimée : user_pref("CT3128284.toolbarBornServerTime", "1-9-2012");

Supprimée : user_pref("CT3128284.toolbarCurrentServerTime", "1-9-2012");

Supprimée : user_pref("CT3128284.toolbarDisabled", "true");

Supprimée : user_pref("CT3128284.twitter_v1.8.0_twitter_app_open_t_f", "false");

Supprimée : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=1[...]

Supprimée : user_pref("Smartbar.ConduitSearchEngineList", "01NET.com Customized Web Search");

Supprimée : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284[...]

Supprimée : user_pref("Smartbar.keywordURLSelectedCTID", "CT3128284");

Supprimée : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=[...]

 

*************************

 

AdwCleaner[R1].txt - [10863 octets] - [01/09/2012 11:31:45]

AdwCleaner[s2].txt - [11704 octets] - [01/09/2012 11:33:07]

 

########## EOF - C:\AdwCleaner[s2].txt - [11765 octets] ##########

 

La suite va suivre !!

Lien vers le commentaire
Partager sur d’autres sites
benhype Member

benhype

Posté(e)
  • Auteur
Posté(e)

MBAM est en train de tourner sur le PC portable.

Je vous remercie encore une fois pour votre aide. Je ne sais pas si les logiciels ont effectivement éradiqué des malwares mais je m'interroge sur le fait que les 2 PC que j'utilisent se soit retrouvés potentiellement infectés le même jour. Alors même que depuis le début de la semaine, je n'avais pas allumé mon PC portable pro chez moi. Le seul lien entre mon PC perso et PC portable pro étant via Dropbox, pensez vous que cela puisse venir de là ? par contre ce matin, j'ai utilisé une clé USB pour transférer le rapport Hijackthis de mon PC portable sur le PC fixe afin de le poster étant donné que firefox ne fonctionnait pas. Pensez vous que j'ai pu infecter mon PC fixe ? Pour les autres rapports, je n'ai pas utilisé la clé USB car Internet explorer semble fonctionner beaucoup mieux que firefox et thunderbird et donc je les postés via IE. A noter que les autres programmes, Office par exemple ne semble pas être affectés par le ralentissemnt ou bug d'ouverture.

Sinon, avant de procéder à toutes les analyses, j'ai voulu télécharger Rogue Killer, ADW et MBAM grâce aux liens fournis. Cela a fonctionné pour Rogue et ADW mais pas pour MBAM. Pour ce dernier, j'avais une erreur 404 google. Cependant, après avoir exécuter Rogue et ADW, le lien a fonctionné comme par magie !!! J'en déduit que c'était le malware qui bloquait l'accès aux sites de MBAM ?

 

L'ingéniosité des pirates ne semble pas avoir de limites mais cela reste avant tout des Hommes qui peuvent, par conséquent, être contrés par d'autres personnes telles que vous. Je vous remercie encore pour aide,

Lien vers le commentaire
Partager sur d’autres sites
benhype Member

benhype

Posté(e)
  • Auteur
Posté(e)

Voici le dernier rapport, celui de MBAM:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.09.01.02

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Benoit BARTEAU :: PC-ICA-BBA [administrateur]

 

01/09/2012 11:42:33

mbam-log-2012-09-01 (11-42-33).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 327286

Temps écoulé: 29 minute(s), 33 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

 

 

Je n'ai pas fait de nettoyage comme tout à l'air clean

Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e)

oui.

 

Eviter de télécharger à partie de sies à risque comme, 01.net, Softonic, Télécharger.com etc..

Privilégier le site de l'auteur.

Attention à cocher ou décocher(suivant le cas) l'installation de programmes annexes, potentiellement dangereux.

 

Une liste de logiciels et les barres d'outils embarquées

Lien vers le commentaire
Partager sur d’autres sites
benhype Member

benhype

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Désolé mais c'est encore moi. en effet, ce matin, après avoir allumé mon PC au boulot, j'ai une alerte AVIRA et après avoir réalisé un scan complet, voici ce que j'obtiens:

 

 

Avira Free Antivirus

Date de création du fichier de rapport : lundi 3 septembre 2012 11:58

 

La recherche porte sur 4209499 souches de virus.

