Win32:MalOb-R [Cryp]

Question

Bonjour,

J'ai choppé hier un cheval de troie sur mon ordi....ca fesait vraiment longtemps......

Je connais plus trop la manip à faire...

donc le virus c'est : Win32:MalOb-R [Cryp]

J'ai tel Highjackthis et voici le résultat... 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:58:22, on 07/11/2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\ctfmon.exe
C:\Program Files\The Cleaner\cleaner6.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Windows\system32\NOTEPAD.EXE
G:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gamespace.daemon-tools.cc/fra/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [TrayServer] C:\Program Files\MAGIX\Movie_Edit_Pro_15_Plus_Download_version\TrayServer.exe
O4 - HKLM\..\Run: [net] "C:\Windows\system32
et.net"
O4 - HKLM\..\Run: [lsdefrag] C:\Users\METHOD~1\AppData\Local\Temp\omnweasrxc.exe
O4 - HKLM\..\Run: [32524420] C:\ProgramData\32524420\32524420.exe
O4 - HKLM\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\system32\msxm192z.dll,w
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [TurboNet] C:\Users\Method_Man\AppData\Local\Temp\b.exe
O4 - HKCU\..\Run: [MediaSolaris] C:\Users\METHOD~1\AppData\Local\Temp\c.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {AC414988-E5BB-4C2C-873B-EA53D2F3D23A} (CCTVUpdateInstall) - http://t.live.cctv.com/ieocx/CCTVUpdateInstall.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - ASUS - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: fastnetsrv  Service (fastnetsrv) - Netopsystems A - C:\Windows\system32\FastNetSrv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Remote Procedure Call (RPC) Net (rpcnet) - Absolute Software Corp. - C:\Windows\system32pcnet.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

Xplode · Answer

Salut, -+-+-+-> Toolbar S&D <-+-+-+- [x]Télécharge Toolbar S&D sur ton bureau [x] Suis le tutoriel disponible à cette adresse /!\ Si tu es sous vista, lance le en cliquant droit dessus puis " Executer en tant qu'administrateur " /!\ [x] Lance l'option 2 ( Suppression ) [x] Puis copie/colle le rapport dans ton prochain message ( Il se trouve sous C:\TB.txt ) -+-+-+-> USBfix ( Infections USB ) <-+-+-+- [x] Télécharge USBfix ( de Chiquitine29 ) [x] Un tutoriel est disponible ici [x] Installe le /!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\ [x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista ) [x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée. [x] Au menu principal, choisis l'option 2 [x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

virusdemerde · Answer

ok je vais essayer ca!

je t'envoi le résultat!

merci

virusdemerde · Answer

voici le rapport USB fix:


