[Résolu] Trojan « Startpage »

[Tovar]

Bonjour à tous,

 

Sous Windows 7 64 bit, je suis complètement bloquée avec le Trojan "Startpage" qui change le moteur de recherche de mon navigateur (que ce soit EI ou Chrome) ainsi que ma page d'accueil et qui ralentit énormément ma connexion.

 

1 Même si je modifie les paramètres, quand je ferme et réouvre le navigateur, startpage est de retour.

 

2 AVIRA l'a détecté et théoriquement supprimé mais il perturbe toujours mes navigateurs.

Dans le rapport Avira :

Module infecté -> <C:\Users\Sarah\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sarah.exe>

[RESULTAT] Contient le cheval de Troie TR/Comitsproc.A.608

[REMARQUE] Le processus 'Sarah.exe' a été arrêté

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '7bdd1605.qua' !

 

3 Du coup j'ai fait quelques recherches et malheureusement les solutions proposées n'ont pas réglé le problème :

- désactiver la restauration système.

- démarrer en mode sans échec puis scanner avec l'antivirus.

- supprimer le programme.

- Exécuter hihJackthis et supprimer les fichiers malware restants

 

 

------------------------------------------------------------------

------------------------------------------------------------------

 

 

 

Rapport Avira :

 

 

 

Avira Free Antivirus

Date de création du fichier de rapport : samedi 9 mars 2013 20:24

 

 

Le programme fonctionne en version intégrale illimitée.

Les services en ligne sont disponibles.

 

Détenteur de la licence : Avira Free Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows 7 Home Premium

Version de Windows : (Service Pack 1) [6.1.7601]

Mode Boot : Démarré normalement

Identifiant : Système

Nom de l'ordinateur : FREDW

 

Informations de version :

