VIRUS ?? Résolu/Fermé

Question

Bonjour, quand je suis sur internet, une alerte de microsoft security essentials me previent qu'il a dectecté une menace ( trojandonwloder: Win 32 ), je mets "nettoyer l'ordinateur " mais l'alerte revient tout le temps.
Est ce que quelqu'un pourrait m'expliquer ce qui se passe ? Et comment faire pour se débarrasser de ce trojan ?
Merci d'avance !

moment de grace · Answer

bonjour

• Télécharge Random's System Information Tool (RSIT) de Random/Random. 

http://images.malwareremoval.com/random/RSIT.exe 

• Enregistre le sur ton Bureau. 

• Double clique sur RSIT.exe pour lancer l'outil. 

• Clique sur "Continue" à l'écran Disclaimer. 

• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) 

et tu devras accepter la licence. 

• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

Les rapports se trouvent à cet endroit: 
C:\rsit\info.txt 
C:\rsit\log.txt

léanah2215 · Answer

J'essaye de telecharger Random's System Information Tool mais je n'y arrive pas. Ca me met un texte en anglais, j'ai mis " continue " mais après un mot s'affiche me disant qu'il y a une erreur

moment de grace · Answer

ok

Télécharge ZHPDiag ( de&#61656; Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

 Double clique sur le fichier d'installation, puis installe le avec les&#61656; paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe&#61656; en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint :&#61656; http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

léanah2215 · Answer

Ok voila: 

http://www.cijoint.fr/cjlink.php?file=cj200912/cijxHDMkQa.txt

moment de grace · Answer

Téléchargez USBFIX de Chiquitine29, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
 ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

• Double clic sur le raccourci UsbFix présent sur le bureau . 

• Choisir l'option 1 (Recherche) 
(d’autres options disponibles, voir le tutoriel). 
• Laissez travailler l'outil. 

• Ensuite postez le rapport UsbFix.txt qui apparaîtra. 

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

léanah2215 · Answer

############################## | UsbFix V6.067 |

User : noé (Administrateurs) # NOÉ-PC
Update on 24/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 21:07:00 | 26/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows 7 Édition Starter  (6.1.7600 32-bit) # 
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 136,95 Go (111,52 Go free) [Packard Bell] # NTFS
D:\ -> Disque amovible # 953,23 Mo (953,2 Mo free) [STORE'N'GO] # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe 292
C:\Windows\system32\csrss.exe 436
C:\Windows\system32\wininit.exe 480
C:\Windows\system32\csrss.exe 488
C:\Windows\system32\winlogon.exe 544
C:\Windows\system32\services.exe 584
C:\Windows\system32\lsass.exe 592
C:\Windows\system32\lsm.exe 604
C:\Windows\system32\svchost.exe 700
C:\Windows\system32\svchost.exe 772
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe 836
C:\Windows\System32\svchost.exe 940
C:\Windows\System32\svchost.exe 992
C:\Windows\system32\svchost.exe 1016
C:\Windows\system32\svchost.exe 1180
C:\Windows\system32\svchost.exe 1332
C:\Windows\system32\WLANExt.exe 1452
C:\Windows\system32\conhost.exe 1464
C:\Windows\System32\spoolsv.exe 1536
C:\Windows\system32\svchost.exe 1568
C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe 1680
C:\Windows\system32\svchost.exe 1712
C:\Program Files\Packard Bell\Registration\GregHSRW.exe 1740
C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe 1888
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe 1924
C:\Windows\system32	askhost.exe 1932
C:\Windows\system32\Dwm.exe 2108
C:\Windows\Explorer.EXE 2144
C:\Windows\system32	askeng.exe 2160
C:\Windows\msa.exe 2284
C:\Users\NOA317~1\AppData\Local\Temp\c.exe 2328
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe 2480
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe 2488
C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerTray.exe 2500
C:\Windows\System32\igfxtray.exe 2516
C:\Windows\System32\igfxpers.exe 2532
C:\Program Files\Launch Manager\LManager.exe 2540
C:\Program Files\VideoWebCamera\VideoWebCamera.exe 2552
C:\Windows\PLFSetI.exe 2564
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 2576
C:\Program Files\PackardBellXSync\Deployment\Functions\{AA58F999-6D97-42c2-A69F-8CC04D18D944}\OMEA.exe 2600
C:\Windows\System32undll32.exe 2664
C:\Program Files\Microsoft Security Essentials\msseces.exe 2692
C:\Windows\system32\igfxsrvc.exe 2756
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe 2972
C:\Windows\system32\igfxext.exe 3092
C:\Windows\system32\SearchIndexer.exe 3228
C:\Windows\system32\wbem\unsecapp.exe 3324
C:\Windows\system32\wbem\wmiprvse.exe 3536
C:\Program Files\Windows Media Player\wmpnetwk.exe 3844
C:\Program Files\Mozilla Firefox\firefox.exe 3992
C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerEvent.exe 4052
C:\Windows\servicing\TrustedInstaller.exe 2448
C:\Windows\system32\wuauclt.exe 3532
C:\Windows\system32\WUDFHost.exe 344
C:\Windows\system32\conhost.exe 3016
C:\Windows\system32	askhost.exe 228
C:\Windows\system32\wbem\wmiprvse.exe 756

################## | Elements infectieux |

C:\Windows\msa.exe 
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job 
C:\Windows\System32\sshnas.dll 
C:\Users\NOA317~1\AppData\Local\Temp\a.dat 
C:\Users\NOA317~1\AppData\Local\Temp\a.exe 
C:\Users\NOA317~1\AppData\Local\Temp\b.exe 
C:\Users\NOA317~1\AppData\Local\Temp\c.exe 

################## | Registre |

[HKCU\SOFTWARE\J8RPLTROBQ]  
[HKCU\SOFTWARE\XML]  
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "J8RPLTROBQ"  
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LosAlamos"  

################## | Mountpoints2 |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.067 ! |

moment de grace · Answer

ok

dans cet ordre

1)

&#9679; Relance UsbFix 

&#9679; Dans le menu principale cette fois choisit l'option2 

 Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

&#9679; Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

&#9679; Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


...................

2)
Téléchargez MalwareByte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

léanah2215 · Answer

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3435
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

26/12/2009 22:37:34
mbam-log-2009-12-26 (22-37-34).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 179994
Temps écoulé: 57 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

moment de grace · Answer

as tu fais usbfix option 2 ?

je n'ai pas le rapport

léanah2215 · Answer

A oui pardon,  le voilà:


############################## | UsbFix V6.067 |

User : noé (Administrateurs) # NOÉ-PC
Update on 24/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 21:22:00 | 26/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows 7 Édition Starter  (6.1.7600 32-bit) # 
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 136,95 Go (111,24 Go free) [Packard Bell] # NTFS
D:\ -> Disque amovible # 953,23 Mo (953,2 Mo free) [STORE'N'GO] # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe 292
C:\Windows\system32\csrss.exe 436
C:\Windows\system32\csrss.exe 480
C:\Windows\system32\wininit.exe 488
C:\Windows\system32\services.exe 540
C:\Windows\system32\lsass.exe 568
C:\Windows\system32\lsm.exe 576
C:\Windows\system32\winlogon.exe 584
C:\Windows\system32\svchost.exe 716
C:\Windows\system32\svchost.exe 796
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe 880
C:\Windows\System32\svchost.exe 976
C:\Windows\System32\svchost.exe 1036
C:\Windows\system32\svchost.exe 1076
C:\Windows\system32\svchost.exe 1200
C:\Windows\system32\svchost.exe 1340
C:\Windows\system32\WLANExt.exe 1460
C:\Windows\system32\conhost.exe 1472
C:\Windows\System32\spoolsv.exe 1580
C:\Windows\system32\svchost.exe 1664
C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe 1780
C:\Windows\system32\svchost.exe 1808
C:\Program Files\Packard Bell\Registration\GregHSRW.exe 1836
C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe 1904
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe 1964
C:\Windows\system32\WUDFHost.exe 1308
C:\Windows\system32	askhost.exe 232
C:\Windows\system32\Dwm.exe 2064
C:\Windows\system32	askeng.exe 2076
C:\Windows\Explorer.EXE 2144
C:\Users\NOA317~1\AppData\Local\Temp\c.exe 2204
C:\Windows\system32unonce.exe 2212
C:\Windows\msa.exe 2224
C:\Windows\system32\conhost.exe 2272
C:\Windows\system32\wbem\wmiprvse.exe 2580

################## | Elements infectieux |

Supprimé ! C:\Windows\msa.exe 
Supprimé ! C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 
Supprimé ! C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job 
Supprimé ! C:\Windows\System32\sshnas.dll 
Supprimé ! C:\Users\NOA317~1\AppData\Local\Temp\a.dat 
Supprimé ! C:\Users\NOA317~1\AppData\Local\Temp\a.exe 
Supprimé ! C:\Users\NOA317~1\AppData\Local\Temp\b.exe 
Supprimé ! C:\Users\NOA317~1\AppData\Local\Temp\c.exe 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-122136383-4112408993-3896815540-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-122136383-4112408993-3896815540-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2914344048-111487253-3638464796-500 

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\J8RPLTROBQ]  
Supprimé ! [HKCU\SOFTWARE\XML]  
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "J8RPLTROBQ"  
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LosAlamos"  

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[10/06/2009 22:42|--a------|24] C:\autoexec.bat 
[29/10/2009 00:54|-rahs----|8192] C:\BOOTSECT.BAK 
[10/06/2009 22:42|--a------|10] C:\config.sys 
[?|?|?] C:\hiberfil.sys 
[?|?|?] C:\pagefile.sys 
[29/10/2009 00:09|--a------|1937] C:\RHDSetup.log 
[26/12/2009 21:25|--a------|3453] C:\UsbFix.txt 
[16/11/2009 16:41|--a------|167] C:\Webcam.log 
[15/09/2009 17:32|---hs----|88] D:\desktop.ini 
[27/07/2007 19:14|--ah-----|296] D:\WMPInfo.xml 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  

################## | Cracks / Keygens / Serials |

moment de grace · Answer

il y a en un encore à attraper..

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection) 

&#9654; Télécharge et installe List&Kill'em et enregistre le sur ton bureau 
http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation 

coche la case "creer une icone sur le bureau" 

une fois terminée , clic sur "terminer" et le programme se lancer seul 

choisis la langue puis choisis l'option 1 = Mode Recherche 

&#9654; laisse travailler l'outil 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué. 

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini. 

&#9654; Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED" 

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

léanah2215 · Answer

Comment je fais pour desactiver mon antivirus et mon pare feu ?

moment de grace · Answer

https://www.malekal.com/tutoriel-microsoft-security-essentials/

léanah2215 · Answer

voila c'est bon :


List'em by g3n-h@ckm@n 1.1.6.1 

Thx to Chiquitine29.....& CCM team 

User : noé (Administrateurs) # NOÉ-PC
Update on 24/12/2009 by g3n-h@ckm@n ::::: 20:30 
Start at: 23:28:45 | 26/12/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows 7 Édition Starter  (6.1.7600 32-bit) # 
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 136,95 Go (111,24 Go free) [Packard Bell] | NTFS
D:\ -> Disque amovible | 953,23 Mo (953,19 Mo free) [STORE'N'GO] | FAT

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\Windows\System32\smss.exe 292
C:\Windows\system32\csrss.exe 436
C:\Windows\system32\csrss.exe 480
C:\Windows\system32\wininit.exe 488
C:\Windows\system32\services.exe 540
C:\Windows\system32\lsass.exe 568
C:\Windows\system32\lsm.exe 576
C:\Windows\system32\winlogon.exe 584
C:\Windows\system32\svchost.exe 716
C:\Windows\system32\svchost.exe 796
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe 880
C:\Windows\System32\svchost.exe 976
C:\Windows\System32\svchost.exe 1036
C:\Windows\system32\svchost.exe 1076
C:\Windows\system32\svchost.exe 1200
C:\Windows\system32\svchost.exe 1340
C:\Windows\system32\WLANExt.exe 1460
C:\Windows\system32\conhost.exe 1472
C:\Windows\System32\spoolsv.exe 1580
C:\Windows\system32\svchost.exe 1664
C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe 1780
C:\Windows\system32\svchost.exe 1808
C:\Program Files\Packard Bell\Registration\GregHSRW.exe 1836
C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe 1904
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe 1964
C:\Windows\system32\WUDFHost.exe 1308
C:\Windows\system32	askhost.exe 232
C:\Windows\system32\Dwm.exe 2064
C:\Windows\system32\SearchIndexer.exe 3992
C:\Windows\explorer.exe 3216
C:\Windows\system32\wuauclt.exe 3384
C:\Program Files\Windows Media Player\wmpnetwk.exe 312
C:\Program Files\Mozilla Firefox\firefox.exe 3924
C:\Program Files\Microsoft Security Essentials\msseces.exe 2828
C:\Windows\system32\svchost.exe 3816
C:\Program Files\List_Kill'em\List_Kill'em.exe 2512
C:\Windows\system32\conhost.exe 2956
C:\Windows\system32\cmd.exe 904
C:\Windows\system32\wbem\wmiprvse.exe 4000
C:\Users
oé\AppData\Local\Temp\B4CF.tmp\pv.exe 2808

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
msnmsgr	REG_SZ         	"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
IAAnotif	REG_SZ         	C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe 
RtHDVCpl	REG_SZ         	C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe 
Acer ePower Management	REG_SZ         	C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerTray.exe 
Adobe Reader Speed Launcher	REG_SZ         	"C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
IgfxTray	REG_SZ         	C:\Windows\system32\igfxtray.exe 
HotKeysCmds	REG_SZ         	C:\Windows\system32\hkcmd.exe 
Persistence	REG_SZ         	C:\Windows\system32\igfxpers.exe 
LManager	REG_SZ         	C:\Program Files\Launch Manager\LManager.exe 
VideoWebCamera	REG_SZ         	"C:\Program Files\VideoWebCamera\VideoWebCamera.exe" -a 
PLFSetI	REG_SZ         	C:\Windows\PLFSetI.exe 
SynTPEnh	REG_EXPAND_SZ  	%ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe 
OMEA	REG_SZ         	"C:\Program Files\PackardBellXSync\Deployment\Functions\{AA58F999-6D97-42c2-A69F-8CC04D18D944}\OMEA.exe" 
MSSE	REG_SZ         	"c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
Malwarebytes' Anti-Malware	REG_SZ         	C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
ConsentPromptBehaviorAdmin	REG_DWORD      	0 (0x0) 
ConsentPromptBehaviorUser	REG_DWORD      	3 (0x3) 
EnableInstallerDetection	REG_DWORD      	1 (0x1) 
EnableLUA	REG_DWORD      	0 (0x0) 
EnableSecureUIAPaths	REG_DWORD      	1 (0x1) 
EnableUIADesktopToggle	REG_DWORD      	0 (0x0) 
EnableVirtualization	REG_DWORD      	1 (0x1) 
PromptOnSecureDesktop	REG_DWORD      	0 (0x0) 
ValidateAdminCodeSignatures	REG_DWORD      	0 (0x0) 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
scforceoption	REG_DWORD      	0 (0x0) 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 
FilterAdministratorToken	REG_DWORD      	0 (0x0) 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveAutoRun	REG_DWORD      	128 (0x80) 
NoDriveTypeAutoRun	REG_DWORD      	128 (0x80) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveAutoRun	REG_DWORD      	128 (0x80) 
NoDriveTypeAutoRun	REG_DWORD      	128 (0x80) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\igfxcui]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

=============== 
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 
EapHost : 0x3 
Wlansvc : 0x2 
SharedAccess : 0x4 
windefend : 0x3 
wuauserv : 0x2 
wscsvc : 0x2 

=========
 
=======
Drive :
=======

D‚fragmenteur de disque Microsoft
Copyright (c) 2007 Microsoft Corp.

Invocation de analyse sur Packard Bell (C:)...



L'op‚ration a r‚ussi.

Post Defragmentation Report:


	Informations sur le volumeÿ:
		Taille du volume                 = 136,94 Go
		Espace libre                  = 111,25 Go
		Quantit‚ totale d'espace fragment‚      = 1%
		Taille maximale d'espace libre     = 63,68 Go

	Remarqueÿ: les fragments de fichier de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.


	Il n'est pas n‚cessaire de d‚fragmenter ce volume.

¤¤¤¤¤¤¤¤¤¤ Files/folders :

C:\Windows\System32	askhost.exe  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  

================
Other infections
================

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-26 23:34:40
Windows 6.1.7600  NTFS

detected NTDLL code modification:
ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

==========
Programs
==========

Adobe
Common Files
desktop.ini
DVD Maker
Fichiers communs
InstallShield Installation Information
Intel
Internet Explorer
K-Lite Codec Pack
Launch Manager
List_Kill'em
Malwarebytes' Anti-Malware
Microsoft
Microsoft Games
Microsoft Office
Microsoft Office Suite Activation Assistant
Microsoft Security Essentials
Microsoft Silverlight
Microsoft SQL Server Compact Edition
Microsoft Visual Studio 8
Microsoft Works
Microsoft.NET
Mozilla Firefox
MSBuild
Packard Bell
Packard Bell GameZone
PackardBellXSync
PB Accessory Store
Realtek
Reference Assemblies
Synaptics
Temp
trend micro
Uninstall Information
VideoWebCamera
Windows Defender
Windows Live
Windows Live SkyDrive
Windows Mail
Windows Media Player
Windows NT
Windows Photo Viewer
Windows Portable Devices
Windows Sidebar
ZHPDiag

============
Lecteur C:
============

$Recycle.Bin
autoexec.bat
autorun.inf
BOOTSECT.BAK
config.sys
Documents and Settings
hiberfil.sys
Intel
Kill'em
List'em.txt
MSOCache
OEM
pagefile.sys
PerfLogs
Program Files
ProgramData
Recovery
RHDSetup.log
rsit
System Volume Information
UsbFix
UsbFix.txt
Users
Webcam.log
Windows
 
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials 
 
C:\OEM\Preload\PatchLog 
C:\OEM\Preload\PatchLog\CodeTracer 
C:\OEM\Preload\PatchLog\DecompressFM2009-11-16 16-23-56.log 
C:\OEM\Preload\PatchLog\PAP0104V26XX1CE1.csv 
C:\OEM\Preload\PatchLog\PXP00000Z10HF011.csv 
C:\OEM\Preload\PatchLog\CodeTracer\PreloadX_Patch2009-11-16 16-05-39.log 
C:\Program Files\Adobe\Photoshop Elements 7.0\LMResources\SerializationWF.exv 
C:\ProgramData\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.atn 
C:\ProgramData\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.metadata.xml 
C:\ProgramData\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.png 
C:\ProgramData\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.thumbnail.jpg 
C:\Users\All Users\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.atn 
C:\Users\All Users\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.metadata.xml 
C:\Users\All Users\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.png 
C:\Users\All Users\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.thumbnail.jpg 
C:\Windows\Patch.log 
C:\Program Files\Microsoft Works\Install.exe 
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

moment de grace · Answer

ok


Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

léanah2215 · Answer

Une fois le PC redemarré, le rapport ne s'est pas affiché ...

moment de grace · Answer

Le rapport se trouve également là : C:\ComboFix.txt

léanah2215 · Answer

Mais quand je tape ça dans la barre de recherche : " aucun élément ne correspond a ma recherche"  ...

moment de grace · Answer

il se trouve à la racine de C

sinon refais moi un nouveau ZHP

et comment va le pc ?

léanah2215 · Answer

Ok, je pense que le PC va beaucoup mieux car je ne reçois plus aucune alerte de mon antivirus et j'ai fais une analyse rapide qui me dit que tout va bien .
Le ZHP c'est la derniere procédure envoyée c'est ça ?

moment de grace · Answer

comme ca 

https://forums.commentcamarche.net/forum/affich-15842830-virus#3

léanah2215 · Answer

D'accord, voila le lien:

http://www.cijoint.fr/cjlink.php?file=cj200912/cijg31TmUA.txt

moment de grace · Answer

derniere verif avant nettoyage


Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : C:\Windows\PEV.exe


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

léanah2215 · Answer

Fichier PEV.exe reçu le 2009.12.27 10:56:40 (UTC)
Situation actuelle: terminé
Résultat: 4/41 (9.76%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.43 	2009.12.27 	-
AhnLab-V3 	5.0.0.2 	2009.12.26 	-
AntiVir 	7.9.1.122 	2009.12.26 	-
Antiy-AVL 	2.0.3.7 	2009.12.25 	-
Authentium 	5.2.0.5 	2009.12.26 	-
Avast 	4.8.1351.0 	2009.12.27 	-
AVG 	8.5.0.430 	2009.12.26 	-
BitDefender 	7.2 	2009.12.27 	-
CAT-QuickHeal 	10.00 	2009.12.26 	(Suspicious) - DNAScan
ClamAV 	0.94.1 	2009.12.27 	-
Comodo 	3385 	2009.12.27 	-
DrWeb 	5.0.1.12222 	2009.12.27 	-
eSafe 	7.0.17.0 	2009.12.24 	Suspicious File
eTrust-Vet 	35.1.7198 	2009.12.25 	-
F-Prot 	4.5.1.85 	2009.12.26 	-
F-Secure 	9.0.15370.0 	2009.12.27 	-
Fortinet 	4.0.14.0 	2009.12.27 	-
GData 	19 	2009.12.26 	-
Ikarus 	T3.1.1.79.0 	2009.12.27 	-
Jiangmin 	13.0.900 	2009.12.27 	-
K7AntiVirus 	7.10.931 	2009.12.26 	-
Kaspersky 	7.0.0.125 	2009.12.27 	-
McAfee 	5843 	2009.12.26 	-
McAfee+Artemis 	5843 	2009.12.26 	-
McAfee-GW-Edition 	6.8.5 	2009.12.27 	Heuristic.LooksLike.Win32.Suspicious.C
Microsoft 	1.5302 	2009.12.26 	-
NOD32 	4719 	2009.12.27 	-
Norman 	6.04.03 	2009.12.27 	-
nProtect 	2009.1.8.0 	2009.12.27 	-
Panda 	10.0.2.2 	2009.12.15 	Suspicious file
PCTools 	7.0.3.5 	2009.12.27 	-
Prevx 	3.0 	2009.12.27 	-
Rising 	22.27.06.04 	2009.12.27 	-
Sophos 	4.49.0 	2009.12.27 	-
Sunbelt 	3.2.1858.2 	2009.12.26 	-
Symantec 	1.4.4.12 	2009.12.27 	-
TheHacker 	6.5.0.3.113 	2009.12.26 	-
TrendMicro 	9.120.0.1004 	2009.12.27 	-
VBA32 	3.12.12.0 	2009.12.26 	-
ViRobot 	2009.12.26.2109 	2009.12.26 	-
VirusBuster 	5.0.21.0 	2009.12.26 	-
Information additionnelle
File size: 261632 bytes
MD5   : 4e20f3b27b334e9273fc3890b7948bd8
SHA1  : ff937b7eb12048f227d35d42efe3375dc5d7d1a0
SHA256: afb212b270e325888c330e97ef93fe5399e0ab6b0870c624ab28231fc8ee8c72
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4B1FB9AD (Wed Dec 9 15:52:29 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xD1000 0x3E600 8.00 aa60f3c16e3b0fab6e082459c3701555
.rsrc 0xD2000 0x2000 0x1200 7.23 7dd9c5b051360dcd9867eb9ac7e54706
.reloc 0xD4000 0x200 0x200 0.22 b2653d9ffb17cc053523a34099297f53