############################## | UsbFix V6.049 |

User : Method_Man (Administrators) # METHOD_MAN-PC
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 13:23:55 | 07/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T5900  @ 2.20GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7600 32-bit) # 
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 297,99 Go (200,11 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 1,89 Go (975,22 Mo free) # FAT
G:\ -> Disque amovible # 494,71 Mo (400,35 Mo free) [pocketPhilm] # FAT
H:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe 276
C:\Windows\system32\csrss.exe 372
C:\Windows\system32\wininit.exe 428
C:\Windows\system32\csrss.exe 440
C:\Windows\system32\winlogon.exe 476
C:\Windows\system32\services.exe 528
C:\Windows\system32\lsass.exe 544
C:\Windows\system32\lsm.exe 552
C:\Windows\system32\svchost.exe 668
C:\Windows\system32\svchost.exe 752
C:\Windows\System32\svchost.exe 820
C:\Windows\system32\LogonUI.exe 836
C:\Windows\System32\svchost.exe 876
C:\Windows\system32\svchost.exe 920
C:\Windows\system32\AUDIODG.EXE 1044
C:\Windows\system32\svchost.exe 1112
C:\Windows\system32\svchost.exe 1228
C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe 1340
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1360
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1392
C:\Windows\system32\Dwm.exe 1556
C:\Windows\Explorer.EXE 1588
C:\Windows\system32unonce.exe 1680
C:\Windows\System32\spoolsv.exe 1788
C:\Windows\system32\svchost.exe 1840
C:\Windows\system32	askhost.exe 1896
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 2016
C:\Windows\system32\svchost.exe 2044
C:\Windows\system32\FastNetSrv.exe 308
C:\Program Files\LogMeIn Hamachi\hamachi-2.exe 376
C:\Windows\system32\PnkBstrA.exe 548
C:\Windows\system32pcnet.exe 832
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe 1488
C:\Windows\system32\sppsvc.exe 1516
C:\Windows\system32\svchost.exe 1892
C:\Program Files\ASUS\ATK Hotkey\HControl.exe 2060
C:\Windows\system32\conhost.exe 2092
C:\Windows\system32	askeng.exe 2408
C:\Program Files\P4G\BatteryLife.exe 2468
C:\Program Files\ASUS\ASUS Live Update\ALU.exe 2480
C:\Users\Method_Man\AppData\Local\Temp\b.exe 2660
C:\Windows\msa.exe 2736
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 2780
C:\Windows\system32\wbem\wmiprvse.exe 2788
C:\Windows\system32\wbem\wmiprvse.exe 2816
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 2856
C:\Windows\system32\svchost.exe 3004
C:\Windows\system32\WUDFHost.exe 3232
C:\Windows\system32	askhost.exe 3308
C:\Windows\System32undll32.exe 3356
C:\Program Files\ASUS\ATK Hotkey\ATKOSD.exe 3516
C:\Program Files\ASUS\ATK Hotkey\WDC.exe 3532

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Windows\msa.exe 
Supprimé ! C:\Users\METHOD~1\AppData\Local\Temp\a.dat 
Supprimé ! C:\Users\METHOD~1\AppData\Local\Temp\b.exe 
Supprimé ! F:\autorun.inf 
Supprimé ! F:\explorer.exe 
Supprimé ! F:\Notepad.exe 
Supprimé ! G:\autorun.inf 
Supprimé ! G:\Notepad.exe 

################## | Références de comparaison MD5 : |

File : F:\explorer.exe 
-> Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e   

################## | Autres détections |

Supprimé ! C:\Windows\System32\userinit.exe 
Supprimé ! "C:\Windows\System32\userinit.exe" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe 
Supprimé ! "C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\OANMWSECXR.EXE 
Supprimé ! "F:\OANMWSECXR.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\SNMPTRAP.EXE 
Supprimé ! "F:\SNMPTRAP.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\IE4UINIT.EXE 
Supprimé ! "F:\IE4UINIT.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\JOURNAL.EXE 
Supprimé ! "F:\JOURNAL.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\MSRA.EXE 
Supprimé ! "F:\MSRA.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\TASKHOST.EXE 
Supprimé ! "F:\TASKHOST.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\SPPSVC.EXE 
Supprimé ! "F:\SPPSVC.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\AUDIODG.EXE 
Supprimé ! "F:\AUDIODG.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\FASTNETSRV.EXE 
Supprimé ! "F:\FASTNETSRV.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\CONHOST.EXE 
Supprimé ! "F:\CONHOST.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\ATBROKER.EXE 
Supprimé ! "F:\ATBROKER.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 

Supprimé ! F:\DWM.EXE 
Supprimé ! "F:\DWM.EXE" 
-> Size : 46080 | Crc32 : 99720e3a | Md5 : 5e458c2798861f2c12e0dec89db97e0e 


################## | Registre # Clés Run infectieuses |

Supprimé ! [HKCU\SOFTWARE\XML]  

