Désinfection trojan.Autoit 2014-07-08T03:25:59+00:00
  • Auteur
    Messages
  • buckhulk
    Participant
    Post count: 2391

    De rien ^^ :)

  • miro2804
    Participant
    Post count: 5

    Merci beaucoup pour le coup de main!

  • buckhulk
    Participant
    Post count: 2391

    impeccable , pour moi c’est bon si pour toi c’est OK , tu vas passer Delfix (pour supprimer les logiciels de désinfection utilisés , sauf Malwarebytes et Ccleaner, car il sont obsolettes très rapidement)

    Delfix

    Delfix à changé et est devenu plus performant !

    1 – Télécharges DelFix sur votre bureau ICI

    2 – Vous pouvez cocher la case “réactiver l’UAC s’il a été désactivé !

    la case “suprimer les outils de désinfection est cochée par défaut !

    3 – vous pouvez cocher la case “éffectuer une sauvegarde du registre ! (au cas ou il y est un pbl )
    4 – vous pouvez cocher la case “purger la restauration système” tous les anciens points seront supprimés et un nouveau “sain” sera créer !
    5 – enfin cliquez sur : exécuter

    ps : Si c’est en milieu de désinfection ou si ce n’est pas indiqué, le passer comme il est programmé !

    et puis voici le canned de fin (à lire, et certaine choses à faire pour une navigation tranquille)

    [fin2desinf:11yx54qs][/fin2desinf:11yx54qs]
    [diapo2:11yx54qs][/diapo2:11yx54qs]

    :bye: Bon surf

  • miro2804
    Participant
    Post count: 5

    Yeah ca avance,
    voici le ZHPFix:
    https://antimalware.top/www/?a=d&i=vrwPVFHc5i” onclick=”window.open(this.href);return false;

  • buckhulk
    Participant
    Post count: 2391

    bonsoir,
    il est plus complet ton Diag cette fois-ci ! :)

    L'ordinateur semble aller beaucoup mieux! 

    :super:

    Que fait-on avec les détections trouvés par shortcut??

    Shortcut les nettoie en même temps !

    Je veux m'assurer que le problème est bien réglé!

    Juste un petit truc :

    • Séléctionne et copie le script suivant :

      Script ZHPFix
      ShortcutFix
      O2 - BHO: SooftCiouup [64Bits] - {26CCB544-74FD-896C-7101-DB02A1E4D38C} Clé orpheline =>PUP.RandomName
      O18 - Handler: wlmailhtml [64Bits] - Y . (...) --
      O18 - Filter: text/xml [64Bits] - Y . (...) --
      O42 - Logiciel: Java 6 Update 20 (64-bit) - (.Sun Microsystems, Inc..) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F86416020FF} => Sun Microsystems Java Update
      [HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{26CCB544-74FD-896C-7101-DB02A1E4D38C}] =>PUP.RandomName^
      ProxyFix
      EmptyPrefetch
      EmptyFlash
      SysRestore
      FirewallRAZ
      EmptyTemp

    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur “GO


      exemple :

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.

    s’il te demande de supprimer java tu fais OK (c’est une vielle version) et tu le retelécharges après : ICI java

    ensuite si c’est bon on passe à la fin … OK ??

  • miro2804
    Participant
    Post count: 5

    L’ordinateur semble aller beaucoup mieux!
    voici le ZHPDiag:
    https://antimalware.top/www/?a=d&i=QmeaefbLCB” onclick=”window.open(this.href);return false;

    Que fait-on avec les détections trouvés par shortcut??
    Je veux m’assurer que le problème est bien réglé!

  • buckhulk
    Participant
    Post count: 2391
    Que veux-tu dire par «bien vide» ? En contenu ou en nombre d'infections?

    en contenu , comme si tu avais supprimé certaine lignes ….

    Shortcut a découvert plusieurs fichiers infectés...

    oui mais : AV : McAfee Anti-Virus et Anti-Spyware Enabled
    ça sert à quoi qu l’on mette ça :

    Important - Désactivez temporairement l'antivirus , ou les agents de protection qu'il contient.

    ??

    refais moi un ZHPDiag s’il te plait ! et dis moi ce qui ne va pas ?

  • miro2804
    Participant
    Post count: 5

    Que veux-tu dire par «bien vide» ? En contenu ou en nombre d’infections?

    Voici le rapport jrt:
    https://antimalware.top/www/?a=d&i=JlNT5QWhl8” onclick=”window.open(this.href);return false;

    Voici le rapport shortcut:
    https://antimalware.top/www/?a=d&i=1bJPssgbKI” onclick=”window.open(this.href);return false;

    Shortcut a découvert plusieurs fichiers infectés…

  • buckhulk
    Participant
    Post count: 2391

    ton PC au vu du ZHPDiag me parait bien vide ….

    alors je sais pas !

    passe JRT et puis essayes de passer Shortcut_ module , comme ça on verra bien ….

    • Télécharge Junkware Removal Tool (de thisisu) sur ton bureau.
    • Lance Junkware Removal Tool, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Appuie sur n’importe quelle touche.

    • Une fois le scan terminé rends toi sur le bureau, le fichier JRT.txt à été créé.
    • Héberge le rapport JRT.txt surSosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    ______________________________________________________________________
    Shortcut_Module

    Important Désactivez temporairement l’antivirus , ou les agents de protection qu’il contient.

    Téléchargez Shortcut_Module ici :

    http://www.aht.li/2159847/Shortcut_Module.exe

    Enregistrez-le sur le bureau, et lancez-le

    cliquez sur “Nettoyer” puis laisser tourner le scan :

    Attention : il fermera les programmes en cours d’utilisation tels que IE, Firefox, Word etc…

    Si l’outil détecte un proxy et qu’aucun n’a été installé et qu’il n’y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy

    Il donnera un rapport en fin d’exécution , dans C:Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les “x” étant des chiffres)

    le pc va redemarrer.

    Héberger le rapport sur Sosupload puis fournir le lien obtenu

    Aide: comment héberger un fichier sur Sosupload

    Note : En fin de désinfection (ET PAS AVANT) relancer l’outil et cliquer sur le pett “u” en bas à droite pour le desinstaller totalement

  • miro2804
    Participant
    Post count: 5

    Merci pour ton aide Buckhulk,
    Je suis toujours incapable d’ouvrir le programme Malwarebytes et donc de récuppérer le rapport. J’ai tenté une réinstallation du programme. Pendant la réinstallation, j’ai eu plein de messages d’erreurs : erreur interne:Expression error ‘ runtime Error (at 79:177): External exception E06D7363. Le programme s’installe mais je suis toujours incapable de l’ouvrir… Je viens de lancer une analyse par mon autre antivirus (mcafee) je te tiens au courant.

    Entre temps, la procédure ZHPFix semble avoir bien fonctionné, merci pour le script.
    Voici le rapport: https://antimalware.top/www/?a=d&i=2tl7oFSHs5” onclick=”window.open(this.href);return false;

  • buckhulk
    Participant
    Post count: 2391

    Bonjour miro2804

    :welcome:

    J'ai fait rouler Malwarebytes. Il a détecté 4 .pup qu'il a mis en quarantaine mais je suis incapable de l'ouvrir pour aller chercher le rapport depuis l'analyse?!?

    en réouvrant Malwarebytes ?

    de toute façon je te conseille de vider la quarantaine aussi.

    Tu es sur que le ZHPDiag est complet ?
    Tu peux passer ce script mais si le DIAG n’est pas complet , cela risque de ne pas faire exactement ce qu’il faut !

    • Séléctionne et copie le script suivant :

      Script ZHPFix
      ShortcutFix
      [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] Shell: Modified =>Trojan.AutoIt
      O18 - Handler: wlmailhtml [64Bits] - Y . (...) --
      O18 - Filter: text/xml [64Bits] - Y . (...) --
      O43 - CFD: 2014-07-04 - 08:15:39 - [] ----D C:ProgramData9147614d91bc8d7c
      HKLMSOFTWAREWow6432NodeMicrosoftTracingBingBar_RASAPI32 =>Toolbar.Bing
      [HKLMSoftwareClassesInstallerFeatures7C72D7F5F099B941B88A031C3C03E35] =>Toolbar.Agent
      [HKLMSoftwareClassesInstallerProducts7C72D7F5F099B941B88A031C3C03E35] =>Toolbar.Agent
      [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Products7C72D7F5F099B941B88A031C3C03E35] =>Toolbar.Agent
      [HKLMSoftwareWow6432NodeClassesInstallerFeatures7C72D7F5F099B941B88A031C3C03E35] =>Toolbar.Agent
      [HKLMSoftwareWow6432NodeClassesInstallerProducts7C72D7F5F099B941B88A031C3C03E35] =>Toolbar.Agent
      [HKLMSoftwareClassesInstallerFeaturesE9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
      [HKLMSoftwareClassesInstallerProductsE9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
      [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ProductsE9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
      [HKLMSoftwareWow6432NodeClassesInstallerFeaturesE9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
      [HKLMSoftwareWow6432NodeClassesInstallerProductsE9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
      [HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionUninstall{F7D27C70-90F5-49B9-B188-0A133C0CE353}] =>Toolbar.Agent
      [HKLMSoftwareWow6432NodeMicrosoftTracingBingBar_RASAPI32] =>Toolbar.Bing
      [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] Shell: Modified =>Trojan.AutoIt^
      ProxyFix
      EmptyPrefetch
      EmptyFlash
      SysRestore
      FirewallRAZ
      EmptyTemp

    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur “GO


      exemple :

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.
  • miro2804
    Participant
    Post count: 5

    Bonjour,
    Voici mon problème, j’ai eu des problèmes de ralentissement de l’ordinateur et de publicités sur internet. J’ai réussi, je crois, à désinstaller quelques programmes malveillants avec Revo uninstaller. Les programmes: greener web ads, buzzdock, fast and safe, adware-Bprotect.

    J’ai fait rouler adwcleaner: voici le rapport

    [spoiler:25prrjdl]# AdwCleaner v3.214 – Rapport créé le 07/07/2014 à 22:04:24
    # Mis à jour le 29/06/2014 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Steph – STEPH-PC
    # Exécuté depuis : C:UsersStephDownloadsadwcleaner_3.214.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    Clé Supprimée : HKLMSOFTWAREClassesCLSID{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    Clé Supprimée : HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    Clé Supprimée : HKCUSoftwareMicrosoftWindowsCurrentVersionExtStats{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    Clé Supprimée : HKCUSoftwareMicrosoftWindowsCurrentVersionExtSettings{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}

    ***** [ Navigateurs ] *****

    -\ Internet Explorer v11.0.9600.17126

    -\ Mozilla Firefox v4.0b9 (fr)

    [ Fichier : C:UsersStephAppDataRoamingMozillaFirefoxProfilesdnxonvc.defaultprefs.js ]

    -\ Google Chrome v35.0.1916.153

    [ Fichier : C:UsersStephAppDataLocalGoogleChromeUser DataDefaultpreferences ]

    *************************

    AdwCleaner[R0].txt – [2185 octets] – [26/05/2014 14:03:26]
    AdwCleaner[R1].txt – [3439 octets] – [07/07/2014 16:54:31]
    AdwCleaner[R2].txt – [1629 octets] – [07/07/2014 22:03:22]
    AdwCleaner[S0].txt – [2205 octets] – [26/05/2014 14:04:32]
    AdwCleaner[S1].txt – [3399 octets] – [07/07/2014 17:00:12]
    AdwCleaner[S2].txt – [1554 octets] – [07/07/2014 22:04:24]

    ########## EOF – C:AdwCleanerAdwCleaner[S2].txt – [1614 octets] ##########[/spoiler:25prrjdl]

    J’ai fait rouler Malwarebytes. Il a détecté 4 .pup qu’il a mis en quarantaine mais je suis incapable de l’ouvrir pour aller chercher le rapport depuis l’analyse?!?

    Malgré tout cela, je reste pris avec un Trojan.AutoIt après un ZHPdiag,
    Voici le rapport:

    [spoiler:25prrjdl]~ Rapport de ZHPDiag v2014.7.6.102 – Nicolas Coolman (2014-07-06)
    ~ Lancé par Steph (2014-07-07 23:07:20)
    ~ Adresse du Site Web http://nicolascoolman.fr” onclick=”window.open(this.href);return false;
    ~ Adresse du Forum http://forum.nicolascoolman.fr” onclick=”window.open(this.href);return false;
    ~ Traduit par Nicolas Coolman
    ~ Etat de la version : Version à jour.
    ~ Liste blanche : Activée par le programme
    ~ Elévation des Privilèges : OK
    ~ User Account Control (UAC): Deactivate by program

    —\ Navigateurs Internet
    MSIE: Internet Explorer v11.0.9600.17126

    —\ Informations sur les produits Windows
    ~ Langage: Français
    Windows 7 Home Premium, 64-bit Service Pack 1 (Build 7601)
    Windows Server License Manager Script : OK
    ~ Windows Operating System – Windows(R) 7, OEM_SLP channel
    System Locked Preinstallation (OEM_SLP) : OK
    Windows ID Activation : OK
    ~ Windows Partial Key : RMV82
    Windows License : OK
    ~ Windows Remaining Initializations Number : 4
    Software Protection Service (Protection logicielle) : OK
    Windows Automatic Updates : OK
    Windows Activation Technologies : OK

    —\ Logiciels de protection du système
    Malwarebytes Anti-Malware version 2.0.2.1012
    Windows Defender W7 (Deactivate)

    —\ Logiciels d'optimisation du système

    —\ Logiciels de partage PeerToPeer

    —\ Surveillance de Logiciels

    —\ Informations sur le système
    ~ Processor: Intel64 Family 6 Model 23 Stepping 10, GenuineIntel
    ~ Operating System: 64 Bits
    Boot mode: Normal (Normal boot)
    Total RAM: 4056 MB (50% free)
    System Restore: Activé (Enable)
    System drive C: has 388 GB (85%) free of 451 GB

    —\ Mode de connexion au système
    ~ Computer Name: STEPH-PC
    ~ User Name: Steph
    ~ All Users Names: Steph, HomeGroupUser$, Administrateur,
    ~ Unselected Option: None
    Logged in as Administrator

