Comment supprimer trojan... - FORUMS 01net.

Bonjour,
depuis plusieurs jours j'ai un trojan dont je ne parviens pas à me débarrasser. Malwarebytes le trouve, puis le supprime, mais lorsque je relance un scan , il est toujours là.
J'ai essayé en mode sans échec et c'est pareil.
Mon avira ne le détecte même pas.
Voici le rapport Malwarebytes :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.09.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
[administrateur]

11/03/2012 09:07:07
mbam-log-2012-03-11 (09-07-07).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 393737
Temps écoulé: 1 heure(s), 10 minute(s), 26 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\mszaatk.bat -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Que dois-je faire?
Merci d'avance pour votre aide.

Salut !


Même après redémarrage il est tjrs présent ?

Ton trojan doit se dissimuler ailleurs que dans le fichier Temp, j'ai remarquer qu'il disposait d'une extension en *.bat certain trojan utilise cette extension pour "communiquer" avec leur exécutable source qui est des fois bien logé dans les dossiers systèmes ou autre
Serais-ce possible que tu l'isole, que tu le renomme et/ou que tu le place dans une archive protégé par mot de passe ?
Une analyse du fichier pourrai peut-être t'aider dans ta quète

Oui, même après un redémarrage, il est toujours là. J'ai passé Malwarebytes 5 ou 6 fois, mais rien n'y fait.

Bonjour,
comment dois-je faire pour l'isoler , et le placer dans une archive protégée par un mot de passe?

...

Télécharge RSIT (de random/random) sur le bureau :

- Sur le bureau, double clique sur RSIT.exe ;
- Clique sur Continue (Disclaimer) dans la fenêtre ;

Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.

Une fois l’analyse achevée, 2 fichiers texte s’ouvriront (avec le bloc-notes).

Poste le contenu de log.txt (celui qui apparaît à l’ écran) ainsi que info.txt (que tu trouveras dans le dossier "rsit" situé à la racine du disque dur C:\).

Tutoriel -> ici

PS : comme le rapport est long, rends-toi sur ce site : http://cjoint.com/ puis, clique sur "Parcourir" et sélectionne ce(s) fichier(s) (log.txt et info.txt) ; un lien va être créé.

Copie/colle ce(s) lien(s) dans ta prochaine réponse.

-> Aide en images

Bonjour,
voici les liens :
http://cjoint.com/?0CnhGDFuR0V
http://cjoint.com/?0CnhK2taRzW
Merci pour votre aide, je patiente pour la suite.

Salut !

Fais ce qui suit, dans l'ordre :

Ouvre le bloc-notes et fais un copier coller de ce qui est en gras,
ci-dessous (copie tout d'un trait) :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"47149"=-


Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de fix.reg doit ressembler à cela -->

Télécharge CCleaner …
("Download Latest Version", sur la droite) et laisse-toi guider.

Tuto : http://www.commentcamarche.net/faq/27688-tutoriel-ccleaner

Redémarre le PC en mode sans échec …
-> méthode F8 (ou F5/F11 sur certains PC) de préférence

--------------------------------------------
Attention :
tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure (jusqu’à : redémarre le PC en mode normal) dans un fichier texte (word) et mets-la sur le "bureau" pour l'avoir à ta disposition.
--------------------------------------------

Sur le bureau, double-clique sur fix.reg.
A ce moment, tu dois obligatoirement avoir un message du genre :
"Voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est le cas, clique sur "oui" pour accepter la fusion.

Redémarre le PC en mode normal ...

Lance CCleaner et clique sur « Nettoyeur » ...
Clique sur > Analyser > Nettoyer, puis sur OK dans la fenêtre qui
s' affiche. (re)Lance le nettoyage et (re)confirme par OK.

http://www.commentcamarche.net/faq/27688-tutoriel-ccleaner#proteger-sa-vie-pr(...)

Relance un scan Malwarebytes après l'avoir mis à jour.

Bonjour,
J'ai suivi à la lettre et dans l'ordre la procédure.
Mise à jour de CCleaner et de Malwarebytes.
Scan passé 3 fois, et Trojan toujours là.

Dernier rapport :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.13.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
maevinest :: maevinest-PC [administrateur]

13/03/2012 15:47:13
mbam-log-2012-03-13 (15-47-13).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 388339
Temps écoulé: 1 heure(s), 9 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\mszaatk.bat -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
Merci

...