( 1 imports )

> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree

( 0 exports )
TrID  : File type identification
Win32 EXE PECompact compressed (v2.x) (48.9%)
Win32 EXE PECompact compressed (generic) (34.4%)
Win32 Executable Generic (7.0%)
Win32 Dynamic Link Library (generic) (6.2%)
Generic Win/DOS Executable (1.6%)
ssdeep: 6144:Lb0Cz2tkTv92ga9kLs9VCmm+9ah0jdWWG6tLoack7Z1Q:LbzitE92kLP9+98Iw6tTT1Q
PEiD  : -
packers (Kaspersky): PE_Patch.PECompact, PecBundle
packers (F-Prot): PecBundle, PECompact
RDS   : NSRL Reference Data Set
-

moment de grace · Answer

cool

apres le repas post de nettoyage

léanah2215 · Answer

D'accord, bon appétit alors !

moment de grace · Answer

Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ". 

ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ces lignes 

O20 - Winlogon Notify: igfxcui - C:\Windows\System32\igfxdev.dll     
O44 - LFC:Last File Created 27/12/2009 - 10:37:18 ---A- C:\Windows\System32\perfc009.dat     
O44 - LFC:Last File Created 27/12/2009 - 10:37:18 ---A- C:\Windows\System32\perfc00C.dat     
O44 - LFC:Last File Created 27/12/2009 - 10:37:18 ---A- C:\Windows\System32\perfh009.dat     
O44 - LFC:Last File Created 27/12/2009 - 10:37:18 ---A- C:\Windows\System32\perfh00C.da
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe  

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message

..................................

purger la restauration seven
https://www.androidworld.fr/#supprimer_points_restauration

............................

Télécharge ToolsCleaner2sur ton Bureau. 
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

léanah2215 · Answer

ZHPFix v1.12.23  by Nicolas Coolman - Rapport de suppression du 27/12/2009 13:27:25
Fichier d'export Registre : C:\ZHPExportRegistry-27-12-2009-13-27-41.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O20 - Winlogon Notify: igfxcui - C:\Windows\System32\igfxdev.dll  => Clé supprimée avec succès

Valeur du Registre :
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\igfxdev.dll  => Supprimé et mis en quarantaine
c:\windows\system32\perfc009.dat  => Supprimé et mis en quarantaine
c:\windows\system32\perfc00c.dat  => Supprimé et mis en quarantaine
c:\windows\system32\perfh009.dat  => Supprimé et mis en quarantaine
c:\windows\system32\perfh00c.da  => Fichier absent
c:\program files\adobeeader 9.0eadereader_sl.exe  => Fichier supprimé au reboot

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 6
Logiciel : 0
Autre : 0


End of the scan







[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\ComboFix\Combofix.txt: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users
oé\Desktop\UsbFix.exe: trouvé !
C:\Users
oé\Downloads\ComboFix.exe: trouvé !
C:\Users
oé\Downloads\Rsit.exe: trouvé !
C:\Windows\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Users
oé\Downloads\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\UsbFix.txt: supprimé !
C:\ComboFix\Combofix.txt: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users
oé\Desktop\UsbFix.exe: supprimé !
C:\Users
oé\Downloads\Rsit.exe: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Program Files\ZHPDiag: supprimé !

moment de grace · Answer

si tout est ok pour toi


tu peux mettre le topic en resolu 
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/


Bonne continuation et surtout , prudence et bon surf :)

léanah2215 · Answer

Merci, 
Oui c'est bon tout est Ok,

Merci beaucoup pour ton aide !

VIRUS ??

30 réponses

Discussions similaires