Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
  


  


  Comment supprimer trojan agent [ Résolu ]

 

1 utilisateur anonyme et 54 utilisateurs inconnus
Ajouter une réponse

 Mot :  Pseudo :  
Vider la liste des messages à citer  
 Page :
1  2
Page Suivante
Page Précédente
Auteur
 Sujet :

Comment supprimer trojan agent [ Résolu ]

Prévenir les modérateurs en cas d'abus 
n°546466
maevinest
Posté le 12-03-2012 à 10:03:35  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,
 depuis plusieurs jours j'ai un trojan dont je ne parviens pas à me débarrasser. Malwarebytes le trouve, puis le supprime, mais lorsque je relance un scan , il est toujours là.
 J'ai essayé en mode sans échec et c'est pareil.
 Mon avira ne le détecte même pas.
 Voici le rapport Malwarebytes :
 Malwarebytes Anti-Malware 1.60.1.1000
 www.malwarebytes.org

 Version de la base de données: v2012.03.09.03

 Windows 7 Service Pack 1 x64 NTFS
 Internet Explorer 9.0.8112.16421
 [administrateur]

 11/03/2012 09:07:07
 mbam-log-2012-03-11 (09-07-07).txt

 Type d'examen: Examen complet
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 393737
 Temps écoulé: 1 heure(s), 10 minute(s), 26 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\msza​atk.bat -> Suppression au redémarrage.

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 (fin)

 Que dois-je faire?
 Merci d'avance pour votre aide.

n°546467
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 12-03-2012 à 19:56:21  answer
Prévenir les modérateurs en cas d'abus
 

Salut !

 



Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\msza​atk.bat -> Suppression au redémarrage.
 




 Même après redémarrage il est tjrs présent ?

n°546468
adrei
Posté le 12-03-2012 à 20:33:52  answer
Prévenir les modérateurs en cas d'abus
 

Ton trojan doit se dissimuler ailleurs que dans le fichier Temp, j'ai remarquer qu'il disposait d'une extension en *.bat  certain trojan utilise cette extension pour "communiquer" avec leur exécutable source qui est des fois bien logé dans les dossiers systèmes ou autre
 Serais-ce possible que tu l'isole, que tu le renomme et/ou que tu le place dans une archive protégé par mot de passe ?
 Une analyse du fichier pourrai peut-être t'aider dans ta quète

n°546469
maevinest
Posté le 12-03-2012 à 20:39:16  answer
Prévenir les modérateurs en cas d'abus
 

kmisol a écrit :

Salut !



 Même après redémarrage il est tjrs présent ?
 



 Oui, même après un redémarrage, il est toujours là. J'ai passé Malwarebytes 5 ou 6 fois, mais rien n'y fait.

n°546470
maevinest
Posté le 12-03-2012 à 20:44:38  answer
Prévenir les modérateurs en cas d'abus
 

adrei a écrit :

Ton trojan doit se dissimuler ailleurs que dans le fichier Temp, j'ai remarquer qu'il disposait d'une extension en *.bat  certain trojan utilise cette extension pour "communiquer" avec leur exécutable source qui est des fois bien logé dans les dossiers systèmes ou autre
 Serais-ce possible que tu l'isole, que tu le renomme et/ou que tu le place dans une archive protégé par mot de passe ?
 Une analyse du fichier pourrai peut-être t'aider dans ta quète

 



 Bonjour,
 comment dois-je faire pour l'isoler , et le placer dans une archive protégée par un mot de passe?

n°546471
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 12-03-2012 à 22:29:25  answer
Prévenir les modérateurs en cas d'abus
 

...

 Télécharge RSIT (de random/random) sur le bureau :

 - Sur le bureau, double clique sur RSIT.exe ;
 - Clique sur Continue (Disclaimer) dans la fenêtre ;

 Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.

 Une fois l’analyse achevée, 2 fichiers texte s’ouvriront (avec le bloc-notes).

 Poste le contenu de log.txt (celui qui apparaît à l’ écran) ainsi que info.txt (que tu trouveras dans le dossier "rsit" situé à la racine du disque dur C:\).

 Tutoriel ->  ici

 PS : comme le rapport est long, rends-toi sur ce site : http://cjoint.com/ puis, clique sur "Parcourir" et sélectionne ce(s) fichier(s) (log.txt et info.txt) ; un lien va être créé.

 Copie/colle ce(s) lien(s) dans ta prochaine réponse.

 -> Aide en images

n°546472
maevinest
Posté le 13-03-2012 à 07:37:56  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,
 voici les liens :
 http://cjoint.com/?0CnhGDFuR0V
 http://cjoint.com/?0CnhK2taRzW
 Merci pour votre aide, je patiente pour la suite.

n°546473
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 13-03-2012 à 09:07:02  answer
Prévenir les modérateurs en cas d'abus
 

Salut !

 Fais ce qui suit, dans l'ordre :

 Ouvre le bloc-notes et fais un copier coller de ce qui est en gras,
 ci-dessous (copie tout d'un trait) :

 Windows Registry Editor Version 5.00

 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
 "47149"=-
 


 Puis "fichier"/"enregistrer sous" :
 dans : sur le bureau
 Nom du fichier : fix.reg
 Type de fichier : "tous les fichiers"
 clique sur "enregistrer"

 L'icône de fix.reg doit ressembler à cela --> avnoztv

 Télécharge CCleaner  …
 ("Download Latest Version", sur la droite) et laisse-toi guider.

 Tuto : http://www.commentcamarche.net [...] l-ccleaner

 Redémarre le PC en  mode sans échec  …
 -> méthode F8 (ou F5/F11 sur certains PC) de préférence

 ------------------------------​--------------
 Attention :
 tu n' auras pas accès à Internet pendant le "mode sans échec".
 Aussi, copie/colle la procédure (jusqu’à : redémarre le PC en mode normal) dans un fichier texte (word) et mets-la sur le "bureau" pour l'avoir à ta disposition.
 ------------------------------​--------------

 Sur le bureau, double-clique sur fix.reg.
 A ce moment, tu dois obligatoirement avoir un message du genre :
 "Voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
 Si c'est le cas, clique sur "oui" pour accepter la fusion.