BUILD.DAT : 13.0.0.2516 47702 Bytes 31/01/2013 15:36:00

AVSCAN.EXE : 13.6.0.584 640224 Bytes 27/02/2013 10:15:35

AVSCANRC.DLL : 13.4.0.360 65312 Bytes 27/02/2013 10:15:35

LUKE.DLL : 13.6.0.602 67808 Bytes 27/02/2013 10:15:52

AVSCPLR.DLL : 13.6.0.628 94432 Bytes 27/02/2013 10:16:18

AVREG.DLL : 13.6.0.600 250592 Bytes 27/02/2013 10:16:17

avlode.dll : 13.6.2.624 434912 Bytes 27/02/2013 10:16:19

avlode.rdf : 13.0.0.38 15231 Bytes 27/02/2013 10:16:18

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 10:13:59

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 10:14:14

VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 10:14:30

VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 10:14:35

VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 10:14:40

VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 10:14:44

VBASE006.VDF : 7.11.41.250 4902400 Bytes 06/09/2012 10:14:50

VBASE007.VDF : 7.11.50.230 3904512 Bytes 22/11/2012 10:14:54

VBASE008.VDF : 7.11.60.10 6627328 Bytes 07/02/2013 10:15:01

VBASE009.VDF : 7.11.60.11 2048 Bytes 07/02/2013 10:15:02

VBASE010.VDF : 7.11.60.12 2048 Bytes 07/02/2013 10:15:02

VBASE011.VDF : 7.11.60.13 2048 Bytes 07/02/2013 10:15:02

VBASE012.VDF : 7.11.60.14 2048 Bytes 07/02/2013 10:15:02

VBASE013.VDF : 7.11.60.62 351232 Bytes 08/02/2013 10:15:02

VBASE014.VDF : 7.11.60.115 190976 Bytes 09/02/2013 10:15:03

VBASE015.VDF : 7.11.60.177 282624 Bytes 11/02/2013 10:15:03

VBASE016.VDF : 7.11.60.249 215552 Bytes 13/02/2013 10:15:03

VBASE017.VDF : 7.11.61.65 151040 Bytes 15/02/2013 10:15:04

VBASE018.VDF : 7.11.61.135 159232 Bytes 18/02/2013 10:15:04

VBASE019.VDF : 7.11.61.163 152064 Bytes 18/02/2013 10:15:04

VBASE020.VDF : 7.11.61.207 164352 Bytes 19/02/2013 10:15:04

VBASE021.VDF : 7.11.62.43 206336 Bytes 21/02/2013 10:15:05

VBASE022.VDF : 7.11.62.111 136192 Bytes 23/02/2013 10:15:05

VBASE023.VDF : 7.11.62.157 143360 Bytes 25/02/2013 10:15:05

VBASE024.VDF : 7.11.62.237 199168 Bytes 27/02/2013 10:15:05

VBASE025.VDF : 7.11.63.71 209408 Bytes 01/03/2013 21:10:52

VBASE026.VDF : 7.11.63.121 257536 Bytes 04/03/2013 12:52:21

VBASE027.VDF : 7.11.63.211 212480 Bytes 06/03/2013 16:38:09

VBASE028.VDF : 7.11.64.21 198656 Bytes 08/03/2013 17:15:09

VBASE029.VDF : 7.11.64.22 2048 Bytes 08/03/2013 17:15:09

VBASE030.VDF : 7.11.64.23 2048 Bytes 08/03/2013 17:15:09

VBASE031.VDF : 7.11.64.68 167936 Bytes 09/03/2013 17:32:15

Version du moteur : 8.2.12.14

AEVDF.DLL : 8.1.2.10 102772 Bytes 27/02/2013 10:15:12

AESCRIPT.DLL : 8.1.4.96 471420 Bytes 08/03/2013 17:15:16

AESCN.DLL : 8.1.10.0 131445 Bytes 27/02/2013 10:15:11

AESBX.DLL : 8.2.5.12 606578 Bytes 27/02/2013 10:15:12

AERDL.DLL : 8.2.0.88 643444 Bytes 27/02/2013 10:15:11

AEPACK.DLL : 8.3.2.0 827767 Bytes 08/03/2013 17:15:15

AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08/03/2013 17:15:14

AEHEUR.DLL : 8.1.4.236 5833081 Bytes 08/03/2013 17:15:14

AEHELP.DLL : 8.1.25.2 258423 Bytes 27/02/2013 10:15:07

AEGEN.DLL : 8.1.6.16 434549 Bytes 27/02/2013 10:15:07

AEEXP.DLL : 8.4.0.10 192886 Bytes 08/03/2013 17:15:16

AEEMU.DLL : 8.1.3.2 393587 Bytes 27/02/2013 10:15:07

AECORE.DLL : 8.1.31.2 201080 Bytes 27/02/2013 10:15:07

AEBB.DLL : 8.1.1.4 53619 Bytes 27/02/2013 10:15:06

AVWINLL.DLL : 13.6.0.480 26480 Bytes 27/02/2013 10:13:34

AVPREF.DLL : 13.6.0.480 51056 Bytes 27/02/2013 10:15:35

AVREP.DLL : 13.6.0.480 178544 Bytes 27/02/2013 10:16:18

AVARKT.DLL : 13.6.0.624 260832 Bytes 27/02/2013 10:15:30

AVEVTLOG.DLL : 13.6.0.600 167648 Bytes 27/02/2013 10:15:32

SQLITE3.DLL : 3.7.0.1 397704 Bytes 27/02/2013 10:16:06

AVSMTP.DLL : 13.6.0.480 63344 Bytes 27/02/2013 10:15:36

NETNT.DLL : 13.6.0.480 16240 Bytes 27/02/2013 10:15:58

RCIMAGE.DLL : 13.4.0.141 4782880 Bytes 27/02/2013 10:13:35

RCTEXT.DLL : 13.6.0.480 71024 Bytes 27/02/2013 10:13:35

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: AVGuardAsyncScan

Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_513b8acd\guard_slideup.avp

Documentation.................................: par défaut

Action principale.............................: réparer

Action secondaire.............................: quarantaine

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: arrêt

Recherche dans les programmes actifs..........: marche

Recherche du registre.........................: arrêt

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: marche

Recherche sur tous les fichiers...............: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: intégral

Catégories de dangers divergentes.............: +JOKE,+PCK,+SPR,

 

Début de la recherche : samedi 9 mars 2013 20:24

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> a été réparée.

L’entrée de registre <HKEY_USERS\S-1-5-21-3736214371-2939118078-1265948069-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> a été réparée.

