Bonjour, Je vous demande de l'aide mon pc est infecté, je n'arrive pas à utilisé Combofix A L'AIDE Merci à bientot

TROP DE VIRUS (A L'AIDE)

Réponse 1 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Bonjour,

Je poste ici ton rapport RSIT pour mémoire...

Fais ce scan généraliste stp :

• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

mlleraja75 Messages postés 30 Statut Membre

n'arrive pas à exécuté le logiciel Malwarebytes' Anti-Malware j'ai une boite de message qui s'ouvre et me dit : "impossible d'exécuté le fichier C:\Program files\Malwarebytes' Anti-Malware\mbam.exe

createprocess a echoué ; code 2 le fichier spécifié est introuvable !!!!!!"

tof2a

Fais ce qu'il te dit mais en mode sans echec après tu verra

Réponse 2 / 28

Utilisateur anonyme

met un antivirus sinon sauvegarde tous et reformate et reinstall le windows

Réponse 3 / 28

mistermi Messages postés 18 Statut Membre

je te conseille d`analyser ton ordi avec anti malware bytes, c`est gratuit, http://www.malwarebytes.org/mbam.php
Ya aussi plein d`antivirus gratuit pour une protection permanante comme microsoft essential security: https://www.microsoft.com/en-us/windows/ ou encore Avast https://www.avast.com/fr-fr/free-antivirus-download

Réponse 4 / 28

mlleraja75 Messages postés 30 Statut Membre

ok j'installe Malwarebytes' Anti-Malware et je vous tien au couran

PS : je ne veux pas reformatez :(

Réponse 5 / 28

mlleraja75 Messages postés 30 Statut Membre

je n'arrive pas à exécuté le logiciel Malwarebytes' Anti-Malware j'ai une boite de message qui s'ouvre et me dit : "impossible d'exécuté le fichier C:\Program files\Malwarebytes' Anti-Malware\mbam.exe

createprocess a echoué ; code 2 le fichier spécifié est introuvable !!!!!!"

Réponse 6 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Supprime Combofix si tu l'as encore sur ton ordinateur, et supprime également le dossier suivant :
C:\Qoobox

Puis télécharge le à nouveau :

/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.

/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

mlleraja75

Je ne trouve pas le dossier C:\Qoobox
J'ai bien desactivé lantivirus, le par feu
jai supprimé é reinstallé toujour la meme chose

Réponse 7 / 28

tof2a

si tu n'y arrive pas envois moi un mail

mlleraja

tu peux pas m'aidé ici?

Réponse 8 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

jai supprimé é reinstallé toujour la meme chose

==> Comment ça "toujours la même chose" ?

mlleraja75

Bah apres avoir installé combofix je le lance, et à la fin du chargement, j'ai une boite de message qui apparait et me dit : "windows ne trouve pas '32788R22FWJFW\iexplore.exe. verifiez que vous avez entré le nom correctement et essayer à nouveau..."

Si ca peux t'aider, lorsque je vais dans mon disque dur je vois le dossier 32788R22FWJFW... donc je le déplace dans combo mais il se lance directement et me remet le meme message...

Réponse 9 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Essayons autre chose :

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Réponse 10 / 28

mlleraja75 Messages postés 30 Statut Membre

Bonjour

Voici le rapport je vous donne le lien, encore merci de ton aide !!!

http://www.cijoint.fr/cjlink.php?file=cj201003/cijPXEyJSf.txt

Réponse 11 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

On va commencer à déblayer un peu, il y a beaucoup d'éléments néfastes à supprimer :

• Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Copie/colle toutes les lignes contenues dans ce document et place les dans ZHPFix
• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

mlleraja75 Messages postés 30 Statut Membre

Désolé du retard, je n'étais pas devant le pc..

voici le rapport

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O20 - Winlogon Notify: awtrPhEv . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\awtrPhEv.dll (.not file.) => Clé supprimée avec succès
O20 - Winlogon Notify: zzrp97 . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\zzrp97.dll (.not file.) => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\ROUA3O12PW [Key] . (.Pas de propriétaire - Pas de description.) -- c:\windows\msa.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\TOY5KNQ8OC [Key] . (.Pas de propriétaire - Pas de description.) -- c:\temp\vhd.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\zokayesiz [Key] . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\jinuyeju.dll => Clé supprimée avec succès

