virus detecté - scan à dechiffrer

virus detecté - scan à dechiffrer - Virus/Spywares - Windows & Software

Marsh Posté le 31-05-2009 à 02:13:11    

Mon anti-virus vient de détecter des cookies atdmt tracking. Suite à ça et à ce que j'ai pu entendre à ce sujet ceux ci seraient inoffensifs mais étant encore novice dans ce domaine je vous demande votre avis.
Voici mon scan pour en savoir d'avantage
et merci d'avance pour votre aide  
 
C'est edité ^^


Message édité par popopo43 le 31-05-2009 à 02:46:15
Reply

Marsh Posté le 31-05-2009 à 02:13:11   

Reply

Marsh Posté le 31-05-2009 à 02:33:43    

Bonsoir,
 
 
Je te conseille d'éditer ton message et d'enlever le rapport hijackthis, les règles de ce forum interdisent de les poster directement... Il faut héberger les rapports ailleurs (pour ça, suis ce tutoriel par exemple).
 
Les cookies traceurs ne sont effectivement pas dangereux pour ton ordinateur, ils récupèrent seulement des informations personnelles non critiques, généralement pour envoyer des publicités plus ciblées. Par contre, il y a deux vraies infections sur ton ordinateur... On va commencer par traiter la plus simple :
 
Tu as installé un logiciel néfaste téléchargé sur le site EoRezo... Ne télécharge plus rien sur ce site ! Plus d'infos ici : http://forum.malekal.com/viewtopic [...] 23#p145923
 
● Désactive ton antivirus, car il risque de faire de fausses alertes sur le programme suivant.
● Télécharge Ad-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )  
● Clique sur le raccourci pour le lancer
● Au menu principal choisis l'option "L" (lancer le nettoyage)
● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report.log)  
 
 
Aide en images : Installation
Aide en images : Nettoyage

Reply

Marsh Posté le 31-05-2009 à 04:11:37    

Voici le rapport d'ad remover :
 
 
------- RAPPORT D'AD-REMOVER 1.1.4.4 | UNIQUEMENT XP/VISTA -------
 
Mit à jour part C_XX le 28/05/2009 à 19:50
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
 
Lancé à:  3:43:56, 31/05/2009 | Mode Normal
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC:  
Utilisateur actuel: Administrateur - Administrateur
 
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
HKCU\Software\EoRezo
HKCU\Software\FunWebProducts
HKCU\Software\MediaHoldings
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D}
HKCU\Software\Titan Poker
HKLM\Software\EoRezo
HKLM\Software\Microsoft\Multimedia\WMPlayer\Schemes\f3pss
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine
HKLM\Software\Microsoft\shared tools\msconfig\startupreg\SoftwareHelper
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
HKLM\Software\Titan Poker
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoengine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Softwarehelper
.
C:\Documents and Settings\Administrateur\Application Data\EoRezo\cache  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\cmhost.cyp  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\ConfMedia.cyp  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\db  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoDesktop  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoStats  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\host.cyp  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\user.cyp  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\db\cat.cyp  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoDesktop\config.xml  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoDesktop\eoDesktop.html  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoDesktop\userConfig.xml  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoStats\eoStats.txt  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Download  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\help_config.cyp  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdate.exe  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\unins000.dat  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\unins000.exe  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\user_config.cyp  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\user_profil.cyp  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\eobrowserpub  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\eoengine  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\itsTV  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\eobrowserpub\1.0.0.1  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\eoengine\9.1.0.0  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.2  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.3  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.4  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.5  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.3\itstv.exe  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.4\itstv.exe  
C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.0.5\itstv.exe  
C:\Documents and Settings\Administrateur\Application Data\EoRezo  
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\q0meui1f.default\searchplugins\ask.xml  
C:\Documents and Settings\Invit‚\Application Data\Eorezo\ConfMedia.cyp  
C:\Documents and Settings\Invit‚\Application Data\Eorezo\host.cyp  
C:\Documents and Settings\Invit‚\Application Data\Eorezo\user.cyp  
C:\Documents and Settings\Invit‚\Application Data\Eorezo  
C:\Documents and Settings\rachid\Application Data\Eorezo\cmhost.cyp  
C:\Documents and Settings\rachid\Application Data\Eorezo\ConfMedia.cyp  
/!\ NON SUPPRIMÉ: C:\Documents and Settings\rachid\Application Data\Eorezo\eoDesktop  
C:\Documents and Settings\rachid\Application Data\Eorezo\host.cyp  
C:\Documents and Settings\rachid\Application Data\Eorezo\user.cyp  
C:\Documents and Settings\rachid\Application Data\Eorezo\eoDesktop\config.xml  
C:\Documents and Settings\rachid\Application Data\Eorezo\eoDesktop\eoDesktop.html  
C:\Documents and Settings\rachid\Application Data\Eorezo\eoDesktop\userConfig.xml  
C:\Documents and Settings\rachid\Application Data\Eorezo  
C:\WINDOWS\Prefetch\ITSTV.EXE-33AEDE73.pf  
C:\WINDOWS\Prefetch\SOFTWAREUPDATEHP.EXE-395536CB.pf  
C:\Documents and Settings\Administrateur\Cookies\administrateur@eorezo[1].txt  
C:\Documents and Settings\rachid\Cookies\rachid@eorezo[2].txt  
 
