Forum-seven : Communauté francaise de Windows 7

La communauté Française de Windows Seven
http://www.forum-seven.com/forum/

infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})[Resolu]

http://www.forum-seven.com/forum/viewtopic.php?t=10974

Page 1 sur 3

infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})[Resolu]

Posté : ven. 1 juil. 2011 19:37
par grimpeur
Bonsoir Nardino :coucou:

je met le sujet en résolu car j'ai rendu l'ordi hier vers 20h00 et d'après le propriètaire (p'ti cousin) l'ordi va bien mieu et plus vite
pour le reste ,j'ai bien vu dans les rapports que tout était encore là :hein:
pas grave s'il est content
ps: on verra par la suite si souci nous serons vite au courant et je reposterais dans le forum

merci à toi Nardino pour le travail et bonne futur semaine ;)

:coucou: :coucou:
@+

Re: infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})

Posté : ven. 1 juil. 2011 21:20
par nardino
Bonjour
Tu trouveras le rapport de désinfection dans l'onglet Rapports/Logs de Malwarebytes.
Pour le reste fais un rapport ZHPDiag.
Image Télécharge ZHPDiag de Nicolas Coolman sur ton bureau, à partir du lien suivant

Image Décompresse le fichier téléchargé et lance l'icône ZHPDiag
Image Dans l'interface clique sur la loupe en haut dans la barre d'outil.
Une fois l'analyse complète terminée un fichier ZHPDiag.txt sera enregistré sur le bureau, tu l'héberges sur Cjoint
Image Tu me communiques le lien obtenu dans ta réponse.

Deux tutos si nécessaire.
ZHPDiag
Cjoint
@+

Re: infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})

Posté : ven. 1 juil. 2011 21:33
par grimpeur
Bonsoir Nardino :coucou:
et merci de ta rapidité :super:
voici le fichier joint du rapport
http://www.cijoint.fr/cjlink.php?file=c ... S646en.txt
rapport malwarebytes executé après zhpdiag
mbam-log-2011-07-01 (23-05-22).txt
merci Nardino
:coucou:

Re: infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})

Posté : ven. 1 juil. 2011 23:13
par nardino
Bonsoir,
Télécharge RogueKiller (par Tigzy) sur le bureau
(A partir d'une clé USB si le Rogue empêche l'accès au net) .
http://www.sur-la-toile.com/RogueKiller/
Quitte tous les programmes en cours
Lance RogueKiller.exe.
http://i65.servimg.com/u/f65/11/05/93/83/wgmxs810.png
Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.
Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.
(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)
Envoie une copie du rapport RKreport[1].txt.
Si les raccourcis ont disparus, relance l'outil en mode 6.
Envoie une copie du rapport RKreport[2].txt.

Télécharge AD-Remover sur ton bureau.
http://www.teamxscript.org/adremoverTelechargement.html
Double clique sur AD-R.exe
Clique sur le bouton Nettoyer.
Poste le rapport qui va s'ouvrir en fin de scan.
Le rapport est sauvegardé sous C:\Ad-report-SCAN[1].txt
Puis ferme le programme par Quitter.

Désinstalle la version JREu22 de Java si encore présente.


@+

Re: infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})

Posté : ven. 1 juil. 2011 23:35
par grimpeur
ReBonsoir Nardino ;)
voici les rapports
RKreport[1].txt
RKreport[2].txt
Ad-Report-CLEAN[1].txt
tout est là et java(tm)6 update 22 désinstallée

ps: j'ai toujours ce fichier ${NT_CURRENT_SECURITY_FILE} sur le bureau

merci :super:

Re: infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})

Posté : sam. 2 juil. 2011 08:12
par nardino
Bonjour
Désinstalle ces "trucs"
C:\Program Files (x86)\Harmony_Hollow_Software
C:\Program Files (x86)\Eazel-FR
C:\Program Files (x86)\PHPNukeFR
C:\Program Files (x86)\Iminent

Peux-tu supprimer ce fichier ? (${NT_CURRENT_SECURITY_FILE})
@+

Re: infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})

Posté : sam. 2 juil. 2011 08:37
par grimpeur
Bonjour Nardino ;)

C:\Program Files (x86)\Harmony_Hollow_Software -----------------désinstallé

C:\Program Files (x86)\Iminent ---------------------- désinstallé

(${NT_CURRENT_SECURITY_FILE}) --------------supprimé

mais je ne vois pas les deux autres

C:\Program Files (x86)\Eazel-FR ---------- ce serait pas plutôt ce Ares p2p for windows qu'il faudrait gommer :?:
C:\Program Files (x86)\PHPNukeFR-------- :hein: trouve pas mais je vois aussi un µtorrent dans le rapport de zhpdiag = p2p aussi ca

dans C:\Program Files (x86) ou programmes même en faisant une recherche par démarrer -zone de recherche

merci

Re: infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})

Posté : sam. 2 juil. 2011 11:39
par nardino
Bonjour
Redémarre si ce n'est pas déjà fait depuis le dernier rapport ZHPDiag
Etablis-en un nouveau et poste-le comme le dernier
@+

Re: infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})

Posté : sam. 2 juil. 2011 12:00
par grimpeur
Bonjour Nardino
voici le rapport: http://www.cijoint.fr/cjlink.php?file=c ... 63bqJi.txt

merci :coucou:

Re: infection et un dossier étrange (${NT_CURRENT_SECURITY_FILE})