Valeur du Registre :
O4 - HKLM\..\Run: [zokayesiz] . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\pezatehe.dll => Valeur supprimée avec succès
O21 - SSODL: terayoyem - {f73d631a-c49f-496f-980e-159d597bba4b} . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\pezatehe.dll => Valeur absente
O22 - SharedTaskScheduler: (no name) - {f73d631a-c49f-496f-980e-159d597bba4b} . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\pezatehe.dll => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\Circl Developement => Supprimé et mis en quarantaine
C:\Program Files\PlayMP3z => Dossier absent
C:\Program Files\PremiereAdvertisingPlatform => Dossier absent

Fichier :
c:\program files\mozilla firefox\extensions\premiereadvertisingplatform@premiereadvertisingplatform => Fichier absent
c:\windows\system32\pezatehe.dll => Supprimé et mis en quarantaine
c:\windows\system32\awtrphev.dll => Fichier absent
c:\windows\system32\zzrp97.dll => Fichier absent
c:\windows\system32\pezatehe.dll => Fichier absent
c:\windows\tasks\mnxcutla.job => Supprimé et mis en quarantaine
c:\windows\system32\biwenezo => Supprimé et mis en quarantaine
c:\windows\system32\wawuregu.dll => Supprimé et mis en quarantaine
c:\windows\system32\urhtps.dat => Supprimé et mis en quarantaine
c:\windows\system32\msvbvm60.zip => Supprimé et mis en quarantaine
C:\WINDOWS\System32\msvbvm60.dll (Trojan.Vundo) => Supprimé et mis en quarantaine
c:\windows\system32\srvblck2.tmp => Supprimé et mis en quarantaine
c:\windows\msa.exe => Fichier absent
c:\temp\vhd.exe => Fichier absent
c:\windows\system32\jinuyeju.dll => Supprimé et mis en quarantaine

Logiciel :
O42 - Logiciel: FFPremiereAdvertisingPlatform - (.Pas de propriétaire.) => Logiciel supprimé avec succès
O42 - Logiciel: PlayMP3z - (.Pas de propriétaire.) => Logiciel supprimé avec succès
O42 - Logiciel: PremiereAdvertisingPlatform - (.Pas de propriétaire.) => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 5
Valeur du Registre : 3
Elément de données du Registre : 0
Dossier : 3
Fichier : 15
Logiciel : 3
Autre : 0

End of the scan

Réponse 12 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Parfait, fais redémarrer l'ordinateur et poste un nouveau rapport ZHPDiag stp

mlleraja75

Voici le lien http://www.cijoint.fr/cjlink.php?file=cj201003/cijoeQAKxg.txt

Réponse 13 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

D'autres fichiers néfastes se sont recréés...

Supprime ce fichier : C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
Remplace le par celui-ci
Lance le nouveau fichier qui devrait lancer MalwareBytes : mets le à jour et fais un scan rapide
Supprime tout ce qui est détecté et poste le rapport final
Redémarre l'ordinateur si le logiciel te le demande.

mlleraja75

Je n'arrive pas à supprimé le dossier ca me met "impossible de supprimer mbamext.dll : acces refusé, verifiez que le disque n'est pas plein ou protégé en écriture..etc

Réponse 14 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Je ne t'ai pas demandé de supprimer le dossier, mais le fichier mbam.exe qu'il contient :-S

mlleraja75

lol ouai je me suis rendu compte apres que j'ai mal lu.. là c'est bon je viens de le lancé, j'ai cliqué sur examen rapide..

