FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[grisouille78]

Bonjour,

Depuis quelques jours, le PC de ma fille affiche regulièrement un page sur fond vert... indiquant "Brontok.a 10"..  

Ses clés usb et disque externe de sauvegarde passé sur mon PC équipé de Norton, le virus  W32.Rontokbro@mm est détecté est supprimé...

Que puis faire pour desinfecté le PC... ??? les clés et le disque dur ne semblent plus contaminés après scan de NOrton depuis mon PC...

J'ai la possibilité d'avoir un adaptateur de disque USB, est  il possible de démonter le disque dur de son PC, de l'installer dans l'adaptateur, et de faire un scan de l'ensemble  avec mon PC et Norton... (idem clés et disque externe??).
Est ce une bonne solution, ou y a t il mieux (Il semblerait que oui à la lecture de toutes vos aides en ligne...mais je ne suis pas très doué en informatique je ne suis pas certain d'être à la hauteur !!! pour effectuer toutes les manips que vous demandez en général de faire..    :-( je ne sais pas si je suis capable de faire autre chose  que le scan avec adaptateur USB... :-(

Pouvez vous me conseiller ou m'aider pour résoudre mon pb????

PC sony Viao VPCW12   windows 7


merci bcp

Cdt
Vincent

[jacques.gache]

bonjour, pourrais tu passer usbfix en mode SUPPRESSION en ayant connecté tes supports amovible infecté, merci

• Télécharge UsbFix (créé par El Desaparecido C_XX) sur ton Bureau
  http://services.service-webmaster.fr/cp ... -6505.html
  Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
• Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement.
• Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
• Clique sur "Suppression".
• Laisse travailler l'outil.
• À la fin du scan, un rapport va s'afficher : post-le dans ta prochaine réponse sur le forum (il est aussi sauvegardé a la racine du disque dur).

Canned speech issu de FEI : http://www.forum-entraide-informatique.com/

[grisouille78]

bonjour,
Merci pour ce retour rapide...

Pour information, il n'y a pas d'antivirus sur le PC infecté....
je n'ai pas a ma disposition la clé et le disque dur de back up... est important ??? puis je faire la manip sans ces deux perifs???

[jacques.gache]

bonjour, oui mais il faudra la refaire avec les supports , et puis sur tous les pc sur lequel tu as conecté ces supports amovible !! il faudra voire à mettre un antivirus  il y en a des gratuits qui sont très bien !!

[grisouille78]

Comme indiqué dans la description, j'avais pu scanner les deux avec un PC équipé de Norton, et il semble qu'il ait pu supprimer les fichiers des deux... (Norton ne trouvait plus rien après un second scan)..
Comme indiqué aussi , je suis vraiment pas très doué en informatique... je ne sais pas si je vais pouvoir réussir a faire tout ce que tu risque de me demander.... :-(

La solution de l'adaptateur USB est elle possible??? et si oui , est elle efficace est plus simple???

[jacques.gache]

La solution de l'adaptateur USB est elle possible??
oui mais à savoir que je suis pas sur que norton réussisse à tous nettoyé si il en était capable sa se saurait !! lol !!

tu me fais usbfix sur le pc en question puis essais de le faire sur celui qui a norton comme cela tu verras bien si il est aussi éfficasse que cela !!

[grisouille78]

Ok
je te fais confiance... c'est toi qui connait..
J'espère que je serai a la hauteur pour effectuer les manips que tu vas me demander....
je ne suis vraiment pas sur de moi !!!!

je lance USBfix

merci

[jacques.gache]

rien de bien compliqué ??

[grisouille78]

Voilà le rapport qui c'est affiché....
qu'est ce que cela veut dire????
j'espèreque j'ai fait correctement... dis moi...