(!) -- Fichiers temporaires supprimés.
 
.
+-----------------| Scan additionnel:
.
 
---- Mozilla FireFox Version 3.0.10 ----
 
Nom du profil: q0meui1f.default (Administrateur)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Google" );  
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=" );  
(Prefs.js) user_pref("browser.startup.homepage", "www.google.fr" );  
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.10" );  
.
(prefs.js) EFFACÉ: user_pref("avg.toolbar.searchhistory", "[\"adremover\", \"eorezo desinstaller\", \"eorezo\", \"logiciels de+eorezo\", \"adremover risqu\\xE9+?\", \"adremover dangereux+?\", \"hadware\", \"d\\xE9chiffrer un+scan+hijack\", \"dechiffr\\xE9 un+scan+hijack\", \"supprimer cookies+atdmt\", \"supprimer cookiesatdmt\", \"atdmt\", \"gw persistant\", \"dauly motion\", \"youporn\", \"badjojo\", \"redbadjojo\", \"moteur de+recherche\", \"triple h+enrance\", \"cote et+match\"]" );  
.  
 
---- Internet Explorer Version 7.0.5730.13 ----
 
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
 
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
 
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
 
   Tabs: res://ieframe.dll/tabswelcome.htm
 
 
+---------------------------------------------------------------------------+
 
8778 Octet(s) - C:\Ad-Report-31.05.2009.log
 
18 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
32 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
 
Fin à:  4:01:20 | 31/05/2009
.
+-----------------| E.O.F
.

Reply

Marsh Posté le 31-05-2009 à 14:05:36    

Ok, certains fichiers néfastes n'ont pas été supprimés, on s'en occupera après. Maintenant fais ce scan stp :
 
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"  
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp


Message édité par Profil supprimé le 31-05-2009 à 14:06:23
Reply

Marsh Posté le 31-05-2009 à 22:58:44    

Voici le rapport MBAM :
 
 
 
Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2203
Windows 5.1.2600 Service Pack 2
 
31/05/2009 22:50:16
mbam-log-2009-05-31 (22-50-16).txt
 
Type de recherche: Examen rapide
Eléments examinés: 87371
Temps écoulé: 6 minute(s), 41 second(s)
 
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 22
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 34
Fichier(s) infecté(s): 66
 
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
 
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
 
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hggwxnmk (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e6d4d3cd-2d29-4c83-aa22-7c151d56d678} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e6d4d3cd-2d29-4c83-aa22-7c151d56d678} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{29c0289a-d316-474d-a935-5d9b76ddb491} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{29c0289a-d316-474d-a935-5d9b76ddb491} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webmediaplayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Carlson (Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> Quarantined and deleted successfully.
 
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> Quarantined and deleted successfully.
 
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 
Dossier(s) infecté(s):
c:\documents and settings\administrateur\application data\Starware354 (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\BrowserSearch (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Configurator (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\ErrorSearch (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Games (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Games\images (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Games\images\active (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Games\images\default (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Layouts (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Manager (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Movies (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Movies\images (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Movies\images\active (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Movies\images\default (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\RecipeSearch_Foreign (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Recipes_Foreign (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\RelatedSearch (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\ScreensaversMarketingSitePager (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\screensaversmarketingsitepager\images (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\screensaversmarketingsitepager\images\active (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\screensaversmarketingsitepager\images\default (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Toolbar (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\ToolbarLogo (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\ToolbarSearch (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\TravelSearch (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\Starware354 (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\contexts (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\SimpleUpdate (Adware.Starware) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\webmediaplayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\webmediaplayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\webmediaplayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\fichiers communs\Carlson (Dialer) -> Quarantined and deleted successfully.
 
