infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})[Resolu]

[grimpeur]

Bonsoir Nardino

je met le sujet en résolu car j'ai rendu l'ordi hier vers 20h00 et d'après le propriètaire (p'ti cousin) l'ordi va bien mieu et plus vite
pour le reste ,j'ai bien vu dans les rapports que tout était encore là
pas grave s'il est content
ps: on verra par la suite si souci nous serons vite au courant et je reposterais dans le forum

merci à toi Nardino pour le travail et bonne futur semaine


@+

[nardino]

Bonjour
Tu trouveras le rapport de désinfection dans l'onglet Rapports/Logs de Malwarebytes.
Pour le reste fais un rapport ZHPDiag.
Télécharge ZHPDiag de Nicolas Coolman sur ton bureau, à partir du lien suivant

Décompresse le fichier téléchargé et lance l'icône ZHPDiag
Dans l'interface clique sur la loupe en haut dans la barre d'outil.
Une fois l'analyse complète terminée un fichier ZHPDiag.txt sera enregistré sur le bureau, tu l'héberges sur Cjoint
Tu me communiques le lien obtenu dans ta réponse.

Deux tutos si nécessaire.
ZHPDiag
Cjoint
@+

[grimpeur]

Bonsoir Nardino
et merci de ta rapidité
voici le fichier joint du rapport
http://www.cijoint.fr/cjlink.php?file=c ... S646en.txt
rapport malwarebytes executé après zhpdiag

mbam-log-2011-07-01 (23-05-22).txt

merci Nardino

[nardino]

Bonsoir,
Télécharge RogueKiller (par Tigzy) sur le bureau
(A partir d'une clé USB si le Rogue empêche l'accès au net) .
http://www.sur-la-toile.com/RogueKiller/
Quitte tous les programmes en cours
Lance RogueKiller.exe.
http://i65.servimg.com/u/f65/11/05/93/83/wgmxs810.png
Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.
Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.
(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)
Envoie une copie du rapport RKreport[1].txt.
Si les raccourcis ont disparus, relance l'outil en mode 6.
Envoie une copie du rapport RKreport[2].txt.

Télécharge AD-Remover sur ton bureau.
http://www.teamxscript.org/adremoverTelechargement.html
Double clique sur AD-R.exe
Clique sur le bouton Nettoyer.
Poste le rapport qui va s'ouvrir en fin de scan.
Le rapport est sauvegardé sous C:\Ad-report-SCAN[1].txt
Puis ferme le programme par Quitter.

Désinstalle la version JREu22 de Java si encore présente.


@+

[grimpeur]

ReBonsoir Nardino
voici les rapports

RKreport[1].txt

RKreport[2].txt

Ad-Report-CLEAN[1].txt

tout est là et java(tm)6 update 22 désinstallée

ps: j'ai toujours ce fichier ${NT_CURRENT_SECURITY_FILE} sur le bureau

merci

[nardino]

Bonjour
Désinstalle ces "trucs"
C:\Program Files (x86)\Harmony_Hollow_Software
C:\Program Files (x86)\Eazel-FR
C:\Program Files (x86)\PHPNukeFR
C:\Program Files (x86)\Iminent

Peux-tu supprimer ce fichier ? (${NT_CURRENT_SECURITY_FILE})
@+

[grimpeur]

Bonjour Nardino

C:\Program Files (x86)\Harmony_Hollow_Software -----------------désinstallé

C:\Program Files (x86)\Iminent ---------------------- désinstallé

(${NT_CURRENT_SECURITY_FILE}) --------------supprimé

mais je ne vois pas les deux autres

C:\Program Files (x86)\Eazel-FR ---------- ce serait pas plutôt ce Ares p2p for windows qu'il faudrait gommer
C:\Program Files (x86)\PHPNukeFR-------- trouve pas mais je vois aussi un µtorrent dans le rapport de zhpdiag = p2p aussi ca

dans C:\Program Files (x86) ou programmes même en faisant une recherche par démarrer -zone de recherche

merci

[nardino]

Bonjour
Redémarre si ce n'est pas déjà fait depuis le dernier rapport ZHPDiag
Etablis-en un nouveau et poste-le comme le dernier
@+

[grimpeur]

Bonjour Nardino
voici le rapport: http://www.cijoint.fr/cjlink.php?file=c ... 63bqJi.txt

merci

[nardino]

Bonjour
A désinstaller :
C:\Program Files (x86)\Ares\Ares.exe
C:\Program Files (x86)\uTorrent
C:\Program Files (x86)\Registry Mechanic

A supprimer :
C:\ProgramData\A313

A mettre à jour
Internet Explorer v8.0 > version 9.0

Lance ZHPFix par l'icône sur le bureau
Le tutoriel http://rue-du-montceau.pagesperso-orang ... hpfix.html
Coche les lignes suivantes :