############################## | UsbFix V 7.132 | [Suppression]

Utilisateur: AdministrateurOlivie (Administrateur) # CLEA-VAIO
Mis à jour le 24/08/2013 par El Desaparecido
Lancé à 19:15:14 | 25/08/2013

Site Web: http://sosvirus.net/
Upload Malware: http://sosvirus.net/viewtopic.php?f=6t=489
Contact: eldesaparecido@sosvirus.net

PC: Sony Corporation (VPCW12M1E) (X86-based PC)
CPU: Intel(R) Atom(TM) CPU N280 @ 1.66GHz (1667)
RAM - [Total : 1014 | Free : 212]
BIOS: Ver 1.00PARTTBL
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Starter (6.1.7600 32-Bit) #
WB: Windows Internet Explorer 8.0.7600.16385

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AS: Windows Defender [Enabled | (!) Outdated]
FW: Windows FireWall Service [Enabled]

C:\ - Disque fixe # 142 Go (99 Go libre(s) - 69%) [] # NTFS

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [IgfxTray] - C:\Windows\system32\igfxtray.exe
HKLM\SOFTWARE | Run : [HotKeysCmds] - C:\Windows\system32\hkcmd.exe
HKLM\SOFTWARE | Run : [Persistence] - C:\Windows\system32\igfxpers.exe
HKLM\SOFTWARE | Run : [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
HKLM\SOFTWARE | Run : [SynTPEnh] - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM\SOFTWARE | Run : [ISBMgr.exe] - "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"
HKLM\SOFTWARE | Run : [MarketingTools] - C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
HKLM\SOFTWARE | Run : [CardDetectorICON225] - C:\Program Files\CardDetector\ICON225\CardDetector.exe
HKLM\SOFTWARE | Run : [BEWINTERNET-FR-DMGP-V2SessionManager] - C:\Program Files\Orange\IEWInternet\SessionManager\SessionManager.exe
HKLM\SOFTWARE | Run : [Nokia FastStart] - "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
HKLM\SOFTWARE | Run : [Babylon Client] - C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
HKLM\SOFTWARE | Run : [AppleSyncNotifier] - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
HKLM\SOFTWARE | Run : [SHTtray.exe] - C:\Program Files\Common Files\Sony Shared\SOHLib\SHTtray.exe
HKLM\SOFTWARE | Run : [QuickTime Task] - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [APSDaemon] - "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
HKLM\SOFTWARE | Run : [iTunesHelper] - "C:\Program Files\iTunes\iTunesHelper.exe"
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-1761684038-1430109912-663256715-1001\SOFTWARE | Run : [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
HKU\S-1-5-21-1761684038-1430109912-663256715-1002\SOFTWARE | Run : [swg] - "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\S-1-5-21-1761684038-1430109912-663256715-1002\SOFTWARE | Run : [Google Update] - "C:\Users\Cléa\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-1761684038-1430109912-663256715-1002\SOFTWARE | Run : [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
HKU\S-1-5-21-1761684038-1430109912-663256715-1002\SOFTWARE | Run : [Tok-Cirrhatus] - "C:\Users\Cléa\AppData\Local\smss.exe"
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Processus Stoppés |