Fichier(s) infecté(s):
C:\WINDOWS\system32\hgGwXnmk.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uxglcr.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\browsersearch\BrowserSearch.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\browsersearch\BrowserSearch.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\configurator\Configurator.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\configurator\Configurator.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\errorsearch\ErrorSearchOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\errorsearch\ErrorSearchOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Games\GamesOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Games\GamesOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Games\images\active\Games0.bmp (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Layouts\ToolbarLayout.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Layouts\ToolbarLayout.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Manager\ManagerOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Manager\ManagerOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Movies\MoviesOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Movies\MoviesOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Movies\images\active\Movies0.bmp (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\recipesearch_foreign\RecipeSearch_ForeignOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\recipesearch_foreign\RecipeSearch_ForeignOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\recipes_foreign\Recipes_ForeignOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\recipes_foreign\Recipes_ForeignOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\relatedsearch\RelatedSearchOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\relatedsearch\RelatedSearchOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\screensaversmarketingsitepager\ScreensaversMarketingSitePagerOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\screensaversmarketingsitepager\ScreensaversMarketingSitePagerOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\screensaversmarketingsitepager\images\active\ScreensaversMarketingSitePager0.bmp (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Toolbar\TBProductsOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\Toolbar\TBProductsOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\toolbarlogo\ToolbarLogoOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\toolbarlogo\ToolbarLogoOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\toolbarsearch\ToolbarSearchOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\toolbarsearch\ToolbarSearchOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\travelsearch\TravelSearchOptions.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\starware354\travelsearch\TravelSearchOptions.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\FindIt.bmp (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\FindItHot.bmp (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\findithotxp.png (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\finditxp.png (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\Highlight.bmp (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\HighlightHot.bmp (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\highlighthotxp.png (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\highlightxp.png (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\recipes.bmp (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\recipes.png (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\recipes_foreign_feed.bmp (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\recipes_foreign_feed.png (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\buttons\starware_toolbar_icon.bmp (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\contexts\error.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\contexts\related.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\contexts\Travel.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\simpleupdate\ProductMessagingConfig.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\simpleupdate\ProductMessagingConfig.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\simpleupdate\SimpleUpdateConfig.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\simpleupdate\SimpleUpdateConfig.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\simpleupdate\TimerManagerConfig.xml (Adware.Starware) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\starware354\simpleupdate\TimerManagerConfig.xml.backup (Adware.Starware) -> Quarantined and deleted successfully.
c:\program files\webmediaplayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\webmediaplayer\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\webmediaplayer\resources\wmp_translation_file.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\webmediaplayer\skins\classic.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\awgkuki_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\awgkuki_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ribodapi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\install.exe (Trojan.Agent) -> Quarantined and deleted successfully.
 
 
 
Est ce que je dois supprimer tout ce qui a été mis en quarentaine par MBAM ?
Merci pour ta patience.


Message édité par popopo43 le 31-05-2009 à 23:02:04
Reply

Marsh Posté le 31-05-2009 à 23:46:02    

Oui tu peux vider la quarantaine de MalwareBytes. On va finir la désinfection avec Combofix :
 
 
/!\ ATTENTION /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Il ne doit pas être utilisé seul, ne le faites qu'avec l'aide de quelqu'un qui connait bien cet outil
 
/!\ Désactive tous tes logiciels de protection /!\

  • Télécharge ComboFix (de sUBs) sur ton Bureau.
  • Double-clique sur ComboFix.exe afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Ne touche à rien pendant le scan.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
 
 
Ne poste pas le rapport directement (il risque d'être assez long), suis ce tutoriel pour le poster ne l'hébergeant ailleurs

Reply

Marsh Posté le 01-06-2009 à 00:14:43    

Le parefeu integré de windows doit lui aussi etre desactivé?
Faut il que je coupe ma connexion Internet ?


Message édité par popopo43 le 01-06-2009 à 12:46:32
Reply

Marsh Posté le 01-06-2009 à 14:13:02    

Reply

Marsh Posté le 01-06-2009 à 16:25:58    

Surtout ne panique pas,
Ton PC est infecté manipule-le avec des gants et surtout met un masque, emballe-le dans un sac de la manière la plus hermétique possible et remet-le a l'hopital ou l'institution militaire la plus proche, il faut éviter la pandémie. Explique ton cas à l'hopital ils te mettront sous anti-biotiques et te feront passer tout une batterie de test.
Si l'infection est récente c'est pris a temps et tu ne risque rien ;)
 
Sinon essai de formater ca peut etre une solution.