    —\ Variables d'environnement
    ~ System Unit : C:
    ~ %AppZHP% : C:UsersStephAppDataRoamingZHP
    ~ %AppData% : C:UsersStephAppDataRoaming
    ~ %Desktop% : C:UsersStephDesktop
    ~ %Favorites% : C:UsersStephFavorites
    ~ %LocalAppData% : C:UsersStephAppDataLocal
    ~ %StartMenu% : C:UsersStephAppDataRoamingMicrosoftWindowsStart Menu
    ~ %Windir% : C:Windows
    ~ %System% : C:WindowsSystem32

    —\ Enumération des unités disques
    C: Hard drive, Flash drive, Thumb drive (Free 388 Go of 451 Go)
    D: CD-ROM drive (Not Inserted)

    —\ Etat du Centre de Sécurité Windows
    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] Shell: Modified =>Trojan.AutoIt
    ~ Security Center: 41 Legitimates Filtered in 00mn 00s

    —\ Recherche particulière de fichiers génériques
    [MD5.332FEAB1435662FC6C672E25BEB37BE3] – (.Microsoft Corporation – Explorateur Windows.) (.2011-02-25 – 01:19:30.) — C:WindowsExplorer.exe [2871808]
    [MD5.94355C28C1970635A31B3FE52EB7CEBA] – (.Microsoft Corporation – Application de démarrage de Windows.) (.2009-07-13 – 20:39:52.) — C:WindowsSystem32Wininit.exe [129024]
    [MD5.40BFD9D6EC8E174145F012246CA73CCD] – (.Microsoft Corporation – Extensions Internet pour Win32.) (.2014-05-30 – 02:56:56.) — C:WindowsSystem32wininet.dll [2266112]
    [MD5.88AB9B72B4BF3963A0DE0820B4B0B06C] – (.Microsoft Corporation – Application d’ouverture de session Windows.) (.2014-03-04 – 04:43:50.) — C:WindowsSystem32Winlogon.exe [455168]
    [MD5.067FA52BFB59A56110A12312EF9AF243] – (.Microsoft Corporation – Bibliothèque de licences.) (.2010-11-20 – 08:27:26.) — C:WindowsSystem32sppcomapi.dll [232448]
    [MD5.79059559E89D06E8B80CE2944BE20228] – (.Microsoft Corporation – Ancillary Function Driver for WinSock.) (.2013-09-27 – 20:09:10.) — C:Windowssystem32DriversAFD.sys [497152]
    [MD5.02062C0B390B7729EDC9E69C680A6F3C] – (.Microsoft Corporation – ATAPI IDE Miniport Driver.) (.2009-07-13 – 20:52:21.) — C:Windowssystem32Driversatapi.sys [24128]
    [MD5.B8BD2BB284668C84865658C77574381A] – (.Microsoft Corporation – CD-ROM File System Driver.) (.2009-07-13 – 18:19:47.) — C:Windowssystem32DriversCdfs.sys [92160]
    [MD5.F036CE71586E93D94DAB220D7BDF4416] – (.Microsoft Corporation – SCSI CD-ROM Driver.) (.2010-11-20 – 04:19:21.) — C:Windowssystem32DriversCdrom.sys [147456]
    [MD5.9BB2EF44EAA163B29C4A4587887A0FE4] – (.Microsoft Corporation – DFS Namespace Client Driver.) (.2010-11-20 – 04:26:32.) — C:Windowssystem32DriversDfsC.sys [102400]
    [MD5.97BFED39B6B79EB12CDDBFEED51F56BB] – (.Microsoft Corporation – High Definition Audio Bus Driver.) (.2010-11-20 – 05:43:43.) — C:Windowssystem32DriversHDAudBus.sys [122368]
    [MD5.FA55C73D4AFFA7EE23AC4BE53B4592D3] – (.Microsoft Corporation – Pilote de port i8042.) (.2009-07-13 – 18:19:57.) — C:Windowssystem32Driversi8042prt.sys [105472]
    [MD5.AF9B39A7E7B6CAA203B3862582E9F2D0] – (.Microsoft Corporation – IP Network Address Translator.) (.2009-07-13 – 19:10:03.) — C:Windowssystem32DriversIpNat.sys [116224]
    [MD5.A5D9106A73DC88564C825D317CAC68AC] – (.Microsoft Corporation – Windows NT SMB Minirdr.) (.2011-04-26 – 21:40:40.) — C:Windowssystem32DriversMRxSmb.sys [158208]
    [MD5.09594D1089C523423B32A4229263F068] – (.Microsoft Corporation – MBT Transport driver.) (.2010-11-20 – 04:23:20.) — C:Windowssystem32DriversnetBT.sys [261632]
    [MD5.1A29A59A4C5BA6F8C85062A613B7E2B2] – (.Microsoft Corporation – Pilote du système de fichiers NT.) (.2014-01-23 – 21:37:55.) — C:Windowssystem32Driversntfs.sys [1684928]
    [MD5.0086431C29C35BE1DBC43F52CC273887] – (.Microsoft Corporation – Pilote de port parallèle.) (.2009-07-13 – 19:00:41.) — C:Windowssystem32DriversParport.sys [97280]
    [MD5.471815800AE33E6F1C32FB1B97C490CA] – (.Microsoft Corporation – RAS L2TP mini-port/call-manager driver.) (.2010-11-20 – 05:52:35.) — C:Windowssystem32DriversRasl2tp.sys [129536]
    [MD5.548260A7B8654E024DC30BF8A7C5BAA4] – (.Microsoft Corporation – SMB Transport driver.) (.2009-07-13 – 19:09:09.) — C:Windowssystem32Driverssmb.sys [93184]
    [MD5.DDAD5A7AB24D8B65F8D724F5C20FD806] – (.Microsoft Corporation – TDI Translation Driver.) (.2010-11-20 – 04:21:56.) — C:Windowssystem32Driverstdx.sys [119296]
    [MD5.0D08D2F3B3FF84E433346669B5E0F639] – (.Microsoft Corporation – Pilote de cliché instantané du volume.) (.2010-11-20 – 08:34:02.) — C:Windowssystem32Driversvolsnap.sys [295808]
    ~ Generic Processes: Scanned in 00mn 01s

    —\ Etat des fichiers cachés (Caché/Total)
    ~ Mes images (My Pictures) : 2/374
    ~ Mes musiques (My Musics) : 1/421
    ~ Mes Favoris (My Favorites) : 0/113
    ~ Mes Documents (My Documents) : 0/50
    ~ Mon Bureau (My Desktop) : 0/1680
    ~ Menu demarrer (Programs) : 0/26
    ~ Hidden Files: Scanned in 00mn 01s

    —\ Processus lancés
    [MD5.EAA666E9DD8DCDA6E075087091CB85EE] – (.Hewlett-Packard Co. – HP Digital Imaging Monitor.) — C:Program Files (x86)HPDigital Imagingbinhpqtra08.exe [275072] [PID.2864]
    [MD5.FE36976864A30EA91E14D024F8BF7DD8] – (.Dropbox, Inc. – Dropbox.) — C:UsersStephAppDataRoamingDropboxbinDropbox.exe [24176560] [PID.2892]
    [MD5.4DB8C3E9A5D6EB99F21B199C28EDE8D1] – (.Hewlett-Packard Co. – HP CUE Status Root.) — C:Program Files (x86)HPDigital ImagingbinhpqSTE08.exe [173696] [PID.2324]
    [MD5.469533CC7F16566BE9D3436860E12013] – (.Hewlett-Packard Co. – HP CUE Alert Popup Window Objects.) — C:Program Files (x86)HPDigital Imagingbinhpqbam08.exe [563840] [PID.1492]
    [MD5.66BB5B07696219FA334452D6F51FD648] – (.Hewlett-Packard – GPCore COM object.) — C:Program Files (x86)HPDigital Imagingbinhpqgpc01.exe [366720] [PID.3304]
    [MD5.A5FCD42334CCC682DA1882A54338686C] – (.Google Inc. – Google Chrome.) — C:Program Files (x86)GoogleChromeApplicationchrome.exe [860488] [PID.508]
    [MD5.7E0EBC6933621F994BF6C4232548CDA7] – (.Nicolas Coolman – ZHPDiag.) — C:Program Files (x86)ZHPDiagZHPDiag.exe [8074240] [PID.2968]
    ~ Processes Running: Scanned in 00mn 00s

    —\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
    C:UsersStephAppDataLocalGoogleChromeUser DataDefaultPreferences
    G2 – GCE: Preference [User DataDefault] [apdfllckaahabafndbhieahigkjlhalf] Google Drive v.6.3 (Activé)
    G2 – GCE: Preference [User DataDefault] [neajdppkdcdipfabeoofebfddakdcjhd] Google Network Speech v.1.0 (Activé)
    G2 – GCE: Preference [User DataDefault] [pafkbggdmjlpgkdkcbjmhmfcdpncadgh] Google Now v.1.2.0.1 (Activé)

    —\ Liste des dossiers d'extension Google Chrome
    ~ Google Lines Browser: 15 Legitimates Filtered in 00mn 01s

    —\ Internet Explorer, Proxy Management (R5)
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = no key
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyEnable = 0
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,MigrateProxy = 1
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,EnableHttp1_1 = 1
    ~ Proxy management: Scanned in 00mn 00s

    —\ Analyse des lignes F0, F1, F2, F3 – IniFiles, Autoloading programs
    F2 – REG:system.ini: USERINIT=C:Windowssystem32userinit.exe,
    F2 – REG:system.ini: Shell=C:Windowsexplorer.exe
    F2 – REG:system.ini: VMApplet=C:WindowsSystem32shell32.dll
    ~ Keys: Scanned in 00mn 00s

    —\ Hosts file redirection (O1)
    ~ Le fichier hosts est sain (The hosts file is clean).
    ~ Hosts File: Scanned in 00mn 00s
    ~ Nombre de lignes (Lines number): 21

    —\ Modification Domaine/Adresses DNS (O17)
    O17 – HKLMSystemCCSServicesTcpip..{319EC7D7-37A5-4DCE-AEF7-BE1FB17FC4EC}: DhcpNameServer = 192.168.2.1
    O17 – HKLMSystemCCSServicesTcpip..{319EC7D7-37A5-4DCE-AEF7-BE1FB17FC4EC}: DhcpDomain = gateway.2wire.net
    O17 – HKLMSystemCS1ServicesTcpip..{319EC7D7-37A5-4DCE-AEF7-BE1FB17FC4EC}: DhcpNameServer = 192.168.2.1
    O17 – HKLMSystemCS1ServicesTcpip..{319EC7D7-37A5-4DCE-AEF7-BE1FB17FC4EC}: DhcpDomain = gateway.2wire.net
    O17 – HKLMSystemCS2ServicesTcpip..{319EC7D7-37A5-4DCE-AEF7-BE1FB17FC4EC}: DhcpNameServer = 192.168.2.1
    O17 – HKLMSystemCS2ServicesTcpip..{319EC7D7-37A5-4DCE-AEF7-BE1FB17FC4EC}: DhcpDomain = gateway.2wire.net
    O17 – HKLMSystemCCSServicesTcpipParameters: DhcpNameServer = 192.168.2.1
    ~ Domain: Scanned in 00mn 00s

    —\ Protocole additionnel (O18)
    O18 – Handler: wlmailhtml [64Bits] – Y . (…) —
    O18 – Filter: text/xml [64Bits] – Y . (…) —
    ~ Protocole Additionnel: Scanned in 00mn 00s

    —\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
    O43 – CFD: 2014-07-04 – 08:15:39 – [] —-D C:ProgramData9147614d91bc8d7c
    O43 – CFD: 2014-06-12 – 22:04:00 – [] —-D C:UsersStephAppDataRoamingShortcut
    ~ Program Folder: 179 Legitimates Filtered in 00mn 00s

    —\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
    O44 – LFC:[MD5.EFBA98F8666166780CEB134DC171C544] – 2014-07-07 – 14:50:26 —A- . (…) — C:Windowswin.ini [615]
    O44 – LFC:[MD5.51E43258EC74590330B61BDC87A92589] – 2014-07-07 – 16:13:37 —A- . (…) — C:PhysicalMBR.bin [512]
    ~ Files: 13 Legitimates Filtered in 04mn 09s

    —\ Enumération des clés de registre PoliciesSystem (MWPS) (O55)
    O55 – MWPS:[HKLM…PoliciesSystem] – “EnableUIADesktopToggle”=0
    O55 – MWPS:[HKLM…PoliciesSystem] – “FilterAdministratorToken”=0
    ~ MWPS: 18 Legitimates Filtered in 00mn 00s

    —\ Liste des pilotes du système (SDL) (O58)
    O58 – SDL:2009-07-13 – 20:47:48 —A- . (.Emulex – Storport Miniport Driver for LightPulse HBAs.) — C:WindowsSystem32Driverselxstor.sys [530496]
    O58 – SDL:2009-06-10 – 15:31:59 —A- . (.Hauppauge Computer Works, Inc. – Hauppauge WinTV 885 Consumer IR Driver for eHome.) — C:WindowsSystem32Drivershcw85cir.sys [31232]
    O58 – SDL:2009-07-13 – 20:45:55 —A- . (.Promise Technology – Promise SuperTrak EX Series Driver for Windows.) — C:WindowsSystem32Driversstexstor.sys [24656]
    O58 – SDL:2010-02-25 – 13:03:00 —A- . (.IDT, Inc. – IDT PC Audio.) — C:WindowsSystem32Driversstwrt64.sys [505856]
    O58 – SDL:2010-09-28 – 15:44:52 —A- . (.Apple, Inc. – Apple Mobile Device USB Driver.) — C:WindowsSystem32Driversusbaapl64.sys [51712]
    O58 – SDL:2009-09-28 – 08:22:00 —A- . (…) — C:WindowsSystem32Driversyk62x64.sys [395264]
    ~ Drivers: 69 Legitimates Filtered in 00mn 04s

    —\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
    O61 – LFC: 2014-07-07 – 23:12:55 —A- . (…) — C:UsersStephDownloadsadwcleaner_3.214 (1).exe [1346519]
    O61 – LFC: 2014-07-07 – 23:12:55 —A- . (…) — C:UsersStephDownloadsadwcleaner_3.214.exe [1346519]
    ~ 5263 Fichiers temporaires (Temporary files)
    ~ 1930 Fichiers cookies (Cookies files)
    ~ Files: 26 Legitimates Filtered in 00mn 45s