Stoppé! C:\Windows\System32\spoolsv.exe (1416)
Stoppé! C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (1524)
Stoppé! C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1544)
Stoppé! C:\Program Files\Bonjour\mDNSResponder.exe (1576)
Stoppé! C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe (1608)
Stoppé! C:\Windows\system32\taskhost.exe (1952)
Stoppé! C:\Windows\Explorer.EXE (312)
Stoppé! C:\Windows\System32\hkcmd.exe (1328)
Stoppé! C:\Windows\System32\igfxpers.exe (1308)
Stoppé! C:\Windows\system32\igfxsrvc.exe (1848)
Stoppé! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1836)
Stoppé! C:\Program Files\Sony\ISB Utility\ISBMgr.exe (1688)
Stoppé! C:\Program Files\Sony\Marketing Tools\MarketingTools.exe (1756)
Stoppé! C:\Program Files\CardDetector\ICON225\CardDetector.exe (324)
Stoppé! C:\Program Files\Common Files\Sony Shared\SOHLib\SHTtray.exe (2116)
Stoppé! C:\Program Files\Common Files\Java\Java Update\jusched.exe (2188)
Stoppé! C:\Program Files\iTunes\iTunesHelper.exe (2240)
Stoppé! C:\Program Files\Skype\Phone\Skype.exe (2300)
Stoppé! C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (2336)
Stoppé! C:\Windows\system32\taskeng.exe (2348)
Stoppé! C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe (2520)
Stoppé! C:\Users\Cléa\AppData\Local\winlogon.exe (2632)
Stoppé! C:\Users\Cléa\AppData\Local\services.exe (2836)
Stoppé! C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (2908)
Stoppé! C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (2952)
Stoppé! C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe (3020)
Stoppé! C:\Users\Cléa\AppData\Local\lsass.exe (3072)
Stoppé! C:\Program Files\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe (3168)
Stoppé! C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe (3240)
Stoppé! C:\Program Files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe (3288)
Stoppé! C:\Program Files\Sony\VAIO Event Service\VESMgr.exe (3324)
Stoppé! C:\Program Files\Sony\VAIO Power Management\SPMService.exe (3356)
Stoppé! C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe (3424)
Stoppé! C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe (3500)
Stoppé! C:\Program Files\Sony\VAIO Smart Network\VSNService.exe (3548)
Stoppé! C:\Program Files\Sony\VAIO Power Management\SPMgr.exe (3556)
Stoppé! C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe (3604)
Stoppé! C:\Windows\system32\DllHost.exe (3640)
Stoppé! C:\Program Files\Common Files\Sony Shared\SOHLib\SOHDms.exe (3804)
Stoppé! C:\Program Files\Common Files\Sony Shared\SOHLib\SOHDs.exe (3868)
Stoppé! C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe (3908)
Stoppé! C:\Program Files\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe (3984)
Stoppé! C:\Program Files\Sony\VAIO Smart Network\VSNClient.exe (1728)
Stoppé! C:\Program Files\Common Files\Sony Shared\SOHLib\SOHCImp.exe (2748)
Stoppé! C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe (2324)
Stoppé! C:\Windows\system32\SearchIndexer.exe (4184)
Stoppé! C:\Program Files\iPod\bin\iPodService.exe (4340)
Stoppé! C:\Program Files\Sony\VAIO Gate\VAIO Gate.exe (4672)
Stoppé! C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (4868)
Stoppé! C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe (4948)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (5144)
Stoppé! C:\Windows\system32\WUDFHost.exe (3840)
Stoppé! C:\Windows\system32\wuauclt.exe (4992)
Stoppé! C:\Program Files\Internet Explorer\iexplore.exe (5200)
Stoppé! C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe (2740)
Stoppé! C:\Program Files\Internet Explorer\iexplore.exe (6204)
Stoppé! C:\Program Files\Windows Live\Toolbar\wltuser.exe (6308)
Stoppé! C:\Program Files\Internet Explorer\iexplore.exe (556)
Stoppé! C:\Users\Cléa\AppData\Local\Google\Chrome\Application\chrome.exe (1068)
Stoppé! C:\Users\Cléa\AppData\Local\Google\Chrome\Application\chrome.exe (6752)
Stoppé! C:\Users\Cléa\AppData\Local\Google\Chrome\Application\chrome.exe (7760)
Stoppé! C:\Windows\system32\ping.exe (8156)
Stoppé! C:\Windows\system32\conhost.exe (7772)
Stoppé! C:\Windows\system32\ping.exe (8036)
Stoppé! C:\Windows\system32\ping.exe (7444)
Stoppé! C:\Users\Cléa\AppData\Local\inetinfo.exe (6540)

################## | Éléments infectieux |


(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[30/08/2012 - 23:27:20 | SHD ] C:\$Recycle.Bin
[16/07/2010 - 18:24:12 | D ] C:\05181a8f40e0601c7e85229b0bcf
[10/06/2009 - 23:42:20 | N | 24] C:\autoexec.bat
[10/06/2009 - 23:42:20 | N | 10] C:\config.sys
[29/08/2012 - 02:37:47 | D ] C:\Docs WORD
[30/09/2009 - 05:02:43 | D ] C:\Documentation
[14/07/2009 - 06:53:55 | SHD ] C:\Documents and Settings
[02/09/2012 - 19:25:47 | N | 45] C:\error.log
[31/03/2011 - 16:37:19 | D ] C:\Hauppauge
[31/03/2011 - 16:40:50 | N | 126028] C:\hcwclear.txt
[31/03/2011 - 16:39:15 | N | 46366] C:\hcwDriverInstall.txt
[25/08/2013 - 12:27:00 | ASH | 797777920] C:\hiberfil.sys
[27/08/2009 - 15:28:53 | D ] C:\Intel
[30/09/2009 - 04:29:06 | RHD ] C:\MSOCache
[23/03/2010 - 11:09:42 | N | 6700] C:\Nokia6730classic_MS_BT.inf
[25/08/2013 - 12:27:03 | ASH | 1073741824] C:\pagefile.sys
[14/07/2009 - 04:37:05 | D ] C:\PerfLogs
[28/07/2013 - 15:54:32 | D ] C:\Program Files
[04/07/2013 - 17:25:20 | HD ] C:\ProgramData
[20/06/2013 - 19:04:52 | D ] C:\projet elan
[22/08/2013 - 23:09:04 | SHD ] C:\System Volume Information
[25/08/2013 - 19:19:59 | D ] C:\UsbFix
[25/08/2013 - 19:20:49 | A | 9527] C:\UsbFix [Clean 1] CLEA-VAIO.txt
[28/07/2013 - 16:16:00 | D ] C:\Users
[02/04/2010 - 11:18:34 | D ] C:\VAIO Entertainment
[05/07/2013 - 10:56:00 | D ] C:\Windows
[30/09/2009 - 05:02:43 | D ] C:\_FS_SWRINFO

################## | Vaccin |

C:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://sosvirus.net |

[jacques.gache]

ok c'est bizarre il a rien trouvé !! mais bon les supports amovible étaient pas connecté , postes un zhpdiag pour voire si pas autre chose sur se pc !!

On va faire un diagnostic de ton PC pour plus de renseignements ==

• Télécharge ZHPDiag sur ton bureau : https://www.sosvirus.net/telecharger/zhpdiag/
• Laisse-toi guider lors de l'installation.
• Ouvre ZHPDiag (icône parchemin) puis clique sur Configurer.
• Dans les icônes qui apparaissent en bas, clique sur la loupe la plus à droite (Diagnostic avec légitimes). Dans la fenêtre qui apparaît demandant un rapport avec full options, clique sur Oui, puis patiente le temps du scan.
• Héberge le rapport ZHPDiag.txt présent sur ton bureau sur le site ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse :
  http://www.cjoint.com
• Tutoriel ZHPdiag, si tu n'as pas tout compris : http://www.forum-entraide-informatique. ... g-tutoriel
• Tutoriel cjoint, si besoin : http://www.forum-entraide-informatique. ... riel#16374

[grisouille78]

Le diag est en cours... il est sur 80% depuis qq minutes,
avec
"traitement encours"
"recherche dinfection sur le master boot record (MCRCheck 080)"

et la souris ne bouge plus...

c'est normal???

[grisouille78]

Tout semble bloqué... je n'ai plus de souris et tout semble figé!! :-(
que dois je faire?????????

[grisouille78]

l'horloge en bas de l'écran ne bouge plus non plus... c'est bloqué depuis au moins 20mns peut etre plus...je pense que le process ne fonctionne plus...

[grisouille78]

Arrêt du PC par bouton on/off..
Redémarre normalement en mode normal..
tentative de relance du ZHPDiag sur le PC
De nouveau se fige après qq minutes à .... 82%
"C:\Documents and settings\clea\AppData\Local\Google\Chrome\User Data\Default\Local Storage"
"Enumère les fichiers Crack Keygen (CKF) (082)"

De nouveau obligé de couper en force ... le PC

[jacques.gache]

c'est bizarre qu'il bloque des fois il faut le laisser sans rien faire d'autre sur le pc près de 30 minute et il fini son analyse ??

[grisouille78]

Je viens de relancer de nouveau 3eme tentative... pour l'instant, je vois défiler et pas en core figé...
j'espère que ça va aller... cette fois ci...

[grisouille78]

est il possible que je fasse une erreur??? cela me semble pourtant simple tel que expliqué ci dessus!!!je ne voit pas ce que je pourrais faire comme fausse manip!!

[jacques.gache]

laisse le bosser !!

[grisouille78]

De nouveau tout vient de se figer cette fois ci a 88%
"KEY_APPPATHS spyheal.exe#105"
"scan additionnel (088)..

je ne peux plus rien faire l'ecran, la souris, le clavier sont figés comme les deux premières fois, mais cette fois ci a 88%

[grisouille78]

Dois essayer de relancer un 4eme fois???

[jacques.gache]

essais de le laisser tranquille 10 minute et si rien redémarre le et regarde si tu trouve un rapport dans les disque C ou dans zhpdiag dans program files !!

[jacques.gache]

essais de le laisser tranquille 10 minute et si rien redémarre le et regarde si tu trouve un rapport dans les disque C ou dans zhpdiag dans program files !!

si tu le relances essais de le faire en mode sans echec !!

[jacques.gache]

ce que se sujet c'est toi ?? http://www.commentcamarche.net/forum/af ... ntokbro-mm

[grisouille78]

Oui, mais je n'ai pas donné suite, et rien fait je ne me sentais pas assez sur de moi, j'ai eu peur que l'assistance soit pas a mon niveau.. j'ai été rassuré par la façon de communiquer sur ce forum


Je n'ai trouvé aucun rapport dans C ou zhpdiag dans program files !
J'ai relancé une 4eme fois mais en mode normal... (pas vu ton deuxième message sur "mode ss echec" assez tot...  

Par contre il s'est denouveau arrété exactement au même endroit que la 3eme (88%)

Je dois relancer en mode "ss echec avec reseau" ou "ss echec" seul???

merci

[jacques.gache]

bon en regardant de nouveau ton rapport de usbfix il y a balylon tu passes adwcleaner et puis tu regarde si zhpdiag passe

Ton ordinateur est infecté par des PUPs/LPIs.

Les PUPs/LPIs (Logiciels Potentiellement Indésirables) sont des programmes indésirables qui généralement, affichent des publicités et installent des barres d'outils (toolbars). Ils s'installent en même temps que l'installation d'autres logiciels, en général, gratuits.
Ils modifient les paramètres des navigateurs (page de démarrage et de recherche).
Afin d'éviter cela, il faut donc faire attention lors de l'installation des logiciels (surtout ceux gratuits), et ne pas installer les modules complémentaires proposés avec ceux-là (en décochant les cases, souvent pré-cochées). Il est également fortement conseillé de télécharger les logiciels sur le site de l'éditeur (et non Softonic, 01Net, etc... qui incluent dans leurs installations ce genre de programmes néfastes).

Nous allons nous occuper de les éradiquer.

• Télécharge AdwCleaner (d'Xplode) sur ton bureau.
• Lance le, clique sur Scanner puis patiente le temps du scan.
• Une fois le scan fini, clique sur Nettoyer. Le PC sera redémarré automatiquement et le rapport apparaître à la fin du redémarrage : poste moi son contenu dans ta prochaine réponse.
  
  Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

Un tutoriel sur AdwCleaner est disponible ici : http://www.forum-entraide-informatique. ... -de-xplode

Canned speech issu de FEI : http://www.forum-entraide-informatique.com/

[grisouille78]

voilà le rapport...
je vais essayer de relancer zhpdiag...

# AdwCleaner v3.001 - Rapport créé le 25/08/2013 à 23:08:06
# Mis à jour le 24/08/2013 par Xplode
# Système d'exploitation : Windows 7 Starter (32 bits)
# Nom d'utilisateur : AdministrateurOlivie - CLEA-VAIO
# Exécuté depuis : C:\Users\Cléa\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Babylon
[!] Dossier Supprimé : C:\Program Files\Babylon
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\myBabylon_English
Dossier Supprimé : C:\Users\Valérie\AppData\Local\Babylon
Dossier Supprimé : C:\Users\ADMINI~1\AppData\Local\Temp\Babylon
Dossier Supprimé : C:\Users\Valérie\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Valérie\AppData\LocalLow\myBabylon_English
Dossier Supprimé : C:\Users\Valérie\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\AdministrateurOlivie\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\AdministrateurOlivie\AppData\LocalLow\myBabylon_English
Dossier Supprimé : C:\Users\AdministrateurOlivie\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Cléa\AppData\Local\Babylon
Dossier Supprimé : C:\Users\Cléa\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Cléa\AppData\LocalLow\myBabylon_English
[!] Dossier Supprimé : C:\Users\Cléa\AppData\Roaming\Babylon

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Translate this web page with Babylon
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Translate with Babylon
Clé Supprimée : HKCU\Software\Microsoft\Office\Powerpoint\Addins\babylonofficeaddin.officeaddin
Clé Supprimée : HKCU\Software\Microsoft\Office\Word\Addins\babylonofficeaddin.officeaddin
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BabylonIEPI.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\BabyDict
Clé Supprimée : HKLM\SOFTWARE\Classes\BabyGloss
Clé Supprimée : HKLM\SOFTWARE\Classes\BabylonIEPI.BabylonIEBho
Clé Supprimée : HKLM\SOFTWARE\Classes\BabylonIEPI.BabylonIEBho.1
Clé Supprimée : HKLM\SOFTWARE\Classes\BabylonOfficeAddin.OfficeAddin
Clé Supprimée : HKLM\SOFTWARE\Classes\BabylonOfficeAddin.OfficeAddin.1
Clé Supprimée : HKLM\SOFTWARE\Classes\BabyOptFile
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Babylon.exe
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Babylon Client]
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B16632F1-24E0-4D99-A68D-70BFB6447C48}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{6AC0BB10-C922-45E2-857D-2A368FE749E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DDD23BAB-FEAF-4C86-9CA6-D18334976726}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5F339F0B-716F-408F-A627-DEEB5DEB4020}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B7EA2226-F876-4BE4-B478-76EBAE2A668A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A1489C85-4F6F-48C4-AC9E-18B63AF4703E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{F310F027-15CB-4A7F-B10D-3A4AFB5013A5}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DDD23BAB-FEAF-4C86-9CA6-D18334976726}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}]
Clé Supprimée : HKCU\Software\Babylon
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\myBabylon_English
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\myBabylon_English
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Babylon
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\myBabylon_English Toolbar

***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.7600.16722


*************************

AdwCleaner[R0].txt - [9017 octets] - [25/08/2013 23:05:06]
AdwCleaner[S0].txt - [7668 octets] - [25/08/2013 23:08:06]

########## EOF - \AdwCleaner\AdwCleaner[S0].txt - [7728 octets] ##########

[grisouille78]

Le diag est passé apres avoir decoché 088 sur demande de "2011N2" Gabriel

apres au moins 5 tentatives y compris en "mode ss echec" où cela bloquait aussi a 88%..

voici le rapport

http://cjoint.com/?CHAbZKgk9Uo

[grisouille78]

Je te confirme qu'il y a bien brontok sur le PC ... j'ai ce matin connecté une clé usb dessus et après j'ai fais une analyse de la clé avec Norton sur mon PC, et il a bien retrouvé plein de fichiers ".exe" dans la clé USB... qu'il a supprimé immédiatement..

Maintenant aussi, de temps en temps, IE s'ouvre tt seul,une fenêtre s'affiche avec "sécurité d'IE, un site web veut ouvrir un contenu web en utilisant ce programme sur votre ordinateur..."Nom google toolbar for IE" je refuse, mais ensuite, je n'arrive plus a fermer IE

je ne peux le fermer qu'avec le gestionnaire de taches...

[jacques.gache]

bonjour, merci à gabriel pour cette aide !! bon sur le zhpdiag rien de méchant de visible sauf que ton pc est pas à jour car pas de SP1 ?? et puis pas d'anti-virus ! pourrais tu faire un examen complet de ton pc avec mlalwarebytes si possible en ayant tes support amovible de connecté afin de nettoyer ceux ci par la même occasion , merci

• Télécharge MalwareBytes' Anti-Malware à cette adresse.
• Enregistre-le sur ton bureau.
• Double-clic sur le fichier téléchargé pour lancer le processus d'installation (Si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte)
• Une fois le logiciel installé et lancé, va dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour.
  Fais le plusieurs fois jusqu'à ce qu'il te dise que tu possèdes la dernière version de base de données.
  
  Une fois la mise à jour terminée :
• Rends-toi dans l'onglet "Recherche" .
• Sélectionne Exécuter un Examen complet.
• Sélectionne Tous les disques si proposé.
• Clique sur Rechercher.
• Le scan démarre patiente, plusieurs heures de scan sont probables.
• À la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement, clique sur "Afficher les résultats" pour afficher tous les objets trouvés.
• Clique sur Ok pour poursuivre.
• Si des éléments ont été détectés, cliques sur Afficher les résultats.
• Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, ce qui va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
• Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
• Redémarre le pc s'il ne le fait pas lui même.
• Une fois redémarré double-clique sur Malwarebytes' AntiMalware.
• Rends toi dans l'onglet Rapport/logs.
• Tu cliques dessus pour l'afficher, colle son contenu dans ta prochaine réponse.

Aide en vidéo : http://www.youtube.com/watch?v=QYRwV6Z6 ... e=youtu.be

Canned speech issu de FEI : http://www.forum-entraide-informatique.com/

[grisouille78]

Merci Jacques,
Pour les supports amovibles, serait il possible de les faire dans un second temps???

Je n'ai pas le disque dur externe à ma disposition où je suis...(uniquement une des clés USB)
et le Vaio n'a que 2 prises USB..dont une est occupée par la souris...

[grisouille78]

Une autre chose, je ne sais pas si cela a une importance, mais sur le PC il y a actuellement 3 comptes utilisateurs... 1 admin et deux autres

sur lequel est il préférable de travailler pour telecharger et lancer les tests que tu demandes??

[jacques.gache]

sur celui qui était infecté et voire après sur les autres sessions si il y a des problèmes !!

[grisouille78]

Voici le rapport pour le compte N°3 (Clea)

dois je refaire la même chose sur les deux autres comptes (admin et valérie)???

Il semble avoir trouvé plusieurs choses... dont Brontok!!!!!!     


Sous l'onglet "Log" (oui, le logiciel s'est installé en anglais.. )
je vois deux rapports
Voici le Log:


mbam-log-2013-08-26 (19-01-56)


Malwarebytes Anti-Malware (Trial) 1.75.0.1300
http://www.malwarebytes.org

Database version: v2013.08.26.04

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Cléa :: CLEA-VAIO [limited]

Protection: Enabled

26/08/2013 19:01:56
mbam-log-2013-08-26 (19-01-56).txt

Scan type: Full scan (C:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 244521
Time elapsed: 47 minute(s), 53 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Tok-Cirrhatus (Trojan.Agent) - Data: "C:\Users\Cléa\AppData\Local\smss.exe" - Quarantined and deleted successfully.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 1
C:\Users\Cléa\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) - Delete on reboot.

Files Detected: 18
C:\Users\Cléa\AppData\Local\csrss.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\AppData\Local\inetinfo.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\AppData\Local\lsass.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\AppData\Local\services.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\AppData\Local\winlogon.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\Documents\Documents.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\Documents\Clea_Administratif\Wifirst\Wifirst.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\Documents\emploi du temps\emploi du temps.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\Documents\essai1\essai1.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\Documents\photo skype\photo skype.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\Documents\test\test.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\Documents\test1\test1.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\Documents\train\train.exe (Trojan.Dropper) - Quarantined and deleted successfully.
C:\Users\Cléa\Documents\vacances\vacances.exe (Trojan.Dropper) - Quarantined and deleted successfully.
c:\users\cléa\local settings\application data\csrss.exe (Trojan.Agent) - Quarantined and deleted successfully.
c:\users\cléa\local settings\application data\inetinfo.exe (Worm.Brontok) - Quarantined and deleted successfully.
c:\users\cléa\appdata\roaming\babylon\log_file.txt (PUP.Optional.Babylon.A) - Delete on reboot.

(end)

[jacques.gache]

oui si tu peux passer malwarebytes sur les autre session se serait pas mal , tu avais pas connecter la clé usb ??

[grisouille78]

desolé j'ai été obligé de m'absenter..

Non pas de clé usb connectée...
Pourra t on s'en occuper plus tard... ma fille reprend ses cours lundi prochain, elle repart en fin de semaine en province dans son école, et je voudrais qu'elle puisse repartir avec son PC..

Vu que j'ai un autre PC aussi infecté, je pourrai peut etre m'occuper des clé et dd externe en meme temps...

le MalwareBytes tourne sur la seconde session, je te poste le rapport dès que terminé...

que penses tu de se qu'il faudra faire ensuite... encore bcp de manip, ou c'est plutot bon signe???

merci

[jacques.gache]

ok pas de problème mais installes lui un antivirus avant qu'elle parte sinon problèmes certain au prochaine vacance scolaire !! il y a avast en gratuit http://www.commentcamarche.net/download ... ast-8-2013

[grisouille78]

Merci a toi... et surtout dis moi tout ce qu'il faut faire pour que tout soit parfait avant son départ...
ce serait bien que tout soit a jour avant qu'elle parte... tu me disais que le Windows n'était pas a jour???

Merci de bien vouloir me guider encore pour que je puisse faire tout ce que tu juge necessaire et indispensable de faire...


est ce que tu pense que le virus est bien enlevé???

Serais tu ok pour m'assister pour mon deuxième PC??? quand nous aurons terminé celui ci???

[jacques.gache]

ok tu lui mets donc un antivirus , puis tu installes le seven SP1 32 bits http://telechargement.zebulon.fr/telech ... -bits.html
puis tu luis installes IE 10 32 bits http://download.microsoft.com/download/ ... -fr-fr.exe

il faudra désinstaller les outils utiliser sauf malwarebytes qu'elle pourra utiliser si besoin mais toujours faire la mise à jour avant de faire l'examen !!

pour supprimer les outils tu me diras demain si c'est ok on utilisera delfix !!

[grisouille78]

Avant la desinfection, ce matin, Windows up date me signalait plus de 140 mises a jour..

est ce que c'est cela qu'il faut faire... pour passer a SP1 ou est ce autre chose???

concernant malwarebytes j'ai cru voir qu'il s'agissait d'une version d'essai..... est ce que c'est le cas et que son utilisation sera limitée dans le temps???

[grisouille78]

C'est quoi SP1 32 bits???

le PC est assez lent (peut etre que c'est lié a son processeur qui n'est pas tres performant...

est ce que ce SP1 pourrait améliorer les choses ou au contraire demander plus de puissance au processeur???

Elle utilise Google Chrome....

Est ce qu'il vaut mieux utiliser IE 10..??? que conseilles tu??