Pc trés infecté

Hadri81 -  
aa56 Messages postés 64 Statut Membre -


Bonjour, a tous mes sauveurs !!

Alors le problème que j'ai c'est que j'ai connecter le disque dur externe infecté de mon père sur mon pc qui est maintenant infecté bien comme il faut.

Alors j'ai :

Lancer secuser est fait une recherche il ma trouvé un trojan, que j'ai supprimé.

Ensuite j'ai télécharger et lancer ZHPDiag voila le rapport >>> http://www.cijoint.fr/cjlink.php?file=cj201003/cijOZ2lssa.txt

Lancer CCleaner j'ai nettoyer et réparer les erreurs du registre.

Je voudrais que qulqu'un m'aide pour analyser pour rapport ZHPDiag et m'aider pour la suite des événement :)

Merci d'avance ;)

16 réponses

  1. aa56 Messages postés 64 Statut Membre 3
     
    Salut

    Tu as des toolbars infecté Ce qu'il faut savoir sur les toolbars (barres d'outils)

    Fais ceci stp :

    * Telecharge UsbFix

    * tutoriel d'installation

    * recherche

    * Lance l installation avec les parametres par default

    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir

    * Double clic sur le raccourci UsbFix sur ton bureau

    * Choisi l'option 1 (recherche)

    * Laisse travailler l'outil

    * Ensuite post le rapport UsbFix.txt qui apparaîtra

    * Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
    0
  2. Hadri81
     
    Tu n'aurait pas d'autres lien car ce que tu ma donné son erronés :/
    0
  3. Shift
     
    Tu dois lire ça attentivement http://forum.zebulon.fr/zhpdiag-un-outil-de-diagnostic-t148190.html sinon poste un log Hijackthis c'est le même principe avec ZHPDiag moins connu sur ce forum.
    0
    1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Salut,
      A quoi bon donner un rapport Hijackthis ayant un rapport ZHPDiag bien plus complet !
      Pas de rapport Hijackthis.
      0
    2. Shift
       
      n fait je ne connaît pas le fonctionnement de tous les modules ZHPDiag ainsi que la lecteur des résultats je ne veux pas m'aventurer même si je connaîs un peu, je suis plus à l'aise avec Hijackthis que je maîtrise plus. Donc je te laisse t'en occuper. Quand j'ai publié ma réponse il n'y avait aucune réponse on posté à quelques millièmes de secondes ;)
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Hadri81
     
    Enfét je ne veux pas supprimer les virus qu'il y a sur le disque dur externe, je l'est déja formater.
    Je veux enlever les virus et autre qu'il y'a sur mon pc Voila :)
    0
  6. Hadri81
     
    C bon, j'ai repérer le dossier infectée !

    C:\WINDOWS\system32\GameMon.des - Trojan.Generic.3551424
    --> HKLM\System\ControlSet002\services\npggsvc\"ImagePath"

    Maintenant, est ce que je doit le supprimer ou le désinfecter et comment ?
    Merci d'avance ;)
    0
    1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Bonsoir, supprime-le car c'est infectieux !
      (Pas de clés USB à insérer lors du scan USBFix ?)
      0
    2. Hadri81
       
      J'ai lu qu'il ne fallait pas le supprimer manuellement car sa pouvait enlever des fichier de windows.

      Non.
      0
    3. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Où as-tu lu ça ?

      Des doutes ?
      https://www.symantec.com?md5=fb78380283cb0f11c53f409741c3bb62
      http://www.prevx.com/filenames/150589952769341291-X1/GAMEMON.DES.html
      0
    4. hadri81 Messages postés 9 Statut Membre
       
      C bon c supprimer =)
      Maitenant je fait quoi ?
      0
    5. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Il faut voir avec a56 qui a commencé la désinfection avec toi et qui te prend en charge ;-).
      Bonne continuation.
      0
  7. aa56 Messages postés 64 Statut Membre 3
     
    Fais ce qu'il y a de dit plus haut
    (lance USBFix)
    0
  8. Hadri81
     
    Voila !

    Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Disabled
    AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
    FW : Sunbelt Personal Firewall[ (!) Disabled ]4.6.1861 T

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 465,75 Go (417,27 Go free) # NTFS
    D:\ -> Disque CD-ROM # 2,21 Go (0 Mo free) [CSS] # CDFS

    ################## | Elements infectieux |

    C:\DOCUME~1\Fuentes\APPLIC~1\SystemProc
    D:\autorun.inf
    D:\autorun.ini

    ################## | Registre |

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "RTHDBPL"

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{78037c96-e273-11dd-a1ee-001d1a02ac40}
    Shell\AutoRun\command =E:\hwpcassistant.exe

    HKCU\..\..\Explorer\MountPoints2\{97fc6ed0-d8cd-11dd-a1ce-001d1a02ac40}
    Shell\AutoRun\command =E:\wd_windows_tools\WDSetup.exe