L’entrée de registre <HKEY_USERS\S-1-5-21-3736214371-2939118078-1265948069-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> a été réparée.

L’entrée de registre <HKEY_USERS\S-1-5-21-3736214371-2939118078-1265948069-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> a été réparée.

L’entrée de registre <HKEY_USERS\S-1-5-21-3736214371-2939118078-1265948069-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> a été réparée.

L’entrée de registre <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> a été réparée.

L’entrée de registre <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> a été réparée.

L’entrée de registre <HKEY_USERS\S-1-5-21-3736214371-2939118078-1265948069-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> a été réparée.

L’entrée de registre <HKEY_USERS\S-1-5-21-3736214371-2939118078-1265948069-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> a été réparée.

L’entrée de registre <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> a été réparée.

L’entrée de registre <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> a été réparée.

L’entrée de registre <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> a été réparée.

L’entrée de registre <HKEY_USERS\S-1-5-21-3736214371-2939118078-1265948069-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FREDW> a été supprimée.

 

La recherche sur les processus démarrés commence :

Recherche en cours du processus 'svchost.exe' - '53' module(s) ont été recherchés

Recherche en cours du processus 'nvvsvc.exe' - '36' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '35' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '96' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '115' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '144' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '81' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '73' module(s) ont été recherchés

Recherche en cours du processus 'nvxdsync.exe' - '53' module(s) ont été recherchés

Recherche en cours du processus 'nvvsvc.exe' - '61' module(s) ont été recherchés

Recherche en cours du processus 'WISPTIS.EXE' - '41' module(s) ont été recherchés

Recherche en cours du processus 'ASLDRSrv.exe' - '19' module(s) ont été recherchés

Recherche en cours du processus 'WLANExt.exe' - '38' module(s) ont été recherchés

Recherche en cours du processus 'conhost.exe' - '17' module(s) ont été recherchés

Recherche en cours du processus 'GFNEXSrv.exe' - '14' module(s) ont été recherchés

Recherche en cours du processus 'spoolsv.exe' - '83' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '58' module(s) ont été recherchés

Recherche en cours du processus 'sched.exe' - '45' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '69' module(s) ont été recherchés

Recherche en cours du processus 'armsvc.exe' - '29' module(s) ont été recherchés

Recherche en cours du processus 'avguard.exe' - '80' module(s) ont été recherchés

Recherche en cours du processus 'InsOnSrv.exe' - '39' module(s) ont été recherchés

Recherche en cours du processus 'HeciServer.exe' - '28' module(s) ont été recherchés

Recherche en cours du processus 'IntelMeFWService.exe' - '26' module(s) ont été recherchés

Recherche en cours du processus 'jhi_service.exe' - '44' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '33' module(s) ont été recherchés

Recherche en cours du processus 'viakaraokesrv.exe' - '25' module(s) ont été recherchés

Recherche en cours du processus 'taskhost.exe' - '54' module(s) ont été recherchés

Recherche en cours du processus 'HControl.exe' - '43' module(s) ont été recherchés

Recherche en cours du processus 'InsOnWMI.exe' - '49' module(s) ont été recherchés

Recherche en cours du processus 'taskeng.exe' - '33' module(s) ont été recherchés

Recherche en cours du processus 'WISPTIS.EXE' - '48' module(s) ont été recherchés

Recherche en cours du processus 'TabTip.exe' - '49' module(s) ont été recherchés

Recherche en cours du processus 'TabTip32.exe' - '24' module(s) ont été recherchés

Recherche en cours du processus 'BatteryLife.exe' - '53' module(s) ont été recherchés

Recherche en cours du processus 'ATKOSD.exe' - '23' module(s) ont été recherchés

Recherche en cours du processus 'QuickGesture64.exe' - '29' module(s) ont été recherchés

Recherche en cours du processus 'sensorsrv.exe' - '35' module(s) ont été recherchés

Recherche en cours du processus 'wcourier.exe' - '62' module(s) ont été recherchés

Recherche en cours du processus 'ATKOSD2.exe' - '40' module(s) ont été recherchés

Recherche en cours du processus 'QuickGesture.exe' - '34' module(s) ont été recherchés

Recherche en cours du processus 'USBChargerPlus.exe' - '41' module(s) ont été recherchés

