Trojan:TR/Killer.A.1 dans up.new.exe

Bonjour Schtroumpf22 et bienvenue sur Sosordi

- Il y d'autres traces d'infection qui n'ont pas été détectées.


** Suppression


- Clique sur ZHPFix présent sur le bureau ou l'icone en forme d'écu dans ZHPDiag

http://img48.xooimage.com/files/8/2[...]ge1-1b14725.jpg


- Clique maintenant sur le H bleu (coller les lignes helper) puis copie/colle le texte en gras et vert ci-dessous dans la fenêtre de ZHPFix

http://img48.xooimage.com/files/9/4[...]_gf-1b3a004.jpg

[MD5.487382271E1D6FB8F817F3187741D5AD] - (.JetSwap - SafeSurf.) -- C:\WINDOWS\Help32\safesurf.exe
O4 - HKLM\..\Run: [jsafesurf] . (.JetSwap - SafeSurf.) -- C:\WINDOWS\Help32\safesurf.exe
[HKLM\Software\Trymedia Systems]
O51 - MPSK:{2f7ecbfc-1ecb-11df-99a3-0015afd8c06c}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- SUD\SSOW\sep.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

- Clique sur Ok ensuite sur Tous et enfin Nettoyer

- Poste dans ta prochaine réponse le contenu du rapport qui s'affiche à l'écran

Rapport de ZHPFix 1.12.3206 par Nicolas Coolman, Update du 04/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-10-10-2010-10-58-12.txt
Run by Perrine Pennamen at 10/10/2010 10:58:12
Web site : http://www.premiumorange.com/zeb-he[...]ess/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\WINDOWS\Help32\safesurf.exe => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
HKLM\Software\Trymedia Systems => Clé supprimée avec succès
O51 - MPSK:{2f7ecbfc-1ecb-11df-99a3-0015afd8c06c}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- SUD\SSOW\sep.exe => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [jsafesurf] . (.JetSwap - SafeSurf.) -- C:\WINDOWS\Help32\safesurf.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

========== Fichier(s) ==========
sud\ssow\sep.exe => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Processus mémoire
2 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Fichier(s)


End of the scan

Conduite à tenir?

- Refais un scan avec ZHPDiag poste ensuite son rapport en lien, le rapport posté directement dans une réponse ne sera pas pris en compte

Merci de tes réponses plus que rapide
ZHP : http://dl.free.fr/rULggFMFL

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :

http://fradesch.perso.cegetel.net/t[...]_tdsskiller.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

- Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan

- A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande

- Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)

- Fais redémarrer ton PC

Merci,
voilà le rapport : C:\WINDOWS\system32\DRIVERS\isapnp.sys - will be cured after reboot
Que devrais-je faire après le reboot?

Autre question : j'ai un 2ème PC qui fonctionne bien, mais par curiosité j'ai fait un zph scan (et y'a des trucs rouges!), puis-je le poster ici ou dois-je lancer un nouveau sujet?

Poste le rapport aprés le reboot


- Il faudra lancer un nouveau sujet pour le second PC

Voilà :
Rapport TDSS : http://dl.free.fr/tTT1y3wqH

Rapport ZPH : http://dl.free.fr/d5H1EIy3h

- Je vais te faire passer un autre scan

- Télécharge random's system information tool (RSIT) http://images.malwareremoval.com/random/RSIT.exe par random/random et sauvegarde-le sur le Bureau.

- Double-clique sur RSIT.exe afin d'instaler RSIT.

** Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
- Clique sur Continue à l'écran Disclaimer

- Si HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (qui sera affiché)

Pour poster le rapport en lien rends toi sur ce site : http://www.cijoint.fr/

* Clique sur Parcourir et va jusqu'au rapport que tu as sauvegardé .

* Clic gauche dessus clique ensuite sur ouvrir
* Clique ensuite sur Cliquer ici pour déposer le fichier
* Une fois l'upload fini un lien apparaît copie/colle le dans ta prochaine réponse

Note : Si tu ne vois pas ce rapport tu le trouveras dans le dossier C:\Rsit

Voici le log (désolée pour la latence) : http://www.cijoint.fr/cjlink.php?fi[...]/cijVnhpOfU.odt

- Je vais te faire passer un scan avec un antivirus en ligne

- Fais un scan en ligne ici http://www.kaspersky.com/kos/eng/pa[...]kavwebscan.html
-* Clique sur Accept
* Patiente le temps d'installation du Webscanner.
* Les bases de mises à jour vont s'installer, patiente un moment
* Clique sur Next.
* Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

* Le scan terminé, clique sur Report ==> Save report choisis Fichier texte .txtcomme format de fichier et enregistre sur le bureau


- Utilise ensuite cjoint.com http://cjoint.com/ pour poster en lien ton rapport

- Clique sur Parcourir pour aller chercher le rapport de kaspersky
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Voilà, ce fut bien long...
http://www.cijoint.fr/cjlink.php?fi[...]/cijWsc54AE.txt

- Ce n'est pas méchant du tout

- Télécharge OTM (de Old_Timer) http://oldtimer.geekstogo.com/OTM.exe Enregistre ce fichier sur le Bureau.

- Double-clique sur OTM.exe
** Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved (Cadre jaune)

http://img24.xooimage.com/files/0/c[...]_gf-1f483ae.jpg

Citation :

:Files C:\WINDOWS\system32\sys\system\Your.exe :commands [emptytemp]

- Clique sur MoveIt! pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit


Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

- Poste le rapport de OTM qui se trouve dans C:\_OTM\MovedFiles.
- Le nom du rapport correspond au moment de sa création : date_heure.log

Voilà : http://www.cijoint.fr/cjlink.php?fi[...]/cijgS2aZoR.odt
J'espère que c'est presque fini

- C'est fini


- On va procéder au nettoyage des outils téléchargés
- Télécharge ToolsCleaner de l'un de ces liens http://pc-system.fr/TC/ToolsCleaner2.exe ou ici http://www.commentcamarche.net/tele[...]91-toolscleaner enregistre ce fichier sur le bureau

- Clique sur Recherche Patiente ...
- Le Scan terminé Clique sur Suppression
- Clique sur Quitter.
- Poste le contenu du rapport qui trouve dans C:\TCleaner.txt

voilà : http://www.cijoint.fr/cjlink.php?fi[...]/cijjiOCOHS.txt

- Je te donne quelques consignes de sécurité :




- Windows Update ( http://www.windowsupdate.com/ ) parfaitement à jour (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antimalware
- un contôle régulier de la console JAVA ( http://www.java.com/en/download/help/testvm.xml ) pour s'assurer qu'elle est à jour



- La liste des programmes qu'il ne faut surtout pas télécharger et installer sous peine de voir ton pc infecté par Navipromo :


* Funky Emoticons
* go-astro
* GoRecord
* HotTVPlayer / HotTVPlayer & Paris Hilton
* Live-Player
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Officiale Emule (Version d'Emule modifiée)
* Original Solitaire
* SuperSexPlayer
* Speed Downloading
* Sudoplanet
* Webmediaplayer
* Favorit
* Games-Attack
* Sudoku





- Si tu considères ton problème comme résolu
- A gauche : Actions dans Aide en ligne clique sur Mon problème est résolu et coche la case devant les réponses qui t'ont aidé à résoudre ton problème.

Je te remercie pour ton aide, j'espère que mon PC restera aussi propre qu'il l'est grâce à toi !
Bonne soirée !

Réponse automatique :

Cette question est résolue

Bonne soirée à toi aussi Schtroumpf22