Télécharge OTM (by OldTimer) sur ton Bureau.

Double clique sur OTM.exe pour le lancer …

Copie (Ctrl+C) le texte en gras, ci-dessous :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"47149"=-

:commands
[purity]
[emptytemp]
[reboot]

Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved (cadre jaune).

Puis, clique sur le bouton MoveIt! et ferme OTM.

PS : si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

Accepte en cliquant sur YES.

Poste le rapport que tu trouveras dans C:\_OTM\MovedFiles\...

Le nom du rapport correspond au moment de sa création (date_heure.log).

Bonjour,
voici le rapport :
All processes killed
Error: Unable to interpret <[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] > in the current context!
Error: Unable to interpret <"47149"=- > in the current context!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: AppData

User: maevinest
->Temp folder emptied: 146298356 bytes
->Temporary Internet Files folder emptied: 79283266 bytes
->Java cache emptied: 3710156 bytes
->FireFox cache emptied: 44096188 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 57548 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56468 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 362776 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36046081 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 296,00 mb


OTM by OldTimer - Version 3.1.19.0 log created on 03142012_082043

Files moved on Reboot...
C:\Users\maevinest\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
Merci pour ton aide car là, je suis un peu perdue.

Salut !

As-tu redémarré après le passage de OTM ?

Fais-le si cela n'a pas été le cas.

Ensuite, ...

Lance Malwarebytes et mets-le à jour (important).

Puis, exécute un scan "complet".

Une fois le scan achevé, si MalwareByte's a détecté des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.

Poste le rapport.

Bonjour,
oui, j'ai bien redémarré après OTM,
j'ai remis à jour Malwarebytes, qui à retrouvé le trojan, j'ai supprimé la sélection. J'ai repassé un scan Malwarebytes, voilà le dernier rapport :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.14.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
maevinest :: maevinest-PC [administrateur]

14/03/2012 10:24:13
mbam-log-2012-03-14 (10-24-13).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 386782
Temps écoulé: 1 heure(s), 7 minute(s), 12 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\mszaatk.bat -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
Quel est le problème ? Pourquoi ne veut-il pas partir?
Merci

Salut !

Peux-tu retenter le script OTM en mode sans echec ?

Salut,
Rapport deuxième essai OTM en mode sans échec :
All processes killed
Error: Unable to interpret <[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] > in the current context!
Error: Unable to interpret <"47149"=- > in the current context!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: AppData

User: maevinest
->Temp folder emptied: 4839416 bytes
->Temporary Internet Files folder emptied: 256598928 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1328 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 87643 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 249,00 mb


OTM by OldTimer - Version 3.1.19.0 log created on 03152012_131525

Files moved on Reboot...
C:\Users\maevinest\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Puis redémarrage du pc.

Scan Malwarebytes en mode sans échec ( après mise à jour)
Rapport :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.15.02

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec)
Internet Explorer 9.0.8112.16421
maevinest :: maevinest-PC [administrateur]

15/03/2012 13:24:55
mbam-log-2012-03-15 (13-24-55).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 385906
Temps écoulé: 46 minute(s), 4 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\mszaatk.bat -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

...

Et la suppression en manuel ?

Menu Démarrer > Exécuter, tape regedit et valide par "OK".

Remonte les clés en cliquant successivement sur les + jusqu' à ...

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|47149 <-

Supprime le fichier en gras (et uniquement celui-là), si tu le(s) trouves
(clic droit dessus > Supprimer).

Fais-le en mode sans echec !

Ensuite, retente un scan Malwarebytes.

Bonjour,

la suppression en manuel ne passe pas .
Le message d'erreur est le suivant : "impossible de supprimer toutes les valeurs spécifiées."

Le scan Malwarebytes donne

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.15.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
maevinest :: maevinest-PC [administrateur]

15/03/2012 21:21:03
mbam-log-2012-03-15 (21-21-03).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 383355
Temps écoulé: 1 heure(s), 8 minute(s), 33 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\mszaatk.bat -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Peut-on essayer autre chose?
Merci.

Hello !

Tu vas d'abord voir si ComboFix le trouve ...

Clique droit sur ComboFix (par sUBs).

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..") et sauvegarde-le (Enregistrer dans) sur le Bureau (et pas ailleurs).