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{7cf15d72-b8e5-11de-8d1d-806e6f6e6963}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[10/06/2009 22:42|--a------|24] C:\autoexec.bat 
[10/06/2009 22:42|--a------|10] C:\config.sys 
[?|?|?] C:\hiberfil.sys 
[07/11/2009 01:12|-rahs----|0] C:\IO.SYS 
[07/11/2009 01:12|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[07/11/2009 13:31|--a------|6234] C:\UsbFix.txt 
[01/08/2009 14:08|--a------|1520] F:\BOOTEX.LOG 
[06/11/2009 18:09|--a------|30143928] G:\avira_antivir_personal_free.exe 
[07/11/2009 12:26|--a------|401720] G:\HiJackThis.exe 
[07/11/2009 12:58|--a------|8653] G:\hijackthis.log 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# F:\autorun.inf -> Dossier créé par UsbFix.  
# G:\autorun.inf -> Dossier créé par UsbFix.  

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Downloads\Adobe Lightroom v2.2+Keygen+E-books[h33t][MAMBO04]\keygen.exe"  
24/10/2009 01:44 |Size 66560 |Crc32 029bb7ed |Md5 cedd77b46f8dc93f8803e08af2484adf  
 
"C:\Downloads\Adobe Lightroom v2.2+Keygen+E-books[h33t][MAMBO04]\LTRM2_WWEFG_win_2_2.exe"  
24/10/2009 01:49 |Size 136054152 |Crc32 20c89970 |Md5 420939d51291a0dbc75134bc5e76c28e

virusdemerde · Answer

et pour Toolbar S&D, je lance la manip... mais le rapport n'apparait pas....

Xplode · Answer

Peut être un problème de compatibilité avec windows 7..

fais clic droit sur l'icone de toolbar S&D -> onglet " compatibilité "

tu coche " executer ce programme en mode de compatibilité pour : "

et tu séléctionnes " Windows XP " , tu fais appliquer, puis tu le relances.

virusdemerde · Answer

je ne peux pas modifier la compatibilité....

virusdemerde · Answer

il n'y a pas un autre moyen que de passer par Toolbar S&D??

Xplode · Answer

Désinstalle via ajout/suppression de programmes :

DAEMON tools toolbar


Puis fais ceci :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

virusdemerde · Answer

hello xplode!

est-tu sur que sur le lien que tu me met pour tel ZHPDiag est le bon?

Quand j'ouvre le programme il y a marqué ZHP FIX nettoyeur de rapport, et il n'y a pas de loupe pour commencer le scan...

J'espere jsui pas trop chiant! en tout cas jespere on va y arriver!

merci

Xplode · Answer

Normalement, tu dois avoir deux icones sur ton bureau ( ZHPDiag et ZHPFix ) qui sont similaires, il faut cliquer sur ZHPDiag

virusdemerde · Answer

c'est bon j'ai trouvé le ZHPDIAG!

virusdemerde · Answer

voila le lien

https://www.cjoint.com/?lhssmLwS5o

Xplode · Answer

-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien :

https://www.cjoint.com/?lhszjYegzU

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message

virusdemerde · Answer

ok , voici le rapport:

ZHPFix v1.12.21  by Nicolas Coolman - Rapport de suppression du 07/11/2009 18:30:05
Fichier d'export Registre : C:\ZHPExportRegistry-07-11-2009-18-30-05.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\Users\METHOD~1\AppData\Local\Temp\omnweasrxc.exe  => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
O16 - DPF: {AC414988-E5BB-4C2C-873B-EA53D2F3D23A} (CCTVUpdateInstall) - http://t.live.cctv.com/ieocx/CCTVUpdateInstall.dll  => Clé absente

Valeur du Registre :
O4 - HKLM\..\Run: [net] C:\Windows\system32
et.net  => Valeur absente
O4 - HKLM\..\Run: [lsdefrag] C:\Users\METHOD~1\AppData\Local\Temp\omnweasrxc.exe  => Valeur absente
O4 - HKLM\..\Run: [32524420] C:\ProgramData\32524420\32524420.exe  => Valeur absente
O4 - HKLM\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\system32\msxm192z.dll,w  => Valeur absente
O4 - HKCU\..\Run: [TurboNet] C:\Users\Method_Man\AppData\Local\Temp\b.exe  => Valeur absente
O4 - HKCU\..\Run: [MediaSolaris] C:\Users\METHOD~1\AppData\Local\Temp\c.exe  => Valeur absente
O47 - AAKE:Key Export SP - "C:\Windows\system32\winlogon.exe"="C:\Windows\system32\winlogon.exe:*:enabled:@shell32.dll,-1"  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Windows\system32\wininit.exe"="C:\Windows\system32\wininit.exe:*:enabled:@shell32.dll,-1"  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Windows\system32\wininit.exe"="C:\Windows\system32\wininit.exe:*:enabled:@shell32.dll,-1"  => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\DAEMON Tools Toolbar  => Dossier absent

Fichier :
c:\program files\daemon tools toolbar\dttoolbar.dll  => Fichier absent
c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll  => Fichier absent
c:\windows\system32
et.net  => Fichier absent
c:\users\method~1\appdata\local	emp\omnweasrxc.exe  => Fichier absent
c:\programdata\32524420\32524420.exe  => Fichier absent
c:\windows\system32\msxm192z.dll  => Fichier absent
c:\users\method_man\appdata\local	emp\b.exe  => Fichier absent
c:\users\method~1\appdata\local	emp\c.exe  => Fichier absent
c:\windows	asks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job  => Fichier absent
c:\windows	asks\{66ba574b-1e11-49b8-909c-8cc9e0e8e015}.job  => Fichier absent
c:\windows\system32\drivers\msft_user_wpdmtpdr_01_09_00.wdf  => Fichier absent
c:\windows\system32\419,1226.exe  => Fichier absent
c:\windows\system32\30ee.tmp  => Fichier absent
c:\windows\system32\42bb.tmp  => Fichier absent
c:\windows\system32\a749.tmp  => Fichier absent
c:\windows\system32\fe0c.tmp  => Fichier absent
c:\windows\system32\a62d.tmp  => Fichier absent
c:\windows\system32\187f.tmp  => Fichier absent
c:\windows\system32\1bbb.tmp  => Fichier absent
c:\windows\system32\253d.tmp  => Fichier absent
c:\windows\system32\3810.tmp  => Fichier absent
c:\windows\system32\3b3c.tmp  => Fichier absent
c:\windows\system32pcnetp.exe  => Fichier absent
c:\windows\system32pcnet.dll  => Fichier absent
c:\windows\system32pcnetp.dll  => Fichier absent
c:\windows\system32\perfd00c.dat  => Fichier absent
c:\windows\system32\perfi00c.dat  => Fichier absent
c:\windows\system32\upgrd.exe  => Fichier absent
c:\windows\waneuninstaller.exe  => Fichier absent
c:\windows\wa.ini  => Fichier absent

Logiciel :
O42 - Logiciel: Advertisement Service  => Logiciel absent
O42 - Logiciel: DAEMON Tools Toolbar  => Logiciel absent

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 9
Elément de données du Registre : 0
Dossier : 1
Fichier : 30
Logiciel : 2
Autre : 0


End of the scan

Xplode · Answer

Tu as lancé deux fois la procédure ? car là il n'a rien supprimé..

virusdemerde · Answer

nan juste une fois... comme tu me l'a demander

virusdemerde · Answer

ca me demande de désinstaller des logiciels asus c normal?

Xplode · Answer

Non, refais un rapport ZHPDiag

virusdemerde · Answer

bon....mon ordi s'est redémarré et depuis écran noir à la place du bureau et des icones...

meme probleme en mode sans échec

je ne sais plus quoi faire

Xplode · Answer

Si tu fais CTRL + ALT + SUPPR tu as accès au gestionnaire des taches ?

Tu as un CD de windows 7 a disposition ?

virusdemerde · Answer

Écoute je vais essayer d'accéder au gestionnaire de taches....

J'ai un empêchement, un repas de famille, si tu est encore la ce soir je pourrai essayer....sinon demain

En tout cas merci pour tout

Faut qu'on s'en occupe!!

virusdemerde · Answer

je suis de retour est -tu la?

Xplode · Answer

Oui je suis là,

tu as essayé d'accèder au gestionnaire des taches ?

virusdemerde · Answer

oui c'est bon je peux de nouveau accéder au net!

Xplode · Answer

Ok, bonne nouvelle.

peux tu faire un nouveau rapport ZHPDiag stp

virusdemerde · Answer

https://www.cjoint.com/?liaEhNPAFo

c'est le rapport

Xplode · Answer

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

====================================================================

Je vais dormir, j'analyserai ton rapport demain.

virusdemerde · Answer

je n'arrive pas a installer le logiciel.....il ne se passe rien...

virusdemeerde · Answer

hello Xplode... je ne sais pas pourquoi mais je ne pouvais plus envoyer de réponses sur mon sujet...!

qu'est ce qu'on fais maintenant?

Xplode · Answer

Salut,

Supprime combofix puis télécharge le à partir de ce lien : http://sd-1.archive-host.com/membres/up/17959594961240255/CCM.exe

virusdemeerde · Answer

ca me met:

Alerte, il est dangereux de continuer

Le contenu du paquetage ComboFix a été déterioré

Veuillez télécharger un nouvel exemplaire depuis....

Note: Votre PC est peut etre infecter par un virus modifiant les fichier "virut"

Xplode · Answer

Aie, mauvaise nouvelle :(

Virut est la pire saletée du net, elle corrompt souvent l'essentiels des fichiers système et il n'y a pas d'autre solutions que le formatage bas niveau si elle a pris trop d'ampleur. Néanmoins, fais ceci :

-+-+-+-> Dr.Web CureIt! <-+-+-+-


[x] Télécharge Dr.Web CureIt

[x] Lance le, puis clique sur " Commencer le scan "

[x] Il commencera une analyse des processus, s'il trouve des processus infectés, clique sur " Oui pour tout ".

[x] A la fin du scan rapide, clique sur Option > Changer la configuration

[x] A l'onglet Scanner, décoche " Analyse heuristique ".

[x] De retour à la fenêtre principale, choisis " Analyse complète "

[x] Clique sur la flèche verte pour que le scan débute.

[x] Si un fichier est détécté, clique sur " Oui pour tout "

[x] A la fin du scan, si des infections sont trouvées, clique sur Tout séléctionner > Désinfecter

[x] Si la désinfection est impossible, mettre en quarantaine.

[x] De retour au menu principal, clique sur Fichier > Enregistrer le rapport

[x] Sauvegarde le sur ton bureau, puis ferme Dr.Web et redémarre ton ordinateur ( important )

[x] Au redémarrage, poste le contenu du rapport de DrWeb ( DrWeb.csv ) dans ta prochaine réponse.

virusdemeerde · Answer

je suis en train de faire le scan.... (analyse complète),la barre de taches et les icones ont disparus...

Quand je vais dans le gestionanaire de taches pour remettre "explorer.exe", ile me dis que windows ne le trouve pas... c grave?

Xplode · Answer

attend que le scan soit terminé

virusdemeerde · Answer

ok

virusdemeerde · Answer

tu a une adresse mail?

c'est en fichier excel... et ca me parais incompréhensible si je te fais un copier coller...

virusdemeerde · Answer

voici le lien avec le fichier excel.... je c pas si tu arrivera a le lire...tiens moi au courant!

merci

https://www.cjoint.com/?litzKPKM5L

virusdemeerde · Answer

hey Xplode! j'ai réussi a l'enlever partiellement...
*
jpe t'envoyer quelque chose pour que tu vérifie si il est encore la?

Xplode · Answer

Re,

Tu veux envoyer quoi ?

Refais un rapport ZHPDiag

Win32:MalOb-R [Cryp]

39 réponses

Votre réponse

Discussions similaires

Newsletters