 Redémarre le PC en mode normal ...

 Lance CCleaner et clique sur « Nettoyeur » ...
 Clique sur > Analyser > Nettoyer, puis sur OK dans la fenêtre qui
 s' affiche.  (re)Lance le nettoyage et (re)confirme par OK.

 http://www.commentcamarche.net [...] vie-privee

 Relance un scan Malwarebytes après l'avoir mis à jour.

n°546474
thxrd1
Posté le 13-03-2012 à 12:23:57  answer
Prévenir les modérateurs en cas d'abus
 

exactement la meme chose mais cette cette petite variante :

 Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|48329 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\msqe​kvamu.exe -> Aucune action effectuée.
 impossible à virer par Malwarebyte ou par quoi que ce soit ...

 ne provoque rien sur le Pc mais enpeche microsoft sécurity essential de s'intaller (apparemment )
 la solution est identique ou différente ????
 merci
 Roland

 EDIT MODERATION : merci de créer votre sujet

n°546475
maevinest
Posté le 13-03-2012 à 17:26:40  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,
 J'ai suivi à la lettre et dans l'ordre la procédure.
 Mise à jour de CCleaner et de Malwarebytes.
 Scan passé 3 fois, et Trojan toujours là.

 Dernier rapport  :
 Malwarebytes Anti-Malware 1.60.1.1000
 www.malwarebytes.org

 Version de la base de données: v2012.03.13.02

 Windows 7 Service Pack 1 x64 NTFS
 Internet Explorer 9.0.8112.16421
 maevinest :: maevinest-PC [administrateur]

 13/03/2012 15:47:13
 mbam-log-2012-03-13 (15-47-13).txt

 Type d'examen: Examen complet
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 388339
 Temps écoulé: 1 heure(s), 9 minute(s), 18 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\msza​atk.bat -> Suppression au redémarrage.

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 (fin)
 Merci

n°546476
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 13-03-2012 à 23:47:15  answer
Prévenir les modérateurs en cas d'abus
 

...

 Télécharge OTM (by OldTimer) sur ton Bureau.

 Double clique sur OTM.exe pour le lancer …

 Copie (Ctrl+C) le texte en gras, ci-dessous :
 
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
 "47149"=-

 :commands
 [purity]
 [emptytemp]
 [reboot]


 Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved (cadre jaune).

 Puis, clique sur le bouton MoveIt! et ferme OTM.

 PS : si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

 Accepte en cliquant sur YES.

 Poste le rapport que tu trouveras dans C:\_OTM\MovedFiles\...

 Le nom du rapport correspond au moment de sa création (date_heure.log).

n°546477
maevinest
Posté le 14-03-2012 à 08:26:58  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,
 voici le rapport :
 All processes killed
 Error: Unable to interpret <[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] > in the current context!
 Error: Unable to interpret <"47149"=- > in the current context!
 ========== COMMANDS ==========

 [EMPTYTEMP]

 User: All Users

 User: AppData

 User: maevinest
 ->Temp folder emptied: 146298356 bytes
 ->Temporary Internet Files folder emptied: 79283266 bytes
 ->Java cache emptied: 3710156 bytes
 ->FireFox cache emptied: 44096188 bytes
 ->Opera cache emptied: 0 bytes
 ->Flash cache emptied: 57548 bytes

 User: Default
 ->Temp folder emptied: 0 bytes
 ->Temporary Internet Files folder emptied: 33170 bytes
 ->Flash cache emptied: 56468 bytes

 User: Default User
 ->Temp folder emptied: 0 bytes
 ->Temporary Internet Files folder emptied: 0 bytes
 ->Flash cache emptied: 0 bytes

 User: Public

 %systemdrive% .tmp files removed: 0 bytes
 %systemroot% .tmp files removed: 0 bytes
 %systemroot%\System32 .tmp files removed: 0 bytes
 %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
 %systemroot%\System32\drivers .tmp files removed: 0 bytes
 Windows Temp folder emptied: 362776 bytes
 %systemroot%\sysnative\config\​systemprofile\AppData\Local\Mi​crosoft\Windows\Temporary Internet Files folder emptied: 36046081 bytes
 RecycleBin emptied: 0 bytes

 Total Files Cleaned = 296,00 mb


 OTM by OldTimer - Version 3.1.19.0 log created on 03142012_082043

 Files moved on Reboot...
 C:\Users\maevinest\AppData\Loc​al\Temp\FXSAPIDebugLogFile.txt​ moved successfully.

 Registry entries deleted on Reboot...
 Merci pour ton aide car là, je suis un peu perdue.

n°546478
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 14-03-2012 à 09:23:51  answer
Prévenir les modérateurs en cas d'abus
 

Salut !

 As-tu redémarré après le passage de OTM ?

 Fais-le si cela n'a pas été le cas.

 Ensuite, ...

 Lance Malwarebytes et mets-le à jour (important).

 Puis, exécute un scan "complet".

 Une fois le scan achevé, si MalwareByte's a détecté des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.

 Poste le rapport.


n°546479
maevinest
Posté le 14-03-2012 à 13:53:23  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,
 oui, j'ai bien redémarré après OTM,
 j'ai remis à jour Malwarebytes, qui à retrouvé le trojan, j'ai supprimé la sélection. J'ai repassé un scan Malwarebytes, voilà le dernier rapport :
 Malwarebytes Anti-Malware 1.60.1.1000
 www.malwarebytes.org

 Version de la base de données: v2012.03.14.01

 Windows 7 Service Pack 1 x64 NTFS
 Internet Explorer 9.0.8112.16421
 maevinest :: maevinest-PC [administrateur]

 14/03/2012 10:24:13
 mbam-log-2012-03-14 (10-24-13).txt

 Type d'examen: Examen complet
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 386782
 Temps écoulé: 1 heure(s), 7 minute(s), 12 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\msza​atk.bat -> Suppression au redémarrage.