Message édité par Cyrilong le 01-06-2009 à 16:27:28

---------------
aucun clavier détecté, appuyer sur une touche pour continuer.
Reply

Marsh Posté le 01-06-2009 à 22:50:53    

Formater alors qu'on a quasiment terminé la désinfection ? Ce serait idiot...
 
popopo43 :
 
Combofix a quasiment fini la désinfection, il reste une vérification à faire, et on pourra passer à la sécurisation de ton ordinateur :)
 
 
• Rends toi sur le site http://www.virustotal.com/fr/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : c:\windows\system32\winlogon.exe
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• A la fin, copie l'adresse du rapport, puis colle la ici stp
 
Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
 
Fais la même chose pour ce fichier stp : c:\windows\system32\drivers\tcpip.sys

Reply

Marsh Posté le 01-06-2009 à 22:50:53   

Reply

Marsh Posté le 02-06-2009 à 20:20:32    

L'analyse du fichier a l'air de bloquer pendant affichage du resultat...
 
je vous montre ce qu'il m'affiche pour le fichier winlogon.exe :
 
http://www.virustotal.com/fr/anali [...] 1243966584
 
Pour c:\windows\system32\drivers\tcpip.sys l'analyse se fait qu'avec a-squared et il bloque...
 :
http://www.virustotal.com/fr/anali [...] 1243966989


Message édité par popopo43 le 02-06-2009 à 20:35:14
Reply

Marsh Posté le 02-06-2009 à 22:44:35    

Ca m'affiche "Votre fichier a expiré ou n'existe pas." Est-ce que tu as eu un résultat ?
 
 
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour popopo43, il n'est pas transposable sur un autre ordinateur
 
• Télécharge ce dossier popopo43.zip  
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.  
 
• Désactive tes logiciels de protection  
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe  
 
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu (en passant par TooFiles)  
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

Reply

Marsh Posté le 03-06-2009 à 00:03:00    

Je l'ai refait.
 
pour le fichier tcpip.sys j'ai ces deux resultats :
 
Antivirus     Version       derniere misse a jour         resultat
 
a-squared    4.0.0.101      2009.05.04              Win32.SuspectCrc!IK
Ikarus       T3.1.1.49.0  2009.05.04               Win32.SuspectCrc
 
quant au winlogon.exe, aucun resultat ne s'affiche.
 
Et petite question avant de continuer.. : Qu'est ce qui vous renseigne dans le rapport fourni que mon pc n'est bon qu'à la decharge ^^ ?


Message édité par popopo43 le 03-06-2009 à 00:16:09
Reply

Marsh Posté le 04-06-2009 à 02:31:24    

Re,
 
Tu as utilisé le script de Combofix ? Peux-tu poster le rapport stp (toujours avec Toolfiles) ?
 
 

Citation :

Qu'est ce qui vous renseigne dans le rapport fourni que mon pc n'est bon qu'à la decharge


Plus grand chose maintenant qu'il est presque désinfecté ;)


Message édité par Profil supprimé le 04-06-2009 à 02:34:10
Reply

Marsh Posté le 05-06-2009 à 10:13:28    

le script de Combofix a été analysé, voici le rapport :
 
http://www.toofiles.com/fr/oip/documents/txt/log1.html

Reply

Marsh Posté le 06-06-2009 à 13:57:33    

Ok, poste un nouveau (et normalement le dernier) rapport hijackthis stp

Reply

Marsh Posté le 07-06-2009 à 01:28:30    

Voici le dernier rapport hijackthis :
 
http://www.toofiles.com/fr/oip/doc [...] kthis.html

Reply

Marsh Posté le 08-06-2009 à 00:15:45    

Très bien, ton ordinateur n'est plus infecté :)
Voici quelques conseils pour finir le nettoyage, et sécuriser davantage ton ordinateur :
 
 
1) Sécurise ton ordinateur
 
Logiciels de protection :
Garde MalwareBytes (en complément d'AVG) pour son scan de nettoyage performant.
 
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
 
• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/
 
• Vérifie les mises à jour de tes autres programmes régulièrement à l'aide de ce petit programme (choisis la version sans installation) : Update Checker
 
 
 
2) Relance Hijackthis (pour la dernière fois), choisis "scan system only" et coche les lignes suivantes qui sont inutiles :
 
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033    
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot    
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime    
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"    
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"    
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')    
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)    
 
Coche également toutes les lignes commençant par 016
 
Ensuite, clique sur "Fix checked"  
 
 
 
3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.  
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.
 
 
 
4) Télécharge et installe Ccleaner, puis lance le.  
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
 
(Tu peux garder ce logiciel et l'utiliser régulièrement).
 
 
 
5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.
 
 
 
6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
 
 
 
 
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Reply

Marsh Posté le 10-06-2009 à 19:13:08    

Merci anthony pour ta patience.  
Tu m'a été d'une grande aide ^^, sympa dta part

Reply

Marsh Posté le 11-06-2009 à 19:10:18    

De rien ;)
 
C'est vrai qu'il y avait du boulot pour venir à bout de toutes les infections de ton ordinateur, mais on est arrivé au bout :)
 
Bonne continuation !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed