Fichier étrange sur clé USB qui apparait tout seul

[Kenshin]

Re, entendu,

voici mon premier rapport :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees :
Site Web :
Blog :

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Kenshin [Droits d'admin]
Mode : Proxy RAZ -- Date : 16/05/2013 11:54:49
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

Termine : << RKreport[3]_PR_16052013_115449.txt >>
RKreport[1]_S_16052013_105018.txt ; RKreport[2]_D_16052013_105153.txt ; RKreport[3]_PR_16052013_115449.txt


Le second rapport:

[Evasion60]

Re

A effectuer dans cet ordre !

1/

Désactiver l'antivirus, car certains empêchent la modification du fichier hosts

Tutoriel
Compatibilité: Windows 95 / 98 /ME / 2000 / XP/ VISTA / SEVEN ( 32/64Bits )
/!\ Only for French OS /!\

Téléchargez sur votre bureau

Pour le lancer, faites un double-clic sur l'icône deMyHosts qui se trouve sur votre bureau



Le rapport " MyHosts.txt " s'ouvre quelques secondes après, copiez son contenu et postez-le sur le forum o๠vous vous faites aider
Si par erreur vous avez fermé le rapport " MyHosts.txt " avant de le copier, vous pouvez le retrouver à la racine de votre disque système ( par exemple C:\MyHosts.txt )


IMPORTANT :
MyHosts doit être lancé sur une session ayant des droits "administrateur", toute exécution sur un compte "limité" entraînera l'apparition d'une fenêtre DOS vous demandant de le relancer à partir d'un compte administrateur.

2/
Applique ce correctif =>

Lance ZHPFix par l'icône sur le bureau, par un double clic



* Dans la fenêtre qui s'ouvre, valide par " OK "
Elle a été créée lors de l'installation de ZHPDiag



A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code : Tout sélectionner

P2 - FPN:Firefox Plugin Navigator . (.BitComet - BitCometAgent v1.23 for Firefox.) -- C:\Program Files\Mozilla Firefox\Plugins\npBitCometAgent.dll    => P2P.BitComet*  
O1 - Hosts: 91.121.153.162 l2authd.lineage2.com     # Semper Fidelis #    => Infection Hosts (Hosts.Redirection)↓  
O1 - Hosts: 91.121.153.162 nProtect.lineage2.com    # Semper Fidelis #    => Infection Hosts (Hosts.Redirection)↓  
O1 - Hosts: 91.121.153.162 update.nProtect.com      # Semper Fidelis #    => Infection Hosts (Hosts.Redirection)↓  
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} . (.BitComet - BitCometBHO.) -- C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll    => P2P.BitComet*  
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} . (.BitComet - BitCometBHO.) -- C:\Program Files\BitComet\tools\BitCometBHO_1.4.8.11.dll    => P2P.BitComet*  
O9 - Extra button: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -- ClàƒÂ© orpheline    => Safer Networking Ltd - Spybot S&D  
O42 - Logiciel: BitComet 1.23 - (.CometNetwork.) [HKLM] -- BitComet    => P2P.BitComet*  
[HKCU\Software\Ask.com.tmp]    => Toolbar.Ask  
[HKCU\Software\BitComet]    => P2P.BitComet*  
O43 - CFD: 17/02/2011 - 18:33:52 - [13,768] ----D C:\Program Files\BitComet    => P2P.BitComet*  
O43 - CFD: 05/05/2013 - 12:16:57 - [3,022] ----D C:\Documents and Settings\Kenshin\Application Data\BitComet    => P2P.BitComet*  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]    => Toolbar.Skype  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]    => Toolbar.Skype  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]    => Toolbar.Skype  
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Softonic_France Toolbar]    => Toolbar.Conduit*  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}]    => Toolbar.Orange  
[HKLM\Software\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}]    => Toolbar.Orange  
[HKCU\Software\Ask.com.tmp]    => Toolbar.Ask  


EmptyCLSID
Emptytemp
EmptyFlash

Clique sur le bouton Presse-papier encadré en rouge sur l'image.




Les lignes contenues dans le presse-papier vont s'afficher.

Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :

Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.




Le rapport se trouve aussi à cet emplacement => C:\ZHP\ZHPFix.txt

Reviens dans ta réponse avec les deuxrapports demandés !

[Kenshin]

Re,

1/ ** Rapport MyHosts.txt **

MyHosts V.1.0.0.2 de jeanmimigab

Merci à la team MH, W-T ,C_XX, Laddy et à Batch_man pour leurs aides

Résultat de l'opération:restauration du fichier hosts réussi...

** Fin du rapport **

2/ Rapport de ZHPFix 2013.5.11.1 par Nicolas Coolman, Update du 11/05/2013
Fichier d'export Registre :
Run by Kenshin at 16/05/2013 15:14:33
High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée

========== Logiciel(s) ==========
ABSENT Software Key: BitComet

========== Clé(s) du Registre ==========
ABSENT Key: CLSID BHO: {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}
ABSENT Key: CLSID Extra Buttons: {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A}
ABSENT Key: CLSID Extra Buttons: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}
ABSENT Key: HKCU\Software\Ask.com.tmp
ABSENT Key: HKCU\Software\BitComet
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Softonic_France Toolbar
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
ABSENT Key: HKLM\Software\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier(s) ==========
ABSENT File: c:\program files\mozilla firefox\plugins\npbitcometagent.dll
ABSENT File: c:\program files\bitcomet\tools\bitcometbho_1.4.8.11.dll
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier HOSTS ==========
Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus.


========== Récapitulatif ==========
11 : Clé(s) du Registre
3 : Dossier(s)
4 : Fichier(s)
1 : Logiciel(s)
1 : Fichier HOSTS


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 16/05/2013 14:12:25 [2320]
C:\ZHP\ZHPFix[R2].txt - 16/05/2013 14:13:28 [2070]
C:\ZHP\ZHPFix[R3].txt - 16/05/2013 15:14:33 [2070]

(je remarque que le rapport ZHPFixReport indique: Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus. <-- je l'ai pourtant désactiver (clic droit 'désactiver protection temps réel, dois refaire la manipulation /2 ou pas pensez vous ?

Merci bien

[Evasion60]

Re

C'est ce rapport de ZHPFix qu'il me faut =>
C:\ZHP\ZHPFix[R1].txt - 16/05/2013 14:12:25 [2320]

Poste le / STP

[Kenshin]

Je suis navré, avec tout ces fichiers 'bloc note', je me suis comme qui dirait perdu

Voici:

Rapport de ZHPFix 2013.5.11.1 par Nicolas Coolman, Update du 11/05/2013
Fichier d'export Registre :
Run by Kenshin at 16/05/2013 15:12:25
High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée

========== Logiciel(s) ==========
ABSENT Uninstall Process: c:\program files\bitcomet\uninst.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BitComet]
SUPPRIME Key: CLSID BHO: {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}
SUPPRIME Key: CLSID: [HKLM\SOFTWARE\Classes\CLSID\{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}]
SUPPRIME Key: CLSID Extra Buttons: {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A}
SUPPRIME Key: CLSID Extra Buttons: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}
SUPPRIME Key: HKCU\Software\Ask.com.tmp
SUPPRIME Key: HKCU\Software\BitComet
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Softonic_France Toolbar
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier(s) ==========
SUPPRIME File: c:\program files\mozilla firefox\plugins\npbitcometagent.dll
SUPPRIME File: c:\program files\bitcomet\tools\bitcometbho_1.4.8.11.dll
ABSENT File: c:\program files\bitcomet\tools\bitcometbho_1.4.8.11.dll
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier HOSTS ==========
Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus.


========== Récapitulatif ==========
13 : Clé(s) du Registre
3 : Dossier(s)
5 : Fichier(s)
1 : Logiciel(s)
1 : Fichier HOSTS


End of clean in 00mn 12s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 16/05/2013 15:12:25 [2268]

[Evasion60]

Re

Avec l'Explorateur de Windows, rends toi ici =>
C:\Windows\System32\Drivers\etc => Hosts.txt

Copie/colle dans le bloc-notes son contenu !

A te lire

[Kenshin]

Re,

Je n'ai pas bien compris ce que vous voulez dire, j'ai été comme vous me l'aviez indiqué : C:\Windows\System32\Drivers\etc

Une fois dans le dossier ''etc' j'ai effectivement pas mal de 'hosts'

Concernant le ''Hosts.txt'' je n'ai pas cela dans le dossier "etc"

Ou alors vous vouliez dire de faire copier coller tout les Hosts dans un bloc note et le nommer Hosts.txt ? Car en les copiant collant ça ne va pas, si c'est cela, je peux copier leur noms un à un sur un bloc note

:merci:

[Evasion60]

Hello

Tu double cliques sur le premier fichier " Hosts "
Il va s'ouvrir
C'est ce fichier texte que tu copie/colle dans un autre bloc-notes que tu vas ouvrir
Tu peux même l'enregistrer "Sous" et sur ton "Bureau" (donne lui le nom de " hostsold.txt" )

[Kenshin]

Je vois, je pense avoir saisi ><,

J'ai double cliqué le premier fichier Hosts, celui ci m'a dit "ouvrir avec", j'ai donc fait "ouvrir avec bloc-note", et voici ce que j'ai:



& ici le dernier en date, si jamais


Merci de votre patience & aide

[Evasion60]

Re

Il semblerait que SpyBot S&D bloc/protège les modifs sur fichier Hosts !
Peux-tu désactiver SpyBot
Relance avec le tuto d'aide MyHosts

Si cela ne fonctionne tjrs pas, fais le en mode sans échec