Important : dans "Nom du fichier" enregistre (renomme) "combofix" en sarko

Prends connaissance de ce tutoriel : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Ferme toutes les fenêtres et applications, déconnecte-toi du net et désactive tes protections résidentes (antivirus, antispy, etc ...) :
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm

A ce stade, désactive l'UAC (tu le réactiveras par la suite) !

Sur le bureau, double-clique sur l’ icône sarko (ou clique droit > « Exécuter en tant qu’administrateur » si tu es sous Vista/Win 7).

Tape sur la touche Y (Yes) pour démarrer le scan.

Important : si l’ installation de la Console de récupération est demandé, accepte.

ComboFix redémarrera ton PC.

Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse.

PS : le rapport se trouve également ici : C:\Combofix.txt

Autres liens si celui donné d' entrée ne fonctionne pas : Combo2 ou Combo3

Ne clique pas dans la fenêtre de Combofix durant l’analyse : cela pourrait provoquer le gel du programme !

Bonjour,

voici le lien du rapport ComboFix : http://cjoint.com/?0CrkfY3Z9Yg

Cela donne quoi? Je t'attends pour les consignes.
Merci.

Salut !


Tu peux relancer un scan Malwarebytes pour voir ce que cela donne ?

Bonjour,
Voici le dernier scan Malwarebytes
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.17.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
maevinest :: maevinest-PC [administrateur]

17/03/2012 13:29:03
mbam-log-2012-03-17 (13-29-03).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 394833
Temps écoulé: 1 heure(s), 8 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\mszaatk.bat -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Je l'ai passé 2 fois pour voir si il l'avait supprimé, celui-ci est le deuxième scan.

...

C'est à s'arracher les cheveux !

Essayons le scan e ligne :

Lance un scan Eset/Nod32 (il faut utiliser Internet Explorer)

Tutoriel (merci à Morgane de PCAstuces)

Et poste le rapport.

PS : désactive ton antivirus le temps du scan ...

Bonsoir,
voici le rapport Eset.
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f53c55f6f4db04c85b5e759de14de12
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-17 09:18:33
# local_time=2012-03-17 10:18:33 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 388976 388976 0 0
# compatibility_mode=768 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775165 100 94 3817 66163653 5373 0
# compatibility_mode=5893 16776574 100 94 734576 83634056 0 0
# compatibility_mode=8192 67108863 100 0 9050 9050 0 0
# scanned=206432
# found=2
# cleaned=0
# scan_time=14908
C:\Users\maevinest\Downloads\SoftonicDownloader_pour_free-pdf-to-word-converter.exe une variante de Win32/SoftonicDownloader.A application (impossible de nettoyer) 00000000000000000000000000000000 I
F:\maevinest-PC\Backup Set 2012-01-29 114731\Backup Files 2012-01-29 114731\Backup files 12.zip une variante de Win32/SoftonicDownloader.A application (impossible de nettoyer) 00000000000000000000000000000000 I
Je n'avais pas coché "supprimer les menaces détectées comme précisé dans le tutoriel.
Par contre, j'ai eu une coupure de courant durant le scan alors j'espère qu'il est complet.
Merci.

...

Il aurait fallu supprimer les menaces.

-----
Télécharge TDSSKiller (de Kaspersky) sur ton Bureau :

Lance TDSSKiller.exe en double-cliquant sur l’icône
(pour Vista/Seven clique droit sur l'icône et choisir "Exécuter en tant qu'administrateur").

Clique sur Start scan et … laisse l'outil travailler (n’utilise pas le PC).

Conserve l'action que propose l’outil par défaut ; ainsi :
- pour TDSS.tdl2 : l'option Delete sera cochée.
- pour TDSS.tdl3 et/ou TDSS.tdl4 : assure-toi que Cure est bien cochée.
- pour "Suspicious object" laisse sur Skip

Clique sur Continue puis, sur Reboot now si le redémarrage est proposé.

Poste le rapport.

Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

Bonjour,
Voici le rapport :

11:44:14.0509 3324 TDSS rootkit removing tool 2.7.20.0 Mar 9 2012 17:10:43
11:44:14.0759 3324 ============================================================
11:44:14.0759 3324 Current date / time: 2012/03/18 11:44:14.0759
11:44:14.0759 3324 SystemInfo:
11:44:14.0759 3324
11:44:14.0759 3324 OS Version: 6.1.7601 ServicePack: 1.0
11:44:14.0759 3324 Product type: Workstation
11:44:14.0759 3324 ComputerName: maevinest-PC
11:44:14.0759 3324 UserName: maevinest
11:44:14.0759 3324 Windows directory: C:\Windows
11:44:14.0759 3324 System windows directory: C:\Windows
11:44:14.0759 3324 Running under WOW64
11:44:14.0759 3324 Processor architecture: Intel x64
11:44:14.0759 3324 Number of processors: 2
11:44:14.0759 3324 Page size: 0x1000
11:44:14.0759 3324 Boot type: Normal boot
11:44:14.0759 3324 ============================================================
11:44:16.0038 3324 Drive \Device\Harddisk0\DR0 - Size: 0xE8E0DB6000 (931.51 Gb), SectorSize: 0x200, Cylinders: 0x1DB01, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
11:44:16.0038 3324 Drive \Device\Harddisk1\DR1 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
11:44:16.0054 3324 \Device\Harddisk0\DR0:
11:44:16.0054 3324 MBR used
11:44:16.0054 3324 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x32000
11:44:16.0054 3324 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x32800, BlocksNum 0x72B09000
11:44:16.0054 3324 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x72B3B800, BlocksNum 0x1BCA800
11:44:16.0054 3324 \Device\Harddisk1\DR1:
11:44:16.0054 3324 MBR used
11:44:16.0054 3324 \Device\Harddisk1\DR1\Partition0: MBR, Type 0xC, StartLBA 0x3F, BlocksNum 0x2542D682
11:44:16.0163 3324 Initialize success
11:44:16.0163 3324 ============================================================
11:44:40.0156 1908 Deinitialize success


J'ai redémarré le PC ensuite, car je n'ai pas trouvé les options Delete, Cure, Skip. Je l'ai pourtant bien éxécuté en tant qu'administrateur.

Quel est mon problème, est-ce grave?
Merci pour ton aide.

...
Est-ce que je dois repasser un scan Eset avec suppression des menaces ?

Salut !

Oui repasse le scan et supprime les menace (tu pourras poster le rapport).

Bonjour,
Voici le rapport :
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f53c55f6f4db04c85b5e759de14de12
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-17 09:18:33
# local_time=2012-03-17 10:18:33 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 388976 388976 0 0
# compatibility_mode=768 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775165 100 94 3817 66163653 5373 0
# compatibility_mode=5893 16776574 100 94 734576 83634056 0 0
# compatibility_mode=8192 67108863 100 0 9050 9050 0 0
# scanned=206432
# found=2
# cleaned=0
# scan_time=14908
C:\Users\maevinest\Downloads\SoftonicDownloader_pour_free-pdf-to-word-converter.exe une variante de Win32/SoftonicDownloader.A application (impossible de nettoyer) 00000000000000000000000000000000 I
F:\maevinest-PC\Backup Set 2012-01-29 114731\Backup Files 2012-01-29 114731\Backup files 12.zip une variante de Win32/SoftonicDownloader.A application (impossible de nettoyer) 00000000000000000000000000000000 I
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f53c55f6f4db04c85b5e759de14de12
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-03-19 12:04:52
# local_time=2012-03-19 01:04:52 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 484869 484869 0 0
# compatibility_mode=768 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775165 100 94 99710 66259546 101266 0
# compatibility_mode=5893 16776574 100 94 830469 83729949 0 0
# compatibility_mode=8192 67108863 100 0 104943 104943 0 0
# scanned=211044
# found=3
# cleaned=3
# scan_time=15393
C:\Users\maevinest\Downloads\SoftonicDownloader_pour_free-pdf-to-word-converter.exe une variante de Win32/SoftonicDownloader.A application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
F:\maevinest-PC\Backup Set 2012-01-29 114731\Backup Files 2012-01-29 114731\Backup files 12.zip une variante de Win32/SoftonicDownloader.A application (supprimé - mis en quarantaine) 00000000000000000000000000000000 C
F:\maevinest-PC\Backup Set 2012-01-29 114731\Backup Files 2012-03-18 190000\Backup files 9.zip une variante de Win32/SoftonicDownloader.A application (supprimé - mis en quarantaine) 00000000000000000000000000000000 C

Bonjour,
Y-a-t'il autre chose à essayer?
Merci.

Salut !

Mets à jour Malwarebytes et lance un scan ...

Je voudrais voir si cette m***e est tjrs présente !?