 

Le programme fonctionne en version intégrale illimitée.

Les services en ligne sont disponibles.

 

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows 7 Professional

Version de Windows : (Service Pack 1) [6.1.7601]

Mode Boot : Démarré normalement

Identifiant : Benoit BARTEAU

Nom de l'ordinateur : PC-ICA-BBA

 

Informations de version :

BUILD.DAT : 12.0.0.348 40868 Bytes 23/07/2012 15:03:00

AVSCAN.EXE : 12.3.0.33 468472 Bytes 15/08/2012 20:39:40

AVSCAN.DLL : 12.3.0.15 65488 Bytes 15/08/2012 20:39:40

LUKE.DLL : 12.3.0.15 68304 Bytes 15/08/2012 20:39:40

AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09/05/2012 06:08:14

AVREG.DLL : 12.3.0.17 232200 Bytes 14/05/2012 05:47:13

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:18:34

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 08:07:39

VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 11:53:11

VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 11:53:11

VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 05:53:10

VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 12:57:57

VBASE006.VDF : 7.11.34.117 2048 Bytes 29/06/2012 12:57:57

VBASE007.VDF : 7.11.34.118 2048 Bytes 29/06/2012 12:57:57

VBASE008.VDF : 7.11.34.119 2048 Bytes 29/06/2012 12:57:57

VBASE009.VDF : 7.11.34.120 2048 Bytes 29/06/2012 12:57:57

VBASE010.VDF : 7.11.34.121 2048 Bytes 29/06/2012 12:57:57

VBASE011.VDF : 7.11.34.122 2048 Bytes 29/06/2012 12:57:57

VBASE012.VDF : 7.11.34.123 2048 Bytes 29/06/2012 12:57:57

VBASE013.VDF : 7.11.34.124 2048 Bytes 29/06/2012 12:57:57

VBASE014.VDF : 7.11.38.18 2554880 Bytes 30/07/2012 06:16:52

VBASE015.VDF : 7.11.38.70 556032 Bytes 31/07/2012 00:09:12

VBASE016.VDF : 7.11.38.143 171008 Bytes 02/08/2012 00:09:14

VBASE017.VDF : 7.11.38.221 178176 Bytes 06/08/2012 00:09:17

VBASE018.VDF : 7.11.39.37 168448 Bytes 08/08/2012 00:09:23

VBASE019.VDF : 7.11.39.89 131072 Bytes 09/08/2012 00:09:39

VBASE020.VDF : 7.11.39.145 142336 Bytes 11/08/2012 20:39:39

VBASE021.VDF : 7.11.39.207 165888 Bytes 14/08/2012 20:39:39

VBASE022.VDF : 7.11.40.9 156160 Bytes 16/08/2012 06:06:01

VBASE023.VDF : 7.11.40.49 133120 Bytes 17/08/2012 06:06:01

VBASE024.VDF : 7.11.40.95 156160 Bytes 20/08/2012 06:04:07

VBASE025.VDF : 7.11.40.155 181760 Bytes 22/08/2012 06:34:47

VBASE026.VDF : 7.11.40.205 203264 Bytes 23/08/2012 06:34:15

VBASE027.VDF : 7.11.41.29 188416 Bytes 27/08/2012 14:06:01

VBASE028.VDF : 7.11.41.87 250368 Bytes 30/08/2012 14:06:03

VBASE029.VDF : 7.11.41.147 236544 Bytes 03/09/2012 06:34:21

VBASE030.VDF : 7.11.41.148 2048 Bytes 03/09/2012 06:34:21

VBASE031.VDF : 7.11.41.156 41984 Bytes 03/09/2012 06:34:21

Version du moteur : 8.2.10.150

AEVDF.DLL : 8.1.2.10 102772 Bytes 16/07/2012 09:43:35

AESCRIPT.DLL : 8.1.4.46 455034 Bytes 27/08/2012 14:06:01

AESCN.DLL : 8.1.8.2 131444 Bytes 26/03/2012 11:53:12

AESBX.DLL : 8.2.5.12 606578 Bytes 19/06/2012 05:44:12

AERDL.DLL : 8.1.9.15 639348 Bytes 08/09/2011 20:16:06

AEPACK.DLL : 8.3.0.32 811382 Bytes 27/08/2012 14:06:01

AEOFFICE.DLL : 8.1.2.42 201083 Bytes 20/07/2012 08:15:38

AEHEUR.DLL : 8.1.4.94 5230967 Bytes 30/08/2012 14:06:36

AEHELP.DLL : 8.1.23.2 258422 Bytes 01/07/2012 12:58:00

AEGEN.DLL : 8.1.5.36 434549 Bytes 27/08/2012 14:06:00

AEEXP.DLL : 8.1.0.84 90485 Bytes 30/08/2012 14:06:37

AEEMU.DLL : 8.1.3.2 393587 Bytes 16/07/2012 09:43:33

AECORE.DLL : 8.1.27.4 201078 Bytes 10/08/2012 00:09:51

AEBB.DLL : 8.1.1.0 53618 Bytes 01/09/2011 20:46:01

AVWINLL.DLL : 12.3.0.15 27344 Bytes 15/08/2012 20:39:39

AVPREF.DLL : 12.3.0.15 51920 Bytes 15/08/2012 20:39:40

AVREP.DLL : 12.3.0.15 179208 Bytes 09/05/2012 06:06:55