Recherche en cours du processus 'KBFiltr.exe' - '25' module(s) ont été recherchés

Recherche en cours du processus 'WDC.exe' - '34' module(s) ont été recherchés

Recherche en cours du processus 'Dwm.exe' - '34' module(s) ont été recherchés

Recherche en cours du processus 'Explorer.EXE' - '157' module(s) ont été recherchés

Recherche en cours du processus 'igfxtray.exe' - '32' module(s) ont été recherchés

Recherche en cours du processus 'hkcmd.exe' - '31' module(s) ont été recherchés

Recherche en cours du processus 'AmIcoSinglun64.exe' - '33' module(s) ont été recherchés

Recherche en cours du processus 'ACMON.exe' - '58' module(s) ont été recherchés

Recherche en cours du processus 'cacaoweb.exe' - '43' module(s) ont été recherchés

Recherche en cours du processus 'ONENOTEM.EXE' - '29' module(s) ont été recherchés

Recherche en cours du processus 'Sarah.exe' - '43' module(s) ont été recherchés

Module infecté -> <C:\Users\Sarah\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sarah.exe>

[RESULTAT] Contient le cheval de Troie TR/Comitsproc.A.608

[REMARQUE] Le processus 'Sarah.exe' a été arrêté

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '7bdd1605.qua' !

Recherche en cours du processus 'iusb3mon.exe' - '39' module(s) ont été recherchés

Recherche en cours du processus 'avshadow.exe' - '20' module(s) ont été recherchés

Recherche en cours du processus 'TrustedInstaller.exe' - '50' module(s) ont été recherchés

Recherche en cours du processus 'nvtray.exe' - '55' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '38' module(s) ont été recherchés

Recherche en cours du processus 'VDeck.exe' - '62' module(s) ont été recherchés

Recherche en cours du processus 'DMedia.exe' - '33' module(s) ont été recherchés

Recherche en cours du processus 'HControlUser.exe' - '27' module(s) ont été recherchés

Recherche en cours du processus 'avgnt.exe' - '90' module(s) ont été recherchés

Recherche en cours du processus 'wmiprvse.exe' - '33' module(s) ont été recherchés

Recherche en cours du processus 'ACEngSvr.exe' - '40' module(s) ont été recherchés

Recherche en cours du processus 'conhost.exe' - '18' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '59' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '56' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '132' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '67' module(s) ont été recherchés

Recherche en cours du processus 'MsoSync.exe' - '108' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '50' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '45' module(s) ont été recherchés

Recherche en cours du processus 'AIRecoveryRemind.exe' - '75' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '44' module(s) ont été recherchés

Recherche en cours du processus 'PresentationFontCache.exe' - '36' module(s) ont été recherchés

Recherche en cours du processus 'LMS.exe' - '34' module(s) ont été recherchés

Recherche en cours du processus 'daemonu.exe' - '66' module(s) ont été recherchés

Recherche en cours du processus 'sppsvc.exe' - '27' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '44' module(s) ont été recherchés

Recherche en cours du processus 'UNS.exe' - '65' module(s) ont été recherchés

Recherche en cours du processus 'InputPersonalization.exe' - '38' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '44' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '46' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '44' module(s) ont été recherchés

Recherche en cours du processus 'taskhost.exe' - '56' module(s) ont été recherchés

Recherche en cours du processus 'avscan.exe' - '104' module(s) ont été recherchés

Recherche en cours du processus 'msouc.exe' - '71' module(s) ont été recherchés

Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés

Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés

Recherche en cours du processus 'wininit.exe' - '27' module(s) ont été recherchés

Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés

Recherche en cours du processus 'services.exe' - '34' module(s) ont été recherchés

Recherche en cours du processus 'lsass.exe' - '68' module(s) ont été recherchés

Recherche en cours du processus 'lsm.exe' - '16' module(s) ont été recherchés

Recherche en cours du processus 'winlogon.exe' - '37' module(s) ont été recherchés

Recherche en cours du processus 'vssvc.exe' - '48' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '35' module(s) ont été recherchés

Recherche en cours du processus 'taskeng.exe' - '29' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '44' module(s) ont été recherchés

 

Début du contrôle des fichiers système :

