[Résolu] Win32:Evo-gen

[Apollo]

Mais non, ménon, jusqu'à présent tout va très bien (madame la marquise)...

 

@++

[youpla07]

Dernière étape j'ai supprimé et les virus sont en quarantaine. J'ai redémarré Antimalware qui ne détecte plus rien mais j'ai eu quand même un pop de Avast avec toujours le m^me message de virus Evo-gen.

 

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org

 

Version de la base de données: v2013.05.09.02

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 7.0.5730.13

Administrateur :: SWEET-F2FC8B3D0 [administrateur]

 

09/05/2013 10:11:47

mbam-log-2013-05-09 (10-11-47).txt

 

Type d'examen: Examen complet (C:\|F:\|G:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 201774

Temps écoulé: 9 minute(s), 39 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Données: 1 -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 4

C:\WINDOWS\NOTEPAD.EXE (Trojan.Zbot.NPP) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\notepad.exe (Trojan.Zbot.NPP) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\dllcache\notepad.exe (Trojan.Zbot.NPP) -> Mis en quarantaine et supprimé avec succès.

G:\SysAnti.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[Apollo]

Tu n'as pas oublié AdwCleaner?

[youpla07]

Oui en effet

Donc pour ADW

# Mis à jour le 28/04/2013 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : Administrateur - SWEET-F2FC8B3D0

# Mode de démarrage : Normal

# Exécuté depuis : C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

Présent : Browser Manager

 

***** [Fichiers / Dossiers] *****

 

Dossier Présent : C:\Documents and Settings\Administrateur\Application Data\Babylon

Dossier Présent : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Giant Savings

Dossier Présent : C:\Documents and Settings\All Users\Application Data\Babylon

Dossier Présent : C:\Documents and Settings\All Users\Application Data\Browser Manager

Dossier Présent : C:\Program Files\Giant Savings

Dossier Présent : C:\Program Files\Software

Fichier Présent : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\05h7vfn5.default-1349500753468\bprotector_extensions.sqlite

Fichier Présent : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\970ckbc1.default-1349521075171\bprotector_extensions.sqlite

Fichier Présent : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\bpsj8psb.default-1349718499859\bprotector_extensions.sqlite

Fichier Présent : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\bProtector_extensions.rdf

Fichier Présent : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\bprotector_extensions.sqlite

Fichier Présent : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vlwzinpy.default-1349784800421\bprotector_extensions.sqlite

Fichier Présent : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vlwzinpy.default-1349784800421\bprotector_prefs.js

Fichier Présent : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vlwzinpy.default-1349784800421\searchplugins\Babylon.xml

Fichier Présent : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vlwzinpy.default-1349784800421\searchplugins\browsemngr.xml

Fichier Présent : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z8x2a7hb.default-1349629201328\bprotector_extensions.sqlite

Fichier Présent : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

 

***** [Registre] *****

 

Clé Présente : HKCU\Software\5b2df8fe734bd14

Clé Présente : HKCU\Software\Cr_Installer

Clé Présente : HKCU\Software\Crossrider

Clé Présente : HKCU\Software\DataMngr

Clé Présente : HKCU\Software\Giant Savings

Clé Présente : HKCU\Software\InstallCore

Clé Présente : HKCU\Software\InstalledBrowserExtensions

Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011441179}

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011441179}

Clé Présente : HKLM\SOFTWARE\5b2df8fe734bd14

Clé Présente : HKLM\Software\Babylon

Clé Présente : HKLM\Software\Boxore

Clé Présente : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{11111111-1111-1111-1111-110011441179}

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{22222222-2222-2222-2222-220022442279}

Clé Présente : HKLM\SOFTWARE\Classes\CrossriderApp0004479.BHO

Clé Présente : HKLM\SOFTWARE\Classes\CrossriderApp0004479.BHO.1

Clé Présente : HKLM\SOFTWARE\Classes\CrossriderApp0004479.Sandbox

Clé Présente : HKLM\SOFTWARE\Classes\CrossriderApp0004479.Sandbox.1

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{55555555-5555-5555-5555-550055445579}

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{66666666-6666-6666-6666-660066446679}

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}

Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap

Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{44444444-4444-4444-4444-440044444479}

Clé Présente : HKLM\Software\DataMngr

Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\ndkhncnongaclekkbelchmeafffimifj

Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\pgafcinpmmpklohkojmllohdhomoefph

Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011441179}

Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110011441179}

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Giant Savings

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011441179}

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}

Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}

Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Giant Savings

Clé Présente : HKU\S-1-5-21-73586283-879983540-1801674531-500\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

Donnée Présente : HKLM\..\Windows [AppInit_DLLs] = c:\docume~1\alluse~1\applic~1\browse~1\261125~1.80\{16cdf~1\browse~1.dll

Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Main [bprotector start page]

Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [bProtectorDefaultScope]

Valeur Présente : HKCU\Software\Mozilla\Firefox\Extensions [{0F827075-B026-42F3-885D-98981EE7B1AE}]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v7.0.6000.20861

 

[HKCU\Software\Microsoft\Internet Explorer\Main - bProtector Start Page] = hxxp://search.babylon.com/?affID=113357&tt=031012_ccp_4012_4&babsrc=HP_ss&mntrId=041fc8ae000000000000001731f4f28c

 

-\\ Mozilla Firefox v20.0.1 (fr)

 

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\05h7vfn5.default-1349500753468\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4ccqacld.default-1349587763734\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\970ckbc1.default-1349521075171\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\bpsj8psb.default-1349718499859\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\prefs.js

 

Présente : user_pref("extensions.BabylonToolbar.admin", false);

Présente : user_pref("extensions.BabylonToolbar.aflt", "babsst");

Présente : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");

Présente : user_pref("extensions.BabylonToolbar.autoRvrt", "false");

Présente : user_pref("extensions.BabylonToolbar.dfltLng", "en");

Présente : user_pref("extensions.BabylonToolbar.excTlbr", false);

Présente : user_pref("extensions.BabylonToolbar.id", "041fc8ae000000000000000000000000");

Présente : user_pref("extensions.BabylonToolbar.instlDay", "15616");

Présente : user_pref("extensions.BabylonToolbar.instlRef", "sst");

Présente : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");

Présente : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");

Présente : user_pref("extensions.BabylonToolbar.tlbrId", "tb9");

Présente : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=[...]

Présente : user_pref("extensions.BabylonToolbar.vrsn", "1.8.0.7");

Présente : user_pref("extensions.BabylonToolbar.vrsni", "1.8.0.7");

Présente : user_pref("extensions.BabylonToolbar_i.babExt", "");

Présente : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=113357&tt=031012_ccp_4012_3");

Présente : user_pref("extensions.BabylonToolbar_i.newTab", false);

Présente : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");

Présente : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");

Présente : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.8.0.722:46:07");

Présente : user_pref("extensions.crossriderapp4479.adsOldValue", -1);

Présente : user_pref("gm-notifier.ui.counter.showInbox", true);

 

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\omdw5ty1.default-1349684376750\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vlwzinpy.default-1349784800421\prefs.js

 

Présente : user_pref("avg.install.userHPSettings", "hxxp://search.babylon.com/?affID=113357&tt=031012_ccp_4012_[...]

Présente : user_pref("avg.install.userSPSettings", "Search the web (Babylon)");

Présente : user_pref("browser.search.order.1", "Search the web (Babylon)");

Présente : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");

 

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\wi0i92sn.default-1349541880828\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z8x2a7hb.default-1349629201328\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v [impossible d'obtenir la version]

 

Fichier : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [10738 octets] - [07/05/2013 11:56:00]

 

########## EOF - C:\AdwCleaner[R1].txt - [10799 octets] ##########

[youpla07]

Egalement pour la phase 4 mais pour SFTGC ca me dit que windows ne trouve pas notepad.exe.

[Apollo]

Relance AdwCleaner et clique sur Suppression.

 

Poste le rapport.

 

@++

[youpla07]

Je l'ai fait deux fois avec redémarrage mais impossible de trouver le rapport sur le bureau. Toutefois j'avais auparavant refait un minutieux avec Avast et il ne me trouve plus de virus.

[Apollo]

Egalement pour la phase 4 mais pour SFTGC ca me dit que windows ne trouve pas notepad.exe.

 

Oui, MBAM a fait du zèle.

 

Va dans son interface à quarantaine et restaure ces deux-là:

 

C:\WINDOWS\NOTEPAD.EXE (Trojan.Zbot.NPP) -> Mis en quarantaine et supprimé avec succès.

C:\WINDOWS\system32\notepad.exe (Trojan.Zbot.NPP) -> Mis en quarantaine et supprimé avec succès.

 

On fera une analyse antivirale avec plus costaud et plus sûr.

 

@++

[youpla07]

Bon je me disais bien que je n'allais pas éviter la bourde j'ai donc viré auparavant la quarantaine de malware. C'est grave docteur?

[Apollo]

Il ne faut JAMAIS virer une quarantaine trop vite! en cas de faux-positif, on se retrouve baba. Les objets en quarantaine sont rendus inoffensifs par définition. quarantaine = prison.

 

Faudra réparer avec le cd XP mais d'abord,

 

Fais une analyse complète, supports amovibles branchés (usb) avec Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français

 

Lis bien l'explication jusqu'en bas, pour ne pas devoir héberger un rapport avec 36000 lignes.

 

Cela peut être long...

 

@++