AVARKT.DLL : 12.3.0.15 211408 Bytes 15/08/2012 20:39:39

AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 15/08/2012 20:39:40

SQLITE3.DLL : 3.7.0.1 398288 Bytes 15/08/2012 20:39:40

AVSMTP.DLL : 12.3.0.32 63992 Bytes 15/08/2012 20:39:40

NETNT.DLL : 12.3.0.15 17104 Bytes 15/08/2012 20:39:40

RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 19/09/2011 23:36:03

RCTEXT.DLL : 12.3.0.31 101368 Bytes 15/08/2012 20:39:39

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: C:\program files (x86)\avira\antivir desktop\sysscan.avp

Documentation.................................: par défaut

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, E:,

Recherche dans les programmes actifs..........: marche

Programmes en cours étendus...................: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: avancé

 

Début de la recherche : lundi 3 septembre 2012 11:58

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'E:\'

[iNFO] Aucun virus trouvé !

 

La recherche d'objets cachés commence.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '82' module(s) sont contrôlés

Processus de recherche 'EXCEL.EXE' - '101' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '116' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '105' module(s) sont contrôlés

Processus de recherche 'UNS.exe' - '66' module(s) sont contrôlés

Processus de recherche 'LMS.exe' - '34' module(s) sont contrôlés

Processus de recherche 'RunDll32.exe' - '33' module(s) sont contrôlés

Processus de recherche 'thunderbird.exe' - '110' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '83' module(s) sont contrôlés

Processus de recherche 'acrotray.exe' - '28' module(s) sont contrôlés

Processus de recherche 'PDVD9Serv.exe' - '27' module(s) sont contrôlés

Processus de recherche 'WebcamDell2.exe' - '45' module(s) sont contrôlés

Processus de recherche 'Dropbox.exe' - '72' module(s) sont contrôlés

Processus de recherche 'FF_Protection.exe' - '30' module(s) sont contrôlés

Processus de recherche 'SDIOAssist.exe' - '31' module(s) sont contrôlés

Processus de recherche 'srvany.exe' - '17' module(s) sont contrôlés

Processus de recherche 'o2flash.exe' - '24' module(s) sont contrôlés

Processus de recherche 'jhi_service.exe' - '29' module(s) sont contrôlés

Processus de recherche 'SeaPort.EXE' - '44' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '66' module(s) sont contrôlés

Processus de recherche 'armsvc.exe' - '24' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '42' module(s) sont contrôlés

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '2087' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <OS>

C:\$Recycle.Bin\S-1-5-21-2701181367-2656551406-3778408007-1000\$RK2CN6L\ninyc.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Spy.ZBot.esya

C:\Users\Benoit BARTEAU\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\11d41fde-15c5a737

[0] Type d'archive: ZIP

--> Anarhis.class

[RESULTAT] Contient le modèle de détection de l'exploit EXP/2010-0840.CR.2

--> Frenk.class

[RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2012-4681.E

--> Ini.class

[RESULTAT] Contient le modèle de détection de l'exploit EXP/2012-4681.J

C:\Users\Benoit BARTEAU\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\6a2468e2-224a06ca

[RESULTAT] Contient le cheval de Troie TR/Spy.ZBot.esya

Recherche débutant dans 'E:\' <DATA>

 

Début de la désinfection :

C:\Users\Benoit BARTEAU\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\6a2468e2-224a06ca

[RESULTAT] Contient le cheval de Troie TR/Spy.ZBot.esya

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '56763654.qua' !