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 (fin)
 Quel est le problème ? Pourquoi ne veut-il pas partir?
 Merci

n°546480
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 15-03-2012 à 11:31:15  answer
Prévenir les modérateurs en cas d'abus
 

Salut !

 Peux-tu retenter le script OTM en mode sans echec ?

n°546481
maevinest
Posté le 15-03-2012 à 14:32:31  answer
Prévenir les modérateurs en cas d'abus
 

Salut,
 Rapport deuxième essai OTM en mode sans échec :
 All processes killed
 Error: Unable to interpret <[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] > in the current context!
 Error: Unable to interpret <"47149"=- > in the current context!
 ========== COMMANDS ==========
 
 [EMPTYTEMP]
 
 User: All Users
 
 User: AppData
 
 User: maevinest
 ->Temp folder emptied: 4839416 bytes
 ->Temporary Internet Files folder emptied: 256598928 bytes
 ->Java cache emptied: 0 bytes
 ->FireFox cache emptied: 0 bytes
 ->Opera cache emptied: 0 bytes
 ->Flash cache emptied: 1328 bytes
 
 User: Default
 ->Temp folder emptied: 0 bytes
 ->Temporary Internet Files folder emptied: 0 bytes
 ->Flash cache emptied: 0 bytes
 
 User: Default User
 ->Temp folder emptied: 0 bytes
 ->Temporary Internet Files folder emptied: 0 bytes
 ->Flash cache emptied: 0 bytes
 
 User: Public
 
 %systemdrive% .tmp files removed: 0 bytes
 %systemroot% .tmp files removed: 0 bytes
 %systemroot%\System32 .tmp files removed: 0 bytes
 %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
 %systemroot%\System32\drivers .tmp files removed: 0 bytes
 Windows Temp folder emptied: 87643 bytes
 %systemroot%\sysnative\config\​systemprofile\AppData\Local\Mi​crosoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
 RecycleBin emptied: 0 bytes
 
 Total Files Cleaned = 249,00 mb
 
 
 OTM by OldTimer - Version 3.1.19.0 log created on 03152012_131525

 Files moved on Reboot...
 C:\Users\maevinest\AppData\Loc​al\Temp\FXSAPIDebugLogFile.txt​ moved successfully.

 Registry entries deleted on Reboot...

 Puis redémarrage du pc.

 Scan Malwarebytes en mode sans échec ( après mise à jour)
 Rapport :
 Malwarebytes Anti-Malware 1.60.1.1000
 www.malwarebytes.org

 Version de la base de données: v2012.03.15.02

 Windows 7 Service Pack 1 x64 NTFS (Mode sans échec)
 Internet Explorer 9.0.8112.16421
 maevinest :: maevinest-PC [administrateur]

 15/03/2012 13:24:55
 mbam-log-2012-03-15 (13-24-55).txt

 Type d'examen: Examen complet
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 385906
 Temps écoulé: 46 minute(s), 4 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\msza​atk.bat -> Suppression au redémarrage.

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 (fin)

n°546482
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 15-03-2012 à 19:55:47  answer
Prévenir les modérateurs en cas d'abus
 

...

 Et la suppression en manuel ?

 Menu Démarrer > Exécuter, tape regedit et valide par "OK".

 Remonte les clés en cliquant successivement sur les + jusqu' à ...

 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|47149 <-

 Supprime le fichier en gras (et uniquement celui-là), si tu le(s) trouves
 (clic droit dessus > Supprimer).

 Fais-le en mode sans echec !

 Ensuite, retente un scan Malwarebytes.

n°546483
maevinest
Posté le 16-03-2012 à 06:59:26  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,

 la suppression en manuel ne passe pas .
 Le message d'erreur est le suivant : "impossible de supprimer toutes les valeurs spécifiées."

 Le scan Malwarebytes donne

 Malwarebytes Anti-Malware 1.60.1.1000
 www.malwarebytes.org

 Version de la base de données: v2012.03.15.07

 Windows 7 Service Pack 1 x64 NTFS
 Internet Explorer 9.0.8112.16421
 maevinest :: maevinest-PC [administrateur]

 15/03/2012 21:21:03
 mbam-log-2012-03-15 (21-21-03).txt

 Type d'examen: Examen complet
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 383355
 Temps écoulé: 1 heure(s), 8 minute(s), 33 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\msza​atk.bat -> Suppression au redémarrage.

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 (fin)

 Peut-on essayer  autre chose?
 Merci.

n°546484
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 16-03-2012 à 22:28:49  answer
Prévenir les modérateurs en cas d'abus
 

Hello !

 Tu vas d'abord voir si ComboFix le trouve ...

 Clique droit sur ComboFix (par sUBs).  

 Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous.." ) et sauvegarde-le (Enregistrer dans) sur le Bureau (et pas ailleurs).

 Important : dans "Nom du fichier" enregistre (renomme) "combofix" en sarko

 Prends connaissance de ce tutoriel : http://www.bleepingcomputer.co [...] r-combofix

 Ferme toutes les fenêtres et applications, déconnecte-toi du net et désactive tes protections résidentes (antivirus, antispy, etc ...) :
 http://forum.pcastuces.com/des [...] -f31s4.htm

 A ce stade, désactive l'UAC (tu le réactiveras par la suite) !  

 Sur le bureau, double-clique sur l’ icône sarko (ou clique droit > « Exécuter en tant qu’administrateur » si tu es sous Vista/Win 7).

 Tape sur la touche Y (Yes) pour démarrer le scan.

 Important : si l’ installation de la Console de récupération est demandé, accepte.

 ComboFix redémarrera ton PC.