Bonjour,

Voici le dernier rapport :

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.20.03

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec)
Internet Explorer 9.0.8112.16421
maevinest :: maevinest-PC [administrateur]

20/03/2012 13:10:43
mbam-log-2012-03-20 (13-10-43).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 416063
Temps écoulé: 48 minute(s), 19 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|47149 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\mszaatk.bat -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

J'ai essayé en mode sans échec, je ne sais pas si cela change quelquechose.
Mais oui, malheureusement, il n'a pas l'air de vouloir partir du tout.
Merci.

...

Même après redémarrage !?

Bonsoir,
oui, même après redémarrage, il est toujours là. ........

Salut !

Recommence l'opéraation avec OTM.

Double clique sur OTM.exe pour le lancer …

Copie (Ctrl+C) le texte en gras, ci-dessous :

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"47149"=-

:commands
[purity]
[emptytemp]
[reboot]

Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved (cadre jaune).

Puis, clique sur le bouton MoveIt! et ferme OTM.

PS : si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

Accepte en cliquant sur "YES".

Poste le rapport que tu trouveras dans C:\_OTM\MovedFiles\...

Le nom du rapport correspond au moment de sa création (date_heure.log).

Bonjour,
Ah, c'est bon, je crois qu'il est partit ......
Voici mes deux derniers rapports :

Rapport OTM :
All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\47149 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: AppData
->Temp folder emptied: 0 bytes

User: maevinest
->Temp folder emptied: 523232 bytes
->Temporary Internet Files folder emptied: 277497691 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1078 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Maesac
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 867127 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50339 bytes
RecycleBin emptied: 13498027170 bytes

Total Files Cleaned = 13 139,00 mb


OTM by OldTimer - Version 3.1.19.0 log created on 03212012_173939

Files moved on Reboot...
C:\Users\maevinest\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Rapport Malwarebytes

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.21.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
maevinest :: maevinest-PC [administrateur]

21/03/2012 17:45:18
mbam-log-2012-03-21 (17-45-18).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 411078
Temps écoulé: 1 heure(s), 12 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Par contre j'avais d'autres interrogations :
- Firefox est-il plus sécurisé qu'Internet Explorer ?
- Lorsque j'utilise CCleaner, je ne fais pas de sauvegarde des clés du registre que je supprime. Faut-il mieux les sauvegarder ?
- Que dois-je faire des outils téléchargés pour la désinfection, faut-il tous les supprimer, ou dois-je en conserver certains ?

J'essaie de créer un compte utilisateur standard, pour ne plus utiliser en permanence mon compte administrateur.

Je tiens à vous remercier, merci et encore merci.

Salut !

Tu vas pas me croire, c'est un "Electricien" qui a fait la lumière sur cette histoire, pour la suppression avec OTM ...

-----

1. Oui, en principe ...

2. Moi non plus. Faudrait peut-être mieux ...

3. Télécharge DelFix (by Xplode) sur ton bureau.

Lance-le et appuie sur Recherche.

Dans ton prochain message, poste le contenu du rapport qui s'ouvrira à l'écran.

Note : Le rapport est, aussi, sauvegardé à la racine du disque dur (C:\DelFixSearch.txt)

-----
Tu peux créer un compte invité (plus sécurisé) :

http://www.kachouri.com/tutoriel-245-creer-un-compte-utilisateur-sous-windows(...)

http://www.ordi-netfr.com/CommentcreeruncompteutilisateursousWindows7.php

Bonjour,
Pourtant nous avions déjà passé OTM une fois ....
Merci pour les liens pour le compte invité.

Voici le rapport DelFix :