Signé -> 'C:\Windows\system32\svchost.exe'

Signé -> 'C:\Windows\system32\winlogon.exe'

Signé -> 'C:\Windows\explorer.exe'

Signé -> 'C:\Windows\system32\smss.exe'

Signé -> 'C:\Windows\system32\wininet.DLL'

Signé -> 'C:\Windows\system32\wsock32.DLL'

Signé -> 'C:\Windows\system32\ws2_32.DLL'

Signé -> 'C:\Windows\system32\services.exe'

Signé -> 'C:\Windows\system32\lsass.exe'

Signé -> 'C:\Windows\system32\csrss.exe'

Signé -> 'C:\Windows\system32\drivers\kbdclass.sys'

Signé -> 'C:\Windows\system32\spoolsv.exe'

Signé -> 'C:\Windows\system32\alg.exe'

Signé -> 'C:\Windows\system32\wuauclt.exe'

Signé -> 'C:\Windows\system32\advapi32.DLL'

Signé -> 'C:\Windows\system32\user32.DLL'

Signé -> 'C:\Windows\system32\gdi32.DLL'

Signé -> 'C:\Windows\system32\kernel32.DLL'

Signé -> 'C:\Windows\system32\ntdll.DLL'

Signé -> 'C:\Windows\system32\ntoskrnl.exe'

Signé -> 'C:\Windows\system32\ctfmon.exe'

Les fichiers système ont été contrôlés ('21' fichiers)

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\Users\Sarah\AppData\Roaming\video-codec.exe'

Impossible d'ouvrir le chemin à scanner C:\Users\Sarah\AppData\Roaming\video-codec.exe !

Erreur système [5]: Accès refusé.

 

 

Fin de la recherche : samedi 9 mars 2013 20:26

Temps nécessaire: 01:31 Minute(s)

 

La recherche a été effectuée intégralement

 

24 Les répertoires ont été contrôlés

3281 Des fichiers ont été contrôlés

3 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

2 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

3278 Fichiers non infectés

30 Les archives ont été contrôlées

0 Avertissements

1 Consignes

 

--------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------

 

Rapport HihJackThis

Après une première suppression des fichiers malware avec avira et HihJackThis :

 

La ligne : "R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://startpage.com" est revenue.

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:43:58, on 09/03/2013

Platform: Unknown Windows (WinNT 6.01.3505 SP1)

MSIE: Internet Explorer v8.00 (8.00.7601.17514)

Boot mode: Safe mode

 

Running processes:

C:\Users\Sarah\Desktop\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Startpage Web Search

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [uSB3MON] "C:\Program Files (x86)\Intel\Intel® USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe"

O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r

O4 - HKLM\..\Run: [switchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe

O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe

O4 - HKLM\..\Run: [HControlUser] C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [cacaoweb] "C:\Users\Sarah\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')

O4 - Startup: AutorunsDisabled

O4 - Startup: OneNote 2013 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office15\ONENOTEM.EXE

O4 - Global Startup: Windows Explorer.lnk = ?

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office15\EXCEL.EXE/3000

O8 - Extra context menu item: Free YouTube Download - C:\Users\Sarah\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm

O8 - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~1\MICROS~2\Office15\ONBttnIE.dll/105

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office15\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office15\ONBttnIE.dll

O9 - Extra button: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\Office15\OCHelper.dll

O9 - Extra 'Tools' menuitem: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\Office15\OCHelper.dll

O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office15\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office15\ONBttnIELinkedNotes.dll

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O13 - Gopher Prefix:

O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)

O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files (x86)\Microsoft Office\Office15\MSOSB.DLL

O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

O18 - Filter hijack: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE15\MSOXMLMF.DLL

O20 - AppInit_DLLs: C:\Windows\SysWOW64\nvinit.dll

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: Avira Planificateur (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira Protection temps réel (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe

O23 - Service: ASLDR Service (ASLDRService) - ASUS - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe

O23 - Service: ASUS InstantOn Service (ASUS InstantOn) - ASUS - C:\Program Files (x86)\ASUS\InstantOn for NB\InsOnSrv.exe

O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - ASUS - C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe

O23 - Service: Intel® Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

O23 - Service: Intel® Capability Licensing Service Interface - Intel® Corporation - C:\Program Files\Intel\iCLS Client\HeciServer.exe

O23 - Service: Intel® ME Service - Unknown owner - C:\Program Files (x86)\Intel\Intel® Management Engine Components\FWService\IntelMeFWService.exe

O23 - Service: Intel® Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Intel® Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)

O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: Intel® Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: VIA Karaoke digital mixer Service (VIAKaraokeService) - Unknown owner - C:\Windows\system32\viakaraokesrv.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

 

--

End of file - 9604 bytes

 

 

 

Merci beaucoup pour votre aide !