Réponse 15 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Ok ;)

mlleraja75

Voici le rapport

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02/03/2010 17:09:45
mbam-log-2010-03-02 (17-09-45).txt

Type de recherche: Examen rapide
Eléments examinés: 115944
Temps écoulé: 19 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 4
Clé(s) du Registre infectée(s): 34
Valeur(s) du Registre infectée(s): 14
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 44

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\bogerijo.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\huluvavi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\meseleru.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\netojeke.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{186cfe5b-3f77-4256-9ac6-35d9cb5bb489} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{22d2278a-0a45-48cb-982f-04971255cbea} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4490778b-4d1d-4ff0-b5c3-5ec394be7077} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{95e66e0e-32cd-4880-a7f7-c8a6944432f1} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{bd2e8f68-df4f-4729-83fb-4942b3e626c3} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ddee478a-8364-4fc8-a373-142351258db7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\premiereadvertisingplatform.premiereadvertisingplatform (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\premiereadvertisingplatform.premiereadvertisingplatform.1 (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{418d86be-7386-4f1a-83e0-53604adbda74} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{30fcf052-3649-4543-b924-ba7ab9facc8a} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{547395d9-934a-ced6-b851-f238c86079e5} (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{547395d9-934a-ced6-b851-f238c86079e5} (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{d662238e-9bc3-4197-a686-116e687962e8} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5ed8988f-f193-4e23-89ad-7225b9dffc76} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7936f135-ece0-4ed0-bbfd-b2fda8fc10f2} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{bb28a998-fed3-45bc-a05d-fd52292f9bac} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\acroie.dll (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\PremiereAdvertisingPlatform.dll (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PLayMP3z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PremiereAdvertisingPlatform (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zokayesiz (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{186cfe5b-3f77-4256-9ac6-35d9cb5bb489} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\busitanez (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{22d2278a-0a45-48cb-982f-04971255cbea} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\huyogenop (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{4490778b-4d1d-4ff0-b5c3-5ec394be7077} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\yuwerewus (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{95e66e0e-32cd-4880-a7f7-c8a6944432f1} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\harofunir (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{bd2e8f68-df4f-4729-83fb-4942b3e626c3} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\lahifipig (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ddee478a-8364-4fc8-a373-142351258db7} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\nunahihaf (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rthdbpl (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: netojeke.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: meseleru.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\huluvavi.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\huluvavi.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\bogerijo.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\bogerijo.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Documents and Settings\HelpAssistant\Menu Démarrer\Programmes\AntiVirus Plus (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Menu Démarrer\Programmes\PlayMP3z (Adware.PLayMP3z) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Application Data\AntiVirus Plus (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\batujuko.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bogerijo.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\dipakule.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\duwibudo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\duyasuwi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ganafihe.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hohokaza.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\huluvavi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\jegugore.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\juzutase.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lavufanu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\litinika.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\meseleru.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\muyasera.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\negokofi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netojeke.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\rahuguzi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\relipasi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ruhefife.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sazukojo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tizomahu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vahoremo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vavanoho.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zovujiwu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Menu Démarrer\Programmes\AntiVirus Plus\AntiVirus Plus.lnk (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Menu Démarrer\Programmes\AntiVirus Plus\EULA.url (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Menu Démarrer\Programmes\AntiVirus Plus\Uninstall.lnk (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Menu Démarrer\Programmes\PlayMP3z\Run PlayMP3z.pif (Adware.PLayMP3z) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xmldm\netbanke_2010.02.21.103736_propriétaire@ad.yieldmanager[1].txt (Stolen.Data) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Application Data\avp.ico (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.
C:\Documents and Settings\Propriétaire\Application Data\avp.ico (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AcroIEHelpe.dll (Spyware.Banker) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Bureau\AntiVirus Plus.lnk (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiVirus Plus.lnk (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Menu Démarrer\Programmes\Démarrage\AntiVirus Plus.lnk (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nsysd.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nsysk.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\olsysk.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\olsysp.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\olsysw.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shifld2.old (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nsysp.ini (Trojan.Patched) -> Quarantined and deleted successfully.

Réponse 16 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Fais redémarrer l'ordinateur, et essaye d'utiliser Combofix à nouveau stp

mlleraja75

Non je n'arrive toujours pas à lancé combofix j'ai ce message qui apparait
"windows ne trouve pas '32788R22FWJFW\iexplore.exe. verifiez que vous avez entré le nom correctement et essayer à nouveau..."