 Lorsque le scan sera complété, un rapport apparaîtra.
 Copie/colle ce rapport dans ta prochaine réponse.

 PS : le rapport se trouve également ici : C:\Combofix.txt

 Autres liens si celui donné d' entrée ne fonctionne pas : Combo2 ou Combo3

 Ne clique pas dans la fenêtre de Combofix durant l’analyse : cela pourrait provoquer le gel du programme !


n°546485
maevinest
Posté le 17-03-2012 à 10:08:15  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,

 voici le lien du rapport ComboFix : http://cjoint.com/?0CrkfY3Z9Yg

 Cela donne quoi? Je t'attends pour les consignes.
 Merci.

n°546486
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 17-03-2012 à 10:31:49  answer
Prévenir les modérateurs en cas d'abus
 

Salut !

 



- - - - ORPHELINS SUPPRIMES - - - -
 .
 Wow6432Node-HKCU-Run-AdobeBrid​ge - (no file)
 Wow6432Node-HKLM-Explorer_Run-​47149 - c:\progra~3\LOCALS~1\Temp\mszaatk.bat
 AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shoc​kwave 11\uninstaller.exe
 




 Tu peux relancer un scan Malwarebytes pour voir ce que cela donne ?

n°546487
maevinest
Posté le 17-03-2012 à 15:33:41  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,
 Voici le dernier scan Malwarebytes
 Malwarebytes Anti-Malware 1.60.1.1000
 www.malwarebytes.org

 Version de la base de données: v2012.03.17.04

 Windows 7 Service Pack 1 x64 NTFS
 Internet Explorer 9.0.8112.16421
 maevinest :: maevinest-PC [administrateur]

 17/03/2012 13:29:03
 mbam-log-2012-03-17 (13-29-03).txt

 Type d'examen: Examen complet
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 394833
 Temps écoulé: 1 heure(s), 8 minute(s), 29 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\msza​atk.bat -> Suppression au redémarrage.

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 (fin)

 Je l'ai passé 2 fois pour voir si il l'avait supprimé, celui-ci est le deuxième scan.

n°546488
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 17-03-2012 à 15:54:39  answer
Prévenir les modérateurs en cas d'abus
 

...

 C'est à s'arracher les cheveux !

 Essayons le scan e ligne :

 Lance un scan Eset/Nod32 (il faut utiliser Internet Explorer)

 Tutoriel (merci à Morgane de PCAstuces)

 Et poste le rapport.

 PS : désactive ton antivirus le temps du scan ...

n°546489
maevinest
Posté le 17-03-2012 à 22:36:25  answer
Prévenir les modérateurs en cas d'abus
 

Bonsoir,
 voici le rapport Eset.
 ESETSmartInstaller@High as CAB hook log:
 OnlineScanner64.ocx - registred OK
 OnlineScanner.ocx - registred OK
 # version=7
 # iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
 # OnlineScanner.ocx=1.0.0.6583
 # api_version=3.0.2
 # EOSSerial=4f53c55f6f4db04c85b5​e759de14de12
 # end=finished
 # remove_checked=false
 # archives_checked=true
 # unwanted_checked=true
 # unsafe_checked=false
 # antistealth_checked=true
 # utc_time=2012-03-17 09:18:33
 # local_time=2012-03-17 10:18:33 (+0100, Paris, Madrid)
 # country="France"
 # lang=1036
 # osver=6.1.7601 NT Service Pack 1
 # compatibility_mode=512 16777215 100 0 388976 388976 0 0
 # compatibility_mode=768 16777215 100 0 0 0 0 0
 # compatibility_mode=1797 16775165 100 94 3817 66163653 5373 0
 # compatibility_mode=5893 16776574 100 94 734576 83634056 0 0
 # compatibility_mode=8192 67108863 100 0 9050 9050 0 0
 # scanned=206432
 # found=2
 # cleaned=0
 # scan_time=14908
 C:\Users\maevinest\Downloads\S​oftonicDownloader_pour_free-pd​f-to-word-converter.exe une variante de Win32/SoftonicDownloader.A application (impossible de nettoyer) 000000000000000000000000000000​00 I
 F:\maevinest-PC\Backup Set 2012-01-29 114731\Backup Files 2012-01-29 114731\Backup files 12.zip une variante de Win32/SoftonicDownloader.A application (impossible de nettoyer) 000000000000000000000000000000​00 I
 Je n'avais pas coché "supprimer les menaces détectées comme précisé dans le tutoriel.
 Par contre, j'ai eu une coupure de courant durant le scan alors j'espère qu'il est complet.
 Merci.

n°546490
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 17-03-2012 à 22:59:58  answer
Prévenir les modérateurs en cas d'abus
 

...

 Il aurait fallu supprimer les menaces.

 -----
 Télécharge TDSSKiller (de Kaspersky) sur ton Bureau :

 Lance TDSSKiller.exe en double-cliquant sur l’icône
 (pour Vista/Seven clique droit sur l'icône et choisir "Exécuter en tant qu'administrateur" ).

 Clique sur Start scan et … laisse l'outil travailler (n’utilise pas le PC).

 Conserve l'action que propose l’outil par défaut ; ainsi :
 - pour TDSS.tdl2 : l'option Delete sera cochée.
 - pour TDSS.tdl3 et/ou TDSS.tdl4 : assure-toi que Cure est bien cochée.
 - pour "Suspicious object" laisse sur Skip
 
 Clique sur Continue puis, sur Reboot now si le redémarrage est proposé.

 Poste le rapport.

 Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

n°546491
maevinest
Posté le 18-03-2012 à 12:05:40  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,
 Voici le rapport :

 11:44:14.0509 3324 TDSS rootkit removing tool 2.7.20.0 Mar  9 2012 17:10:43
 11:44:14.0759 3324 ==============================​==============================​
 11:44:14.0759 3324 Current date / time: 2012/03/18 11:44:14.0759
 11:44:14.0759 3324 SystemInfo:
 11:44:14.0759 3324  
 11:44:14.0759 3324 OS Version: 6.1.7601 ServicePack: 1.0
 11:44:14.0759 3324 Product type: Workstation
 11:44:14.0759 3324 ComputerName: maevinest-PC
 11:44:14.0759 3324 UserName: maevinest
 11:44:14.0759 3324 Windows directory: C:\Windows
 11:44:14.0759 3324 System windows directory: C:\Windows
 11:44:14.0759 3324 Running under WOW64
 11:44:14.0759 3324 Processor architecture: Intel x64
 11:44:14.0759 3324 Number of processors: 2
 11:44:14.0759 3324 Page size: 0x1000
 11:44:14.0759 3324 Boot type: Normal boot
 11:44:14.0759 3324 ==============================​==============================​
 11:44:16.0038 3324 Drive \Device\Harddisk0\DR0 - Size: 0xE8E0DB6000 (931.51 Gb), SectorSize: 0x200, Cylinders: 0x1DB01, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
 11:44:16.0038 3324 Drive \Device\Harddisk1\DR1 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
 11:44:16.0054 3324 \Device\Harddisk0\DR0:
 11:44:16.0054 3324 MBR used
 11:44:16.0054 3324 \Device\Harddisk0\DR0\Partitio​n0: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x32000
 11:44:16.0054 3324 \Device\Harddisk0\DR0\Partitio​n1: MBR, Type 0x7, StartLBA 0x32800, BlocksNum 0x72B09000
 11:44:16.0054 3324 \Device\Harddisk0\DR0\Partitio​n2: MBR, Type 0x7, StartLBA 0x72B3B800, BlocksNum 0x1BCA800
 11:44:16.0054 3324 \Device\Harddisk1\DR1:
 11:44:16.0054 3324 MBR used
 11:44:16.0054 3324 \Device\Harddisk1\DR1\Partitio​n0: MBR, Type 0xC, StartLBA 0x3F, BlocksNum 0x2542D682
 11:44:16.0163 3324 Initialize success
 11:44:16.0163 3324 ==============================​==============================​
 11:44:40.0156 1908 Deinitialize success


 J'ai redémarré le PC ensuite, car je n'ai pas trouvé les options Delete, Cure, Skip. Je l'ai pourtant bien éxécuté en tant qu'administrateur.

 Quel est mon problème, est-ce grave?
 Merci pour ton aide.

n°546492
maevinest
Posté le 18-03-2012 à 12:13:29  answer
Prévenir les modérateurs en cas d'abus
 

...
 Est-ce que je dois repasser un scan Eset avec suppression des menaces ?

n°546493
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 18-03-2012 à 19:34:51  answer
Prévenir les modérateurs en cas d'abus
 

Salut !

 Oui repasse le scan et supprime les menace (tu pourras poster le rapport).

n°546494
maevinest
Posté le 19-03-2012 à 07:15:41  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,
 Voici le rapport :
 ESETSmartInstaller@High as CAB hook log:
 OnlineScanner64.ocx - registred OK
 OnlineScanner.ocx - registred OK
 # version=7
 # iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
 # OnlineScanner.ocx=1.0.0.6583
 # api_version=3.0.2
 # EOSSerial=4f53c55f6f4db04c85b5​e759de14de12
 # end=finished
 # remove_checked=false
 # archives_checked=true
 # unwanted_checked=true
 # unsafe_checked=false
 # antistealth_checked=true
 # utc_time=2012-03-17 09:18:33
 # local_time=2012-03-17 10:18:33 (+0100, Paris, Madrid)
 # country="France"
 # lang=1036
 # osver=6.1.7601 NT Service Pack 1
 # compatibility_mode=512 16777215 100 0 388976 388976 0 0
 # compatibility_mode=768 16777215 100 0 0 0 0 0
 # compatibility_mode=1797 16775165 100 94 3817 66163653 5373 0
 # compatibility_mode=5893 16776574 100 94 734576 83634056 0 0
 # compatibility_mode=8192 67108863 100 0 9050 9050 0 0
 # scanned=206432
 # found=2
 # cleaned=0
 # scan_time=14908
 C:\Users\maevinest\Downloads\S​oftonicDownloader_pour_free-pd​f-to-word-converter.exe une variante de Win32/SoftonicDownloader.A application (impossible de nettoyer) 000000000000000000000000000000​00 I
 F:\maevinest-PC\Backup Set 2012-01-29 114731\Backup Files 2012-01-29 114731\Backup files 12.zip une variante de Win32/SoftonicDownloader.A application (impossible de nettoyer) 000000000000000000000000000000​00 I
 # version=7
 # iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
 # OnlineScanner.ocx=1.0.0.6583
 # api_version=3.0.2
 # EOSSerial=4f53c55f6f4db04c85b5​e759de14de12
 # end=finished
 # remove_checked=true
 # archives_checked=true
 # unwanted_checked=true
 # unsafe_checked=true
 # antistealth_checked=true
 # utc_time=2012-03-19 12:04:52
 # local_time=2012-03-19 01:04:52 (+0100, Paris, Madrid)
 # country="France"
 # lang=1036
 # osver=6.1.7601 NT Service Pack 1
 # compatibility_mode=512 16777215 100 0 484869 484869 0 0
 # compatibility_mode=768 16777215 100 0 0 0 0 0
 # compatibility_mode=1797 16775165 100 94 99710 66259546 101266 0
 # compatibility_mode=5893 16776574 100 94 830469 83729949 0 0
 # compatibility_mode=8192 67108863 100 0 104943 104943 0 0
 # scanned=211044
 # found=3
 # cleaned=3
 # scan_time=15393
 C:\Users\maevinest\Downloads\S​oftonicDownloader_pour_free-pd​f-to-word-converter.exe une variante de Win32/SoftonicDownloader.A application (nettoyé par suppression - mis en quarantaine) 000000000000000000000000000000​00 C
 F:\maevinest-PC\Backup Set 2012-01-29 114731\Backup Files 2012-01-29 114731\Backup files 12.zip une variante de Win32/SoftonicDownloader.A application (supprimé - mis en quarantaine) 000000000000000000000000000000​00 C
 F:\maevinest-PC\Backup Set 2012-01-29 114731\Backup Files 2012-03-18 190000\Backup files 9.zip une variante de Win32/SoftonicDownloader.A application (supprimé - mis en quarantaine) 000000000000000000000000000000​00 C

n°546495
maevinest
Posté le 20-03-2012 à 08:55:33  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,
 Y-a-t'il autre chose à essayer?
 Merci.

n°546496
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 20-03-2012 à 12:01:12  answer
Prévenir les modérateurs en cas d'abus
 

Salut !