C:\Users\Benoit BARTEAU\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\11d41fde-15c5a737

[RESULTAT] Contient le modèle de détection de l'exploit EXP/2010-0840.CR.2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e3f1923.qua' !

C:\$Recycle.Bin\S-1-5-21-2701181367-2656551406-3778408007-1000\$RK2CN6L\ninyc.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Spy.ZBot.esya

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '1c7a4303.qua' !

 

 

Fin de la recherche : lundi 3 septembre 2012 13:32

Temps nécessaire: 35:57 Minute(s)

 

La recherche a été effectuée intégralement

 

27279 Les répertoires ont été contrôlés

406729 Des fichiers ont été contrôlés

6 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

3 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

406723 Fichiers non infectés

3845 Les archives ont été contrôlées

0 Avertissements

3 Consignes

581538 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

 

 

 

J'ai donc ce soir réalisé un ZHP diag comme la première fois:

pjjoint.malekal.com - Submit a file

 

Est ce grave ?

 

Merci

Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

zhp0710.png

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H- PanelHelper.jpg

 

[MD5.66C9E8AE755C0901C717FAFE7B1F2BF5] [APT] [{5B8AA819-06B6-4ADA-953C-457C8513A331}] (...) -- C:\Users\Benoit BARTEAU\Downloads\setup.exe => Infection Rogue (Rogue.Installer)

O44 - LFC:[MD5.A103FDF7348130EF3F3FEF56B1700A27] - 01/09/2012 - 08:44:09 ---A- . (...) -- C:\END [9] => Infection FakeAlert (Trojan.FakeAlert)

[MD5.9B0355C4EB74CB09D844B3E4B3F1CEB7] [sPRF][30/08/2012] (.Conduit - 01NET.com Toolbar.) -- C:\Users\Benoit BARTEAU\AppData\Local\Temp\01NET.com.exe [2154904] => Infection Rogue (Trojan.Dropper)

O4 - Global Startup: C:\Users\Benoit BARTEAU\Desktop\barteau-b (cronos.irt.univ-nantes.prive) (W) - Raccourci.lnk . (...) -- W:\ (.not file.) => Fichier absent

O4 - Global Startup: C:\Users\Benoit BARTEAU\Desktop\incellart (cronos.irt.univ-nantes.prive) (V) - Raccourci.lnk . (...) -- V:\ (.not file.) => Fichier absent

O69 - SBI: SearchScopes [HKCU] {6F16F5E7-A0C5-4B26-8167-B57D3BF7426C} - (01NET.com Customized Web Search) - http://search.conduit.com => Toolbar.Conduit

[MD5.132E1C3A27E824EB6B120226AC368593] [sPRF][12/03/2012] (.Conduit - Pas de description.) -- C:\Users\Benoit BARTEAU\AppData\Local\Temp\conduitinstaller.exe [211032]

 

 

SysRestore

EmptyFlash

EmptyTemp

FirewallRaz

Proxyfix

Hostfix

110926125340285987.jpg

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

110515101159971677.jpg

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Capture1Rapport.JPG

Si le rapport n'apparait pas,cliquer surPanelRapport.jpg

Copier-coller le rapport de suppression dans la prochaine réponse.

 

Java probablement pas à jour.

Evitez O1.net, télécharger.com, Softonic etc..

 

Ceci va vérifier si les logiciels sont à jour ou non et l'indiquer sur l'interface graphique ou sur un rapport.

Des boutons permettent alors un accès direct au lancement de la mise à jour ou au téléchargement de celle-ci selon. (Flash player, ouverture du ou des navigateurs dont l'activeX et/ou le plugin n'est pas à jour.