O2 - BHO: Harmony Hollow Software Toolbar [64Bits] - {3806b089-6759-411d-b2c3-b7995a9f34d7} . (...) -- C:\Program Files (x86)\Harmony_Hollow_Software\tbHar1.dll (.not file.) => Conduit Harmony Hollow Software Toolbar
O4 - HKCU\..\Run: [ares] . (.Ares Development Group - Ares p2p for windows.) -- C:\Program Files (x86)\Ares\Ares.exe
O4 - HKUS\S-1-5-21-1193205064-1265513735-592256375-1000\..\Run: [ares] . (.Ares Development Group - Ares p2p for windows.) -- C:\Program Files (x86)\Ares\Ares.exe
O4 - Global Startup: C:\Users\GEANT\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk . (.BitTorrent, Inc..) -- C:\Program Files (x86)\uTorrent\uTorrent.exe
O42 - Logiciel: Ares 2.1.4 - (.Ares Development Group.) [HKLM][64Bits] -- Ares
O42 - Logiciel: µTorrent - (.Pas de propriétaire.) [HKLM][64Bits] -- uTorrent
[HKCU\Software\AppDataLow\Software\imeshmediabartb]
[HKCU\Software\Ares]
[HKCU\Software\BitTorrent]
[HKCU\Software\Iminent]
[HKLM\Software\Iminent]
O43 - CFD: 19/03/2010 - 08:08:12 - [2329] ----D- C:\ProgramData\A313
O43 - CFD: 29/12/2010 - 11:25:38 - [0] ----D- C:\ProgramData\eMule
O43 - CFD: 01/07/2011 - 16:47:46 - [707899] ----D- C:\Users\GEANT\AppData\Roaming\uTorrent
O43 - CFD: 21/05/2011 - 20:53:16 - [2327843199] ----D- C:\Users\GEANT\AppData\Local\Ares
O43 - CFD: 29/12/2010 - 11:25:36 - [13034] ----D- C:\Users\GEANT\AppData\Local\eMule
O43 - CFD: 21/05/2011 - 20:53:16 - [2327843199] ----D- C:\Users\GEANT\AppData\Local\Ares
O43 - CFD: 29/12/2010 - 11:25:36 - [13034] ----D- C:\Users\GEANT\AppData\Local\eMule
O43 - CFD: 29/01/2010 - 22:13:54 - [4611668] ----D- C:\Program Files (x86)\Ares
O43 - CFD: 24/07/2010 - 12:25:40 - [327984] ----D- C:\Program Files (x86)\uTorrent
O87 - FAEL: "TCP Query User{41D4077B-C856-4C5C-9D1E-B989AF2456E7}C:\program files (x86)\emule\emule.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "UDP Query User{CF84936F-4893-4A75-ABB4-194BC546F3F8}C:\program files (x86)\emule\emule.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "TCP Query User{EDDD7CF5-9130-4967-BD4C-AEC2A657A494}C:\program files (x86)\imesh applications\imesh\imesh.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\imesh applications\imesh\imesh.exe (.not file.)
O87 - FAEL: "UDP Query User{569295B4-0E7D-4BF7-BE07-874508961F51}C:\program files (x86)\imesh applications\imesh\imesh.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\imesh applications\imesh\imesh.exe (.not file.)
O87 - FAEL: "TCP Query User{F16F39DB-77F3-4758-A610-27B2642ADA6B}C:\program files (x86)\ares\ares.exe" | In - Private - P6 - TRUE | .(.Ares Development Group - Ares p2p for windows.) -- C:\program files (x86)\ares\ares.exe
O87 - FAEL: "UDP Query User{205DCCCD-902E-4F59-87B7-7B9F3CE30F86}C:\program files (x86)\ares\ares.exe" | In - Private - P17 - TRUE | .(.Ares Development Group - Ares p2p for windows.) -- C:\program files (x86)\ares\ares.exe
O87 - FAEL: "TCP Query User{A7BB3E88-CE68-4D32-B058-C8F7785D6BA3}C:\program files (x86)\emule\emule.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "UDP Query User{60F730F5-9907-41BC-AA38-4FBAA59DBB4E}C:\program files (x86)\emule\emule.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "{4B2121F9-625D-4BB0-92F4-A1BFB7E13205}" | In - None - P6 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe
O87 - FAEL: "{4D931201-A464-4788-914B-33A9A9BCE24C}" | In - None - P17 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe
O87 - FAEL: "TCP Query User{FF2C92D3-7A6D-4CB4-8708-51DEC3636254}C:\program files (x86)\iminent\imbooster\imbooster.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\iminent\imbooster\imbooster.exe (.not file.)
O87 - FAEL: "UDP Query User{DC8C9C2B-EC9F-44FF-AC62-CB733ED0AEF8}C:\program files (x86)\iminent\imbooster\imbooster.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\iminent\imbooster\imbooster.exe (.not file.)

Clique sur le bouton Nettoyer .
Poste le rapport obtenu.
@+