 Mets à jour Malwarebytes et lance un scan ...

 Je voudrais voir si cette m***e est tjrs présente !?

 



Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\mszaatk.bat -> Suppression au redémarrage.
 



n°546497
maevinest
Posté le 20-03-2012 à 14:24:34  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,

 Voici le dernier rapport :

 Malwarebytes Anti-Malware 1.60.1.1000
 www.malwarebytes.org

 Version de la base de données: v2012.03.20.03

 Windows 7 Service Pack 1 x64 NTFS (Mode sans échec)
 Internet Explorer 9.0.8112.16421
 maevinest :: maevinest-PC [administrateur]

 20/03/2012 13:10:43
 mbam-log-2012-03-20 (13-10-43).txt

 Type d'examen: Examen complet
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 416063
 Temps écoulé: 48 minute(s), 19 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\msza​atk.bat -> Suppression au redémarrage.

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 (fin)

 J'ai essayé en mode sans échec, je ne sais pas si cela change quelquechose.
 Mais oui, malheureusement, il n'a pas l'air de vouloir partir du tout.
 Merci.

n°546498
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 20-03-2012 à 18:06:11  answer
Prévenir les modérateurs en cas d'abus
 

...

 Même après redémarrage !?

n°546499
maevinest
Posté le 20-03-2012 à 20:07:36  answer
Prévenir les modérateurs en cas d'abus
 

Bonsoir,
 oui, même après redémarrage, il est toujours là. ........

n°546500
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 21-03-2012 à 16:37:19  answer
Prévenir les modérateurs en cas d'abus
 

Salut !

 Recommence l'opéraation avec OTM.

 Double clique sur OTM.exe pour le lancer …

 Copie (Ctrl+C) le texte en gras, ci-dessous :
 
 :reg
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
 "47149"=-

 :commands
 [purity]
 [emptytemp]
 [reboot]


 Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved (cadre jaune).

 Puis, clique sur le bouton MoveIt! et ferme OTM.

 PS : si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

 Accepte en cliquant sur "YES".

 Poste le rapport que tu trouveras dans C:\_OTM\MovedFiles\...

 Le nom du rapport correspond au moment de sa création (date_heure.log).

n°546501
maevinest
Posté le 22-03-2012 à 08:12:10  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour, :youpi:
 Ah, c'est bon, je crois qu'il est partit ......
 Voici mes deux derniers rapports :

 Rapport OTM :
 All processes killed
 ========== REGISTRY ==========
 Registry value HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Windows\CurrentVersion​\Policies\Explorer\Run\\47149 deleted successfully.
 ========== COMMANDS ==========
 
 [EMPTYTEMP]
 
 User: All Users
 
 User: AppData
 ->Temp folder emptied: 0 bytes
 
 User: maevinest
 ->Temp folder emptied: 523232 bytes
 ->Temporary Internet Files folder emptied: 277497691 bytes
 ->Java cache emptied: 0 bytes
 ->FireFox cache emptied: 0 bytes
 ->Opera cache emptied: 0 bytes
 ->Flash cache emptied: 1078 bytes
 
 User: Default
 ->Temp folder emptied: 0 bytes
 ->Temporary Internet Files folder emptied: 0 bytes
 ->Flash cache emptied: 0 bytes
 
 User: Default User
 ->Temp folder emptied: 0 bytes
 ->Temporary Internet Files folder emptied: 0 bytes
 ->Flash cache emptied: 0 bytes
 
 User: Maesac
 ->Temp folder emptied: 0 bytes
 ->Temporary Internet Files folder emptied: 0 bytes
 ->Flash cache emptied: 0 bytes
 
 User: Public
 ->Temp folder emptied: 0 bytes
 
 %systemdrive% .tmp files removed: 0 bytes
 %systemroot% .tmp files removed: 0 bytes
 %systemroot%\System32 .tmp files removed: 0 bytes
 %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
 %systemroot%\System32\drivers .tmp files removed: 0 bytes
 Windows Temp folder emptied: 867127 bytes
 %systemroot%\sysnative\config\​systemprofile\AppData\Local\Mi​crosoft\Windows\Temporary Internet Files folder emptied: 50339 bytes
 RecycleBin emptied: 13498027170 bytes
 
 Total Files Cleaned = 13 139,00 mb
 
 
 OTM by OldTimer - Version 3.1.19.0 log created on 03212012_173939

 Files moved on Reboot...
 C:\Users\maevinest\AppData\Loc​al\Temp\FXSAPIDebugLogFile.txt​ moved successfully.

 Registry entries deleted on Reboot...

 Rapport Malwarebytes

 Malwarebytes Anti-Malware 1.60.1.1000
 www.malwarebytes.org

 Version de la base de données: v2012.03.21.04

 Windows 7 Service Pack 1 x64 NTFS
 Internet Explorer 9.0.8112.16421
 maevinest :: maevinest-PC [administrateur]

 21/03/2012 17:45:18
 mbam-log-2012-03-21 (17-45-18).txt

 Type d'examen: Examen complet
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 411078
 Temps écoulé: 1 heure(s), 12 minute(s), 18 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 (fin)

 Par contre j'avais d'autres interrogations :

- Firefox est-il plus sécurisé qu'Internet Explorer ?