Posté : sam. 2 juil. 2011 12:22
par nardino
Bonjour
A désinstaller :
C:\Program Files (x86)\Ares\Ares.exe
C:\Program Files (x86)\uTorrent
C:\Program Files (x86)\Registry Mechanic

A supprimer :
C:\ProgramData\A313

A mettre à jour
Internet Explorer v8.0 > version 9.0

Lance ZHPFix par l'icône sur le bureau
Le tutoriel http://rue-du-montceau.pagesperso-orang ... hpfix.html
Coche les lignes suivantes :
O2 - BHO: Harmony Hollow Software Toolbar [64Bits] - {3806b089-6759-411d-b2c3-b7995a9f34d7} . (...) -- C:\Program Files (x86)\Harmony_Hollow_Software\tbHar1.dll (.not file.) => Conduit Harmony Hollow Software Toolbar
O4 - HKCU\..\Run: [ares] . (.Ares Development Group - Ares p2p for windows.) -- C:\Program Files (x86)\Ares\Ares.exe
O4 - HKUS\S-1-5-21-1193205064-1265513735-592256375-1000\..\Run: [ares] . (.Ares Development Group - Ares p2p for windows.) -- C:\Program Files (x86)\Ares\Ares.exe
O4 - Global Startup: C:\Users\GEANT\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk . (.BitTorrent, Inc..) -- C:\Program Files (x86)\uTorrent\uTorrent.exe
O42 - Logiciel: Ares 2.1.4 - (.Ares Development Group.) [HKLM][64Bits] -- Ares
O42 - Logiciel: µTorrent - (.Pas de propriétaire.) [HKLM][64Bits] -- uTorrent
[HKCU\Software\AppDataLow\Software\imeshmediabartb]
[HKCU\Software\Ares]
[HKCU\Software\BitTorrent]
[HKCU\Software\Iminent]
[HKLM\Software\Iminent]
O43 - CFD: 19/03/2010 - 08:08:12 - [2329] ----D- C:\ProgramData\A313
O43 - CFD: 29/12/2010 - 11:25:38 - [0] ----D- C:\ProgramData\eMule
O43 - CFD: 01/07/2011 - 16:47:46 - [707899] ----D- C:\Users\GEANT\AppData\Roaming\uTorrent
O43 - CFD: 21/05/2011 - 20:53:16 - [2327843199] ----D- C:\Users\GEANT\AppData\Local\Ares
O43 - CFD: 29/12/2010 - 11:25:36 - [13034] ----D- C:\Users\GEANT\AppData\Local\eMule
O43 - CFD: 21/05/2011 - 20:53:16 - [2327843199] ----D- C:\Users\GEANT\AppData\Local\Ares
O43 - CFD: 29/12/2010 - 11:25:36 - [13034] ----D- C:\Users\GEANT\AppData\Local\eMule
O43 - CFD: 29/01/2010 - 22:13:54 - [4611668] ----D- C:\Program Files (x86)\Ares
O43 - CFD: 24/07/2010 - 12:25:40 - [327984] ----D- C:\Program Files (x86)\uTorrent
O87 - FAEL: "TCP Query User{41D4077B-C856-4C5C-9D1E-B989AF2456E7}C:\program files (x86)\emule\emule.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "UDP Query User{CF84936F-4893-4A75-ABB4-194BC546F3F8}C:\program files (x86)\emule\emule.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "TCP Query User{EDDD7CF5-9130-4967-BD4C-AEC2A657A494}C:\program files (x86)\imesh applications\imesh\imesh.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\imesh applications\imesh\imesh.exe (.not file.)
O87 - FAEL: "UDP Query User{569295B4-0E7D-4BF7-BE07-874508961F51}C:\program files (x86)\imesh applications\imesh\imesh.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\imesh applications\imesh\imesh.exe (.not file.)
O87 - FAEL: "TCP Query User{F16F39DB-77F3-4758-A610-27B2642ADA6B}C:\program files (x86)\ares\ares.exe" | In - Private - P6 - TRUE | .(.Ares Development Group - Ares p2p for windows.) -- C:\program files (x86)\ares\ares.exe
O87 - FAEL: "UDP Query User{205DCCCD-902E-4F59-87B7-7B9F3CE30F86}C:\program files (x86)\ares\ares.exe" | In - Private - P17 - TRUE | .(.Ares Development Group - Ares p2p for windows.) -- C:\program files (x86)\ares\ares.exe
O87 - FAEL: "TCP Query User{A7BB3E88-CE68-4D32-B058-C8F7785D6BA3}C:\program files (x86)\emule\emule.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "UDP Query User{60F730F5-9907-41BC-AA38-4FBAA59DBB4E}C:\program files (x86)\emule\emule.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "{4B2121F9-625D-4BB0-92F4-A1BFB7E13205}" | In - None - P6 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe
O87 - FAEL: "{4D931201-A464-4788-914B-33A9A9BCE24C}" | In - None - P17 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe
O87 - FAEL: "TCP Query User{FF2C92D3-7A6D-4CB4-8708-51DEC3636254}C:\program files (x86)\iminent\imbooster\imbooster.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\iminent\imbooster\imbooster.exe (.not file.)
O87 - FAEL: "UDP Query User{DC8C9C2B-EC9F-44FF-AC62-CB733ED0AEF8}C:\program files (x86)\iminent\imbooster\imbooster.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\iminent\imbooster\imbooster.exe (.not file.)
Clique sur le bouton Nettoyer .
Poste le rapport obtenu.
@+
Heures au format UTC+02:00
Page 1 sur 3

Développé par phpBB® Forum Software © phpBB Limited

Traduit par phpBB-fr.com