120106105741664214.jpg

Télécharger Sx Checkupdate

Cliquez sur Rapports

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites
benhype Member

benhype

Posté(e)
  • Auteur
Posté(e)

Voici le rapport qui était sur le bureau.

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012

Fichier d'export Registre :

Run by Benoit BARTEAU at 04/09/2012 12:11:04

Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Processus mémoire ==========

SUPPRIME Memory Process: C:\Users\Benoit BARTEAU\Downloads\setup.exe

SUPPRIME Memory Process: C:\Users\Benoit BARTEAU\AppData\Local\Temp\01NET.com.exe

SUPPRIME Memory Process: C:\Users\Benoit BARTEAU\AppData\Local\Temp\conduitinstaller.exe

 

========== Clé(s) du Registre ==========

SUPPRIME Key*: SearchScopes :{6F16F5E7-A0C5-4B26-8167-B57D3BF7426C}

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

ProxyFix : Configuration proxy supprimée avec succès

SUPPRIME ProxyServer Value

SUPPRIME ProxyEnable Value

SUPPRIME EnableHttp1_1 Value

SUPPRIME ProxyHttp1.1 Value

SUPPRIME ProxyOverride Value

 

========== Dossier(s) ==========

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Fichier(s) ==========

SUPPRIME File***: c:\users\benoit barteau\downloads\setup.exe

SUPPRIME File: c:\end

SUPPRIME File: c:\users\benoit barteau\appdata\local\temp\01net.com.exe

SUPPRIME File: c:\users\benoit barteau\desktop\barteau-b (cronos.irt.univ-nantes.prive) (w) - raccourci.lnk

ABSENT File: w:\ (.not file.)

SUPPRIME File: c:\users\benoit barteau\desktop\incellart (cronos.irt.univ-nantes.prive) (v) - raccourci.lnk

ABSENT File: v:\ (.not file.)

SUPPRIME File***: c:\users\benoit barteau\appdata\local\temp\conduitinstaller.exe

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Tache planifiée ==========

SUPPRIME Task: {5B8AA819-06B6-4ADA-953C-457C8513A331}

 

========== Restauration Système ==========

Point de restauration du système créé avec succès

 

 

========== Récapitulatif ==========

3 : Processus mémoire

1 : Clé(s) du Registre

8 : Valeur(s) du Registre

2 : Dossier(s)

10 : Fichier(s)

1 : Tache planifiée

1 : Restauration Système

 

 

End of clean in 00mn 10s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 04/09/2012 12:11:04 [2239]

 

QUand je clique sur le rapport de suppression après le redémarrage du PC, je n'ai pas de rapport de suppression qui apparait.

Je vais télécharger votre outil. Mais que pensez vous de Secunia PSI ? Je l'utilise sur mon PC fixe et je trouve cela pas mal ,

 

Merci beaucoup,

Lien vers le commentaire
Partager sur d’autres sites
benhype Member

benhype

Posté(e)
  • Auteur
Posté(e)

Et voici le rapport de Sécurity X

 

SX Check&Update

Lien vers le tutoriel : Tutoriels - Security-X - Page 1

---

Windows Version : Windows 7 64bits

Service Pack : 1

UserName : Benoit BARTEAU

04/09/2012

13:59:15

version = v0.2.4

---

Windows Update Information :

AUOptions : 4

Automatically, no notification

---

 

---

Name : FlashPlayer ActiveX

Version : 11.4.402.265

Flash Player ActiveX n'est pas à jour! (11.3.300.257)

 

Name : FlashPlayer Plugin FF

Version : 11.4.402.265

Flash Player Plugin FF n'est pas à jour! (11.3.300.262)

 

Name : FlashPlayer Plugin

Version : 11.4.402.265

Flash Player Plugin n'est pas à jour! (11.3.300.257)

 

Nom : Mozilla Firefox 15.0 (x86 fr)

Version : 15.0

 

Nom : Mozilla Thunderbird 15.0 (x86 fr)

Version : 15.0

 

Nom : Mozilla Maintenance Service

Version : 15.0

 

Nom : Adobe Acrobat X Standard - English, Français, Deutsch

Version : 10.1.4

Adobe Reader n'est pas à jour! (10.1.3)

 

Nom : Internet Explorer

Version : 9.0.8112.16421

 

 

 

Merci

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...