[Apollo]

Bonjour,

 

1. Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

A lire absolument: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

Logiciels et sponsors : Questions sur la Sécurité Windows

 

-------------------------

 

2. Télécharge Junkware Removal Tool Download sur le bureau: Junkware Removal Tool Download

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

 

 

 

--------------------

 

++

[Tovar]

Bonjour Apollo,

 

Merci pour ton aide, je pense que mon petit problème est réglé !

 

 

 

Voici le rapport Adwcleaner :

 

 

# AdwCleaner v2.114 - Rapport créé le 10/03/2013 à 09:30:40

# Mis à jour le 05/03/2013 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : Sarah - FREDW

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\Sarah\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Program Files (x86)\Conduit

Dossier Supprimé : C:\Users\Sarah\AppData\Local\Conduit

Dossier Supprimé : C:\Users\Sarah\AppData\Local\Google\Chrome\User Data\Default\Extensions\elhjaoldnkkbifioodjndkijecdeinld

Dossier Supprimé : C:\Users\Sarah\AppData\LocalLow\Conduit

Dossier Supprimé : C:\Users\Sarah\AppData\Roaming\cacaoweb

Dossier Supprimé : C:\Users\Sarah\AppData\Roaming\dvdvideosoftiehelpers

Dossier Supprimé : C:\Users\Sarah\AppData\Roaming\pdfforge

Fichier Supprimé : C:\Users\Sarah\Desktop\cacaoweb.exe

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar

Clé Supprimée : HKCU\Software\cacaoweb

Clé Supprimée : HKCU\Software\Conduit

Clé Supprimée : HKCU\Software\Softonic

Clé Supprimée : HKLM\Software\Conduit

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASAPI32

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASMANCS

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\elhjaoldnkkbifioodjndkijecdeinld

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{953AA732-9AFB-49C9-84A4-7F96CA0A08DA}

Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.7601.17514

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Google Chrome v25.0.1364.160

 

Fichier : C:\Users\Sarah\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s1].txt - [2321 octets] - [10/03/2013 09:30:40]

 

########## EOF - C:\AdwCleaner[s1].txt - [2381 octets] ##########

 

 

 

 

 

Voici le rapport JRT :

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 4.6.9 (03.06.2013:1)

OS: Windows 7 Home Premium x64

Ran by Sarah on 10/03/2013 at 9:38:35,66

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

 

 

~~~ Services

 

 

 

~~~ Registry Values

 

 

 

~~~ Registry Keys

 

Successfully deleted: [Registry Key] hkey_current_user\software\sweetim

Successfully deleted: [Registry Key] hkey_local_machine\software\sweetim

 

 

 

~~~ Files

 

 

 

~~~ Folders

 

 

 

~~~ Event Viewer Logs were cleared

 

 

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 10/03/2013 at 9:46:10,51

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

J'attends ton feu vert pour marquer le sujet comme résolu.

 

Merci encore !

[Apollo]

Bonjour,Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton "Supprimer les outils de désinfection". >> Exécuter.

 

 

Delfix s'auto-détruira ensuite. >>>

 

NB, tu peux également cocher la case "Purger la restauration système", un nouveau point sera automatiquement créé. Conseillé quand le pc est désinfecté.

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI n'est pas obligatoire mais il est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation.

 

• Pense à éditer ton premier post pour ajouter "Résolu" devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

 

Utilise pour ça, l'éditeur complet

 

@++

[Tovar]

J'ai lancé Delfix et fait les vérifications que tu m'as conseillées.

 

Tout est parfait maintenant

 

Merci encore pour ton aide précise et très efficace !

 

@+