# DelFix v8.8 - Rapport créé le 23/03/2012 à 08:15:11
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : maevinest - maevinest-PC (Administrateur)
# Exécuté depuis : C:\Users\maevinest\Desktop\delfix.exe
# Option [Recherche]


~~~~~~ Dossiers(s) ~~~~~~

Présent : C:\Qoobox
Présent : C:\USBFix
Présent : C:\_OTM
Présent : C:\RSIT
Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Présent : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Présent : C:\ComboFix.txt
Présent : C:\PhysicalDisk0_MBR.bin
Présent : C:\TDSSKiller.2.7.20.0_18.03.2012_11.44.14_log.txt
Présent : C:\TDSSKiller.2.7.20.0_18.03.2012_11.47.14_log.txt
Présent : C:\TDSSKiller.2.7.20.0_18.03.2012_11.50.19_log.txt
Présent : C:\TDSSKiller.2.7.20.0_18.03.2012_11.51.35_log.txt
Présent : C:\UsbFix.txt
Présent : C:\Users\maevinest\Desktop\RSIT.exe
Présent : C:\Users\maevinest\Desktop\TDSSKiller.exe
Présent : C:\Users\maevinest\Desktop\TFC - Raccourci.lnk
Présent : C:\Users\maevinest\Downloads\OTM.exe
Présent : C:\Users\maevinest\Downloads\tdsskiller.zip
Présent : C:\Users\maevinest\Downloads\TFC.exe
Présent : C:\Users\maevinest\Downloads\ZHPDiag2.exe
Présent : C:\Users\Public\Desktop\ZHPDiag.lnk
Présent : C:\Users\Public\Desktop\ZHPFix.lnk
Présent : C:\Users\Public\Desktop\MBRCheck.lnk
Présent : C:\Windows\grep.exe
Présent : C:\Windows\PEV.exe
Présent : C:\Windows\NIRCMD.exe
Présent : C:\Windows\MBR.exe
Présent : C:\Windows\SED.exe
Présent : C:\Windows\SWREG.exe
Présent : C:\Windows\SWSC.exe
Présent : C:\Windows\SWXCACLS.exe
Présent : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Présente : HKCU\Software\USBFix
Clé Présente : HKLM\SOFTWARE\OldTimer Tools
Clé Présente : HKLM\SOFTWARE\Swearware
Clé Présente : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

Présent : ESET Online Scanner

*************************

DelFix[R1].txt - [2198 octets] - [23/03/2012 08:15:12]

########## EOF - C:\DelFix[R1].txt - [2322 octets] ##########

Merci.

Salut !


Oui, mais ce qui a fait la différence c'est ce qui est en gras,
ci-dessous ...


Je l'avais oublié lors de la première passe ...

-----
Relance DelFix et appuie sur "Suppression".

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur (C:\DelFixSuppr.txt).

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

-----
Si tu estimes que ton problème est réglé, replaces-toi
sur ton 1er message et clique sur le bouton "modifier".
Une fois dans le message, inscris (copie/colle) en titre,
ce qui est « cadré » ci-dessous …


… et clique sur > Envoyer.

******
Quelques conseils ...
http://www.malekal.com/securiser_ordinateur.html
et aussi ...
http://www.malekal.com/securiser_internet_explorer.html

Idées reçues en matière de sécurité …
http://www.libellules.ch/idees_recues_securite.php

Maintenir les programmes/logiciels à jour (important) :
http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.(...)
ou
http://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-fail(...)

Bonjour,
Voici le rapport DelFix :

# DelFix v8.8 - Rapport créé le 24/03/2012 à 14:25:30
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : maevinest - maevinest-PC (Administrateur)
# Exécuté depuis : C:\Users\maevinest\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\_OTM
Supprimé : C:\RSIT
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.7.20.0_18.03.2012_11.44.14_log.txt
Supprimé : C:\TDSSKiller.2.7.20.0_18.03.2012_11.47.14_log.txt
Supprimé : C:\TDSSKiller.2.7.20.0_18.03.2012_11.50.19_log.txt
Supprimé : C:\TDSSKiller.2.7.20.0_18.03.2012_11.51.35_log.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\Users\maevinest\Desktop\RSIT.exe
Supprimé : C:\Users\maevinest\Desktop\TDSSKiller.exe
Supprimé : C:\Users\maevinest\Desktop\TFC - Raccourci.lnk
Supprimé : C:\Users\maevinest\Downloads\OTM.exe
Supprimé : C:\Users\maevinest\Downloads\tdsskiller.zip
Supprimé : C:\Users\maevinest\Downloads\TFC.exe
Supprimé : C:\Users\maevinest\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

Désinstallé : ESET Online Scanner
-> Prefetch Vidé

*************************

DelFix[R1].txt - [2319 octets] - [23/03/2012 08:15:12]
DelFix[S1].txt - [2230 octets] - [24/03/2012 14:25:30]

########## EOF - C:\DelFix[S1].txt - [2354 octets] ##########


J'avais commencé à regarder le forum Malekal, mais c'est tellement complet que je ne savais pas trop par où commencer, alors merci pour les liens.