    —\ Liste des outils de désinfection (LATC) (O63)
    O63 – Logiciel: ZHPDiag 2014 – (.Nicolas Coolman.) [HKLM] — ZHPDiag_is1 =>.Nicolas Coolman
    ~ ADS: Scanned in 00mn 00s

    —\ Associations Shell Spawning (O67)
    O67 – Shell Spawning: < .html> [HKCU..openCommand] (.Not Key.)
    ~ FASS Keys: 11 Legitimates Filtered in 00mn 00s

    —\ Menu de démarrage Internet (SMI) (O68)
    O68 – StartMenuInternet: [HKLM..ShellopenCommand] (.Mozilla Corporation – Firefox.) — C:Program Files (x86)Mozilla Firefox 4.0 Beta 9firefox.exe
    O68 – StartMenuInternet: [HKLM..ShellopenCommand] (.Google Inc. – Google Chrome.) — C:Program Files (x86)GoogleChromeApplicationchrome.exe
    O68 – StartMenuInternet: [HKLM..ShellopenCommand] (.Microsoft Corporation – Internet Explorer.) — C:Program FilesInternet Exploreriexplore.exe
    ~ Keys: Scanned in 00mn 00s

    —\ Recherche d'infection sur les navigateurs internet (SBI) (O69)
    O69 – SBI: SearchScopes [HKCU] {C2C705A7-69C4-4DE8-9921-3C9CE12D511A} – (Google) – http://www.google.com” onclick=”window.open(this.href);return false;
    ~ Keys: Scanned in 00mn 00s

    —\ Recherche de clés de registre Tracing (O100)
    HKLMSOFTWAREWow6432NodeMicrosoftTracingBingBar_RASAPI32 =>Toolbar.Bing
    ~ BTK: 250 Legitimates Filtered in 00mn 00s

    —\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
    SS – | Demand 2010-07-28 246520 | (GameConsoleService) . (.WildTangent, Inc..) – C:Program Files (x86)WildTangentDell GamesDell Game ConsoleGameConsoleService.exe
    SS – | Demand 2010-07-30 16680 | (GoToAssist) . (.Citrix Online, a division of Citrix Systems.) – C:Program Files (x86)CitrixGoToAssist514g2aservice.exe
    SS – | Demand 1658-07-10 0 | (gupdatem) . (…) – C:Program Files (x86)GoogleUpdateGoogleUpdate.exe
    SS – | Demand 2010-12-13 932640 | (iPod Service) . (.Apple Inc..) – C:Program FilesiPodbiniPodService.exe
    SS – | Demand 2013-08-02 602944 | (McODS) . (.McAfee, Inc..) – C:Program FilesmcafeeVirusScanmcods.exe
    SS – | Demand 2009-07-13 27136 | C:Program Files (x86)Windows Defendermpsvc.dll (WinDefend) . (.Microsoft Corporation.) – C:WindowsSystem32svchost.exe
    SR – | Auto 2009-03-02 89600 | (AESTFilters) . (.Andrea Electronics Corporation.) – C:WindowsSystem32DriverStoreFileRepositorystwrt64.inf_amd64_neutral_7f58c91b65c73836AESTSr64.exe
    SR – | Demand 2009-07-13 27136 | C:Program Files (x86)HPDigital Imagingbinhpqcxs08.dll (hpqcxs08) . (.Hewlett-Packard Co..) – C:WindowsSystem32svchost.exe
    SR – | Auto 2009-07-13 27136 | C:Program Files (x86)HPDigital Imagingbinhpqddsvc.dll (hpqddsvc) . (.Hewlett-Packard Co..) – C:WindowsSystem32svchost.exe
    SR – | Auto 2013-07-30 328928 | (McMPFSvc) . (.McAfee, Inc..) – C:Program FilesCommon FilesMcAfeePlatformMcSvcHostMcSvHost.exe
    SR – | Auto 2013-07-30 328928 | (McNaiAnn) . (.McAfee, Inc..) – C:Program FilesCommon FilesmcafeePlatformMcSvcHostMcSvHost.exe
    SR – | Auto 2013-07-30 328928 | (mcpltsvc) . (.McAfee, Inc..) – C:Program FilesCommon FilesmcafeePlatformMcSvcHostMcSvHost.exe
    SR – | Auto 2013-07-30 328928 | (McProxy) . (.McAfee, Inc..) – C:Program FilesCommon FilesmcafeePlatformMcSvcHostMcSvHost.exe
    SR – | Auto 2014-03-18 1041192 | (mfecore) . (.McAfee, Inc..) – C:Program FilesCommon FilesMcAfeeAMCoremcshield.exe
    SR – | Auto 2014-04-03 219752 | (mfefire) . (.McAfee, Inc..) – C:Program FilesCommon FilesMcAfeeSystemCoremfefire.exe
    SR – | Auto 2014-04-03 189912 | (mfevtp) . (.McAfee, Inc..) – C:Windowssystem32mfevtps.exe
    SR – | Auto 2013-07-30 328928 | (MSK80Service) . (.McAfee, Inc..) – C:Program FilesCommon FilesMcAfeePlatformMcSvcHostMcSvHost.exe
    SR – | Auto 2009-07-13 27136 | C:Windowssystem32HPZinw12.dll (Net Driver HPZ12) . (.Hewlett-Packard.) – C:WindowsSystem32svchost.exe
    SR – | Auto 2009-07-13 27136 | C:Windowssystem32HPZipm12.dll (Pml Driver HPZ12) . (.Hewlett-Packard.) – C:WindowsSystem32svchost.exe
    SR – | Auto 1658-07-10 0 | (WMPNetworkSvc) . (…) – C:Program Files (x86)Windows Media Playerwmpnetwk.exe =>.Microsoft Corporation
    SR – | Auto 2009-07-13 27136 | C:WindowsSystem32wuaueng.dll (wuauserv) . (.Microsoft Corporation.) – C:WindowsSystem32svchost.exe
    ~ Services: Scanned in 00mn 14s