- Lorsque j'utilise CCleaner, je ne fais pas de sauvegarde des clés du registre que je supprime. Faut-il mieux les sauvegarder ?

- Que dois-je faire des outils téléchargés pour la désinfection, faut-il tous les supprimer, ou dois-je en conserver certains ?

 J'essaie de créer un compte utilisateur standard, pour ne plus utiliser en permanence mon compte administrateur.

 Je tiens à vous remercier, merci et encore merci.

n°546502
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 22-03-2012 à 22:06:02  answer
Prévenir les modérateurs en cas d'abus
 

Salut !

 Tu vas pas me croire, c'est un "Electricien" qui a fait la lumière sur cette histoire, pour la suppression avec OTM ...

 -----
 



1 - Firefox est-il plus sécurisé qu'Internet Explorer ?
 2 - Lorsque j'utilise CCleaner, je ne fais pas de sauvegarde des clés du registre que je supprime. Faut-il mieux les sauvegarder ?
 3 - Que dois-je faire des outils téléchargés pour la désinfection, faut-il tous les supprimer, ou dois-je en conserver certains ?
 




 1. Oui, en principe ...

 2. Moi non plus. Faudrait peut-être mieux ...

 3. Télécharge DelFix (by Xplode) sur ton bureau.

 Lance-le et appuie sur Recherche.

 Dans ton prochain message, poste le contenu du rapport qui s'ouvrira à l'écran.

 Note : Le rapport est, aussi, sauvegardé à la racine du disque dur (C:\DelFixSearch.txt)

 -----
 Tu peux créer un compte invité (plus sécurisé) :

 http://www.kachouri.com/tutori [...] ows-7.html

 http://www.ordi-netfr.com/Comm [...] ndows7.php

n°546503
maevinest
Posté le 23-03-2012 à 10:37:07  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,
 Pourtant nous avions déjà passé OTM une fois ....
 Merci pour les liens pour le compte invité.

 Voici le rapport DelFix :

 # DelFix v8.8 - Rapport créé le 23/03/2012 à 08:15:11
 # Mis à jour le 12/02/12 par Xplode
 # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
 # Nom d'utilisateur : maevinest - maevinest-PC (Administrateur)
 # Exécuté depuis : C:\Users\maevinest\Desktop\del​fix.exe
 # Option [Recherche]


 ~~~~~~ Dossiers(s) ~~~~~~

 Présent : C:\Qoobox
 Présent : C:\USBFix
 Présent : C:\_OTM
 Présent : C:\RSIT
 Présent : C:\ProgramData\Microsoft\Windo​ws\Start Menu\Programs\ZHP
 Présent : C:\Program Files (x86)\ZHPDiag

 ~~~~~~ Fichier(s) ~~~~~~

 Présent : C:\ComboFix.txt
 Présent : C:\PhysicalDisk0_MBR.bin
 Présent : C:\TDSSKiller.2.7.20.0_18.03.2​012_11.44.14_log.txt
 Présent : C:\TDSSKiller.2.7.20.0_18.03.2​012_11.47.14_log.txt
 Présent : C:\TDSSKiller.2.7.20.0_18.03.2​012_11.50.19_log.txt
 Présent : C:\TDSSKiller.2.7.20.0_18.03.2​012_11.51.35_log.txt
 Présent : C:\UsbFix.txt
 Présent : C:\Users\maevinest\Desktop\RSI​T.exe
 Présent : C:\Users\maevinest\Desktop\TDS​SKiller.exe
 Présent : C:\Users\maevinest\Desktop\TFC​ - Raccourci.lnk
 Présent : C:\Users\maevinest\Downloads\O​TM.exe
 Présent : C:\Users\maevinest\Downloads\t​dsskiller.zip
 Présent : C:\Users\maevinest\Downloads\T​FC.exe
 Présent : C:\Users\maevinest\Downloads\Z​HPDiag2.exe
 Présent : C:\Users\Public\Desktop\ZHPDia​g.lnk
 Présent : C:\Users\Public\Desktop\ZHPFix​.lnk
 Présent : C:\Users\Public\Desktop\MBRChe​ck.lnk
 Présent : C:\Windows\grep.exe
 Présent : C:\Windows\PEV.exe
 Présent : C:\Windows\NIRCMD.exe
 Présent : C:\Windows\MBR.exe
 Présent : C:\Windows\SED.exe
 Présent : C:\Windows\SWREG.exe
 Présent : C:\Windows\SWSC.exe
 Présent : C:\Windows\SWXCACLS.exe
 Présent : C:\Windows\Zip.exe

 ~~~~~~ Registre ~~~~~~

 Clé Présente : HKCU\Software\USBFix
 Clé Présente : HKLM\SOFTWARE\OldTimer Tools
 Clé Présente : HKLM\SOFTWARE\Swearware
 Clé Présente : HKLM\SOFTWARE\TrendMicro\Hijac​kthis
 Clé Présente : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Uninstall\USB​Fix
 Clé Présente : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Uninstall\ZHP​Diag_is1
 Clé Présente : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\App Paths\combofix.exe

 ~~~~~~ Autres ~~~~~~

 Présent : ESET Online Scanner

 *************************

 DelFix[R1].txt - [2198 octets] - [23/03/2012 08:15:12]

 ########## EOF - C:\DelFix[R1].txt - [2322 octets] ##########

 Merci.

n°546504
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 23-03-2012 à 12:51:39  answer
Prévenir les modérateurs en cas d'abus
 

Salut !

 



Pourtant nous avions déjà passé OTM une fois ....
 




 Oui, mais ce qui a fait la différence c'est ce qui est en gras,
 ci-dessous ...

 



:reg
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
 "47149"=-
 




 Je l'avais oublié lors de la première passe ...

 -----
 Relance DelFix et appuie sur "Suppression".

 Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

 PS : le rapport est, aussi, sauvegardé à la racine du disque dur (C:\DelFixSuppr.txt).

 Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

 -----
 Si tu estimes que ton problème est réglé, replaces-toi
 sur ton 1er message et clique sur le bouton "modifier".
 Une fois dans le message, inscris (copie/colle) en titre,
 ce qui est « cadré » ci-dessous …

 



Comment supprimer Trojan.Agent [résolu]



 … et clique sur > Envoyer.

 ******
 Quelques conseils ...
 http://www.malekal.com/securiser_ordinateur.html
 et aussi ...
 http://www.malekal.com/securis [...] lorer.html

 Idées reçues en matière de sécurité
 http://www.libellules.ch/idees_recues_securite.php

 Maintenir les programmes/logiciels à jour (important) :
 http://forum.malekal.com/logic [...] 15960.html
 ou
 http://www.commentcamarche.net [...] e-securite

n°546505
maevinest
Posté le 24-03-2012 à 14:30:11  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour,
 Voici le rapport DelFix :

 # DelFix v8.8 - Rapport créé le 24/03/2012 à 14:25:30
 # Mis à jour le 12/02/12 par Xplode
 # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
 # Nom d'utilisateur : maevinest - maevinest-PC (Administrateur)
 # Exécuté depuis : C:\Users\maevinest\Desktop\del​fix.exe
 # Option [Suppression]


 ~~~~~~ Dossiers(s) ~~~~~~

 Supprimé : C:\Qoobox
 Supprimé : C:\USBFix
 Supprimé : C:\_OTM
 Supprimé : C:\RSIT
 Supprimé : C:\ProgramData\Microsoft\Windo​ws\Start Menu\Programs\ZHP
 Supprimé : C:\Program Files (x86)\ZHPDiag

 ~~~~~~ Fichier(s) ~~~~~~

 Supprimé : C:\ComboFix.txt
 Supprimé : C:\PhysicalDisk0_MBR.bin
 Supprimé : C:\TDSSKiller.2.7.20.0_18.03.2​012_11.44.14_log.txt
 Supprimé : C:\TDSSKiller.2.7.20.0_18.03.2​012_11.47.14_log.txt
 Supprimé : C:\TDSSKiller.2.7.20.0_18.03.2​012_11.50.19_log.txt
 Supprimé : C:\TDSSKiller.2.7.20.0_18.03.2​012_11.51.35_log.txt
 Supprimé : C:\UsbFix.txt
 Supprimé : C:\Users\maevinest\Desktop\RSI​T.exe
 Supprimé : C:\Users\maevinest\Desktop\TDS​SKiller.exe
 Supprimé : C:\Users\maevinest\Desktop\TFC​ - Raccourci.lnk
 Supprimé : C:\Users\maevinest\Downloads\O​TM.exe
 Supprimé : C:\Users\maevinest\Downloads\t​dsskiller.zip
 Supprimé : C:\Users\maevinest\Downloads\T​FC.exe
 Supprimé : C:\Users\maevinest\Downloads\Z​HPDiag2.exe
 Supprimé : C:\Users\Public\Desktop\ZHPDia​g.lnk
 Supprimé : C:\Users\Public\Desktop\ZHPFix​.lnk
 Supprimé : C:\Users\Public\Desktop\MBRChe​ck.lnk
 Supprimé : C:\Windows\grep.exe
 Supprimé : C:\Windows\PEV.exe
 Supprimé : C:\Windows\NIRCMD.exe
 Supprimé : C:\Windows\MBR.exe
 Supprimé : C:\Windows\SED.exe
 Supprimé : C:\Windows\SWREG.exe
 Supprimé : C:\Windows\SWSC.exe
 Supprimé : C:\Windows\SWXCACLS.exe
 Supprimé : C:\Windows\Zip.exe

 ~~~~~~ Registre ~~~~~~

 Clé Supprimée : HKCU\Software\USBFix
 Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
 Clé Supprimée : HKLM\SOFTWARE\Swearware
 Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijac​kthis
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Uninstall\USB​Fix
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Uninstall\ZHP​Diag_is1

 ~~~~~~ Autres ~~~~~~

 Désinstallé : ESET Online Scanner
 -> Prefetch Vidé

 *************************

 DelFix[R1].txt - [2319 octets] - [23/03/2012 08:15:12]
 DelFix[S1].txt - [2230 octets] - [24/03/2012 14:25:30]

 ########## EOF - C:\DelFix[S1].txt - [2354 octets] ##########


 J'avais commencé à regarder le forum Malekal, mais c'est tellement complet que je ne savais pas trop par où commencer, alors merci pour les liens.

 Page :
1  2
Page Suivante
Page Précédente

Aller à :
Ajouter une réponse
  


  


  Comment supprimer trojan agent [ Résolu ]

 

Sujets relatifs
kujytuo.exe s'exécute au démarrage [résolu]Trojan.Script.Iframer
supprimer les objets mis en quarantaine?Supprimer Babylon et Linkury Smartbar
Infection babylon tollbar & malware complitly impossible à supprimerComment supprimer virus gendarmerie nationale ?
Virus win 32.agent xipComment supprimer sweet im for messenger résolu :jap:
comment supprimer ask.com?Comment supprimer les publicités intempestives "problème résolu"
Un coups de main pour supprimer System Checksupprimer ads.alpha.com
Plus de sujets relatifs à : Comment supprimer trojan agent [ Résolu ]

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
VIRUS GENDARMERIE 1 12-03-2012 à 19:53:50
PB avec search ci joint rapport 2 14-03-2012 à 06:22:46
probleme facebook 0 11-03-2012 à 19:32:55
kujytuo.exe s'exécute au démarrage [résolu] 24 06-04-2012 à 13:53:18
Virus HTML/Iframe.B.Gen virus 14 13-03-2012 à 23:15:41

Recevez toute
l’actu du forum !