Réponse 17 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Clique sur le menu démarrer --> Exécuter
Tape Combofix /Uninstall (l'espace entre Combofix et /Uninstall est important)

Si Combofix ne se désinstalle pas correctement après ça, supprime le manuellement
Vérifie aussi que le dossier 32788R22FWJFW et le dossier Qoobox sont bien supprimés.

Puis désactive tes logiciels de protection, télécharge à nouveau Combofix ici et réessaye stp

mlleraja75

Non anthony j'ai tout essayé depuis hier soir j'ai desactivé mon antivirus avira, ainsi que mon parfeu, j'ai supprimé comboxfix, reinstallé mais toujours le meme message "windows ne trouve pas '32788R22FWJFW\iexplore.exe. verifiez que vous avez entré le nom correctement et essayer à nouveau..."
ensuite je l'ai fais en mode sans echec, ca ne veut toujours pas

Réponse 18 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Poste un nouveau rapport ZHPDiag stp, pour voir si MalwareBytes a été efficace.

Fais ensuite cette analyse stp :

/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\

• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

mlleraja75

ok g lancé le scan
tu voi le dossier 32788R22FWJFW se trouv dans le disque durr et a chaque fois je le supprime et quand je le reinstalle combofix il reapparait dans C:

Réponse 19 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Oui c'est normal que Combofix crée ce dossier, le problème c'est le message d'erreur :(

mlleraja75

voici le rapport

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3814
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03/03/2010 15:13:26
mbam-log-2010-03-03 (15-13-26).txt

Type de recherche: Examen rapide
Eléments examinés: 127075
Temps écoulé: 9 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\xmldm\netbanke_2010.03.03.030953_propriétaire@atdmt[3].txt (Stolen.Data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xmldm\netbanke_2010.03.03.031154_propriétaire@atdmt[3].txt (Stolen.Data) -> Quarantined and deleted successfully.

mlleraja75

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3814
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03/03/2010 15:13:26
mbam-log-2010-03-03 (15-13-26).txt

Type de recherche: Examen rapide
Eléments examinés: 127075
Temps écoulé: 9 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\xmldm\netbanke_2010.03.03.030953_propriétaire@atdmt[3].txt (Stolen.Data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xmldm\netbanke_2010.03.03.031154_propriétaire@atdmt[3].txt (Stolen.Data) -> Quarantined and deleted successfully.

mlleraja75

J'ai cliqué sur download.exe pour lancé le logiciel GMER et j'ai un message qui me dit "LoadDriver ("C:\temp\.\kxtdipod.sys"). Impossible de creer une sous clé stable sous une clé parente volatile"

mlleraja75

nan c'est bon ca scan jai cliké sur ok apres la fenetre gmer cest affiché

mlleraja75

voici le rapport GMER

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-03 18:18:18
Windows 5.1.2600 Service Pack 3
Running: lk5jr8g7.exe

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}@scansk 0xBD 0xB3 0xD1 0x5B ...
Reg HKLM\SOFTWARE\Classes\CLSID\{f1e5bdb3-b118-4486-97f5-c49393c66ae5}@Model 94
Reg HKLM\SOFTWARE\Classes\CLSID\{f1e5bdb3-b118-4486-97f5-c49393c66ae5}@Therad 30
Reg HKLM\SOFTWARE\Classes\CLSID\{f1e5bdb3-b118-4486-97f5-c49393c66ae5}@MData 0x2B 0x8F 0x78 0x29 ...

---- Files - GMER 1.0.15 ----

File C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Opera\Opera\cache\opr0KZKH 0 bytes
File C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Opera\Opera\opcache\opr0KZYQ 366 bytes

---- EOF - GMER 1.0.15 ----

Réponse 20 / 28

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Ok, poste un nouveau rapport ZHPDiag stp

mlleraja75

Voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201003/cijHoa9rHA.txt

TROP DE VIRUS (A L'AIDE)

28 réponses

Votre réponse

Discussions similaires

Newsletters