    —\ Recherche d'infection sur le Master Boot Record (MBR)(O80)
    Run by Steph at 2014-07-07 23:18:30
    ~ OS 64 not supported by MBR tool
    ~ MBR: 0 Legitimates Filtered in 00mn 00s

    —\ Recherche d'infection sur le Master Boot Record (MBRCheck)(O80)
    Written by ad13, http://ad13.geekstog” onclick=”window.open(this.href);return false;
    Run by Steph at 2014-07-07 23:18:32
    ********* Dump file Name *********
    C:PhysicalDisk0_MBR.bin
    ~ MBR: Scanned in 00mn 02s

    —\ Scan Additionnel (O88)
    Database Version : 13026 – (2014-07-06)
    Clés trouvées (Keys found) : 12
    Valeurs trouvées (Values found) : 0
    Dossiers trouvés (Folders found) : 0
    Fichiers trouvés (Files found) : 1

    [HKLMSoftwareClassesInstallerFeatures7C72D7F5F099B941B88A031C3C03E35] =>Toolbar.Agent
    [HKLMSoftwareClassesInstallerProducts7C72D7F5F099B941B88A031C3C03E35] =>Toolbar.Agent
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Products7C72D7F5F099B941B88A031C3C03E35] =>Toolbar.Agent
    [HKLMSoftwareWow6432NodeClassesInstallerFeatures7C72D7F5F099B941B88A031C3C03E35] =>Toolbar.Agent
    [HKLMSoftwareWow6432NodeClassesInstallerProducts7C72D7F5F099B941B88A031C3C03E35] =>Toolbar.Agent
    [HKLMSoftwareClassesInstallerFeaturesE9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
    [HKLMSoftwareClassesInstallerProductsE9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ProductsE9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
    [HKLMSoftwareWow6432NodeClassesInstallerFeaturesE9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
    [HKLMSoftwareWow6432NodeClassesInstallerProductsE9201899CF73FC4BA93F631631229A1] =>Toolbar.Agent
    [HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionUninstall{F7D27C70-90F5-49B9-B188-0A133C0CE353}] =>Toolbar.Agent
    [HKLMSoftwareWow6432NodeMicrosoftTracingBingBar_RASAPI32] =>Toolbar.Bing
    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] Shell: Modified =>Trojan.AutoIt^
    ~ Additionnel Scan: 430619 Items scanned in 02mn 24s

    —\ Informations complémentaires sur les modules
    ~ http://nicolascoolman.fr/g2-google-chrome-extensions/” onclick=”window.open(this.href);return false; =>.Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
    ~ http://nicolascoolman.fr/r5-internet-explorer-proxy-management-iepm/” onclick=”window.open(this.href);return false; =>.Internet Explorer, Proxy Management (R5)
    ~ AMI: 2 Legitimates Filtered in 00mn 00s

    —\ Récapitulatif des détections trouvées sur votre station
    http://nicolascoolman.fr/trojan-autoit” onclick=”window.open(this.href);return false; =>Trojan.AutoIt
    ~ MSI: 1 link(s) detected in 00mn 00s

    ~ 742 Legitimates filtered by white list
    End of the scan (333 lines in 13mn 37s)(0)[/spoiler:25prrjdl]

    Merci de m’aider à me débarasser de ce Trojan… et de m’assurer que l’ordi est désinfecté.

    Jérôme

Le sujet ‘Désinfection trojan.Autoit’ est fermé à de nouvelles réponses.