    HKCU\..\..\Explorer\MountPoints2\{99f7fba9-d6d2-11dd-85cd-806d6172696f}
    Shell\AutoRun\command =D:\AUTORUN.EXE

    ################## | Vaccin |

    ################## | ! Fin du rapport # UsbFix V6.100 ! |
    0
  9. aa56 Messages postés 64 Statut Membre 3
     
    Ok maintenant relance USBFix mais cette fois ci choisi l'option 2
    0
  10. Hadri81
     
    ############################## | UsbFix V6.100 |

    User : Fuentes (Administrateurs) # FUENTES-B87F4F3
    Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 20:10:47 | 31/03/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Disabled
    AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
    FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 465,75 Go (417,15 Go free) # NTFS
    D:\ -> Disque CD-ROM # 2,21 Go (0 Mo free) [CSS] # CDFS

    ################## | Elements infectieux |

    Supprimé ! C:\DOCUME~1\Fuentes\APPLIC~1\SystemProc
    Supprimé ! C:\Recycler\S-1-5-21-1275210071-261903793-1417001333-1004
    (!) Non supprimé ! D:\autorun.inf
    (!) Non supprimé ! D:\autorun.ini

    ################## | Registre |

    Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "RTHDBPL"

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{78037c96-e273-11dd-a1ee-001d1a02ac40}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{97fc6ed0-d8cd-11dd-a1ce-001d1a02ac40}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [30/12/2008 19:23|--a------|0] C:\AUTOEXEC.BAT
    [23/03/2009 19:51|---hs----|216] C:\boot.ini
    [14/04/2008 14:00|-rahs----|4952] C:\Bootfont.bin
    [30/12/2008 19:23|--a------|0] C:\CONFIG.SYS
    [30/12/2008 19:37|--a------|154] C:\csb.log
    [15/04/2009 01:17|--a------|578331] C:\fraglist.htm
    [11/04/2009 13:13|--a------|2269082] C:\fraglist.luar
    [30/12/2008 19:23|-rahs----|0] C:\IO.SYS
    [09/01/2009 22:07|--a------|0] C:\log_lobby.txt
    [09/01/2009 22:07|--a------|0] C:\log_lobby_dumper.txt
    [30/12/2008 19:23|-rahs----|0] C:\MSDOS.SYS
    [14/04/2008 14:00|-rahs----|47564] C:\NTDETECT.COM
    [14/04/2008 14:00|-rahs----|252240] C:\ntldr
    [?|?|?] C:\pagefile.sys
    [30/12/2008 19:34|--a------|429] C:\RHDSetup.log
    [31/03/2010 20:10|--a------|125] C:\service.log
    [31/03/2010 20:19|--a------|2239] C:\UsbFix.txt
    [12/09/2005 02:10|-r-------|28672] D:\autorun.exe
    [12/09/2005 02:10|-r-------|43] D:\autorun.inf
    [12/09/2005 02:10|-r-------|1042] D:\autorun.ini
    [12/09/2005 02:10|-r-------|22246] D:\css.ico
    [12/09/2005 02:10|-r-------|87] D:\css.url
    [12/09/2005 02:11|-r-------|119370] D:\css1.cab
    [12/09/2005 02:12|-r-------|10316750] D:\css10.cab
    [12/09/2005 02:59|-r-------|1085966] D:\css2.cab
    [12/09/2005 04:26|-r-------|568227412] D:\css3.cab
    [12/09/2005 02:12|-r-------|639696] D:\css4.cab
    [12/09/2005 02:59|-r-------|276395776] D:\css5.cab
    [12/09/2005 04:29|-r-------|68276754] D:\css6.cab
    [12/09/2005 03:50|-r-------|807682836] D:\css7.cab
    [12/09/2005 03:08|-r-------|109297296] D:\css8.cab
    [12/09/2005 02:42|-r-------|482299763] D:\css9.cab
    [12/09/2005 04:43|-r-------|54784] D:\css_French.exe
    [12/09/2005 04:43|-r-------|845] D:\css_French.ini
    [13/09/2005 01:00|-r-------|1376256] D:\css_French.msi
    [12/09/2005 02:10|-r-------|10929] D:\game_install_agreement.rtf
    [12/09/2005 04:43|-r-------|1707856] D:\instmsi.exe
    [12/09/2005 04:43|-r-------|1821008] D:\instmsiw.exe
    [12/09/2005 02:10|-r-------|1175925] D:\setup.exe
    [12/09/2005 02:10|-r-------|54784] D:\steam_French.exe
    [12/09/2005 02:10|-r-------|834] D:\steam_French.ini
    [13/09/2005 00:04|-r-------|4493824] D:\steam_French.msi
    [12/09/2005 02:10|-r-------|10824] D:\steam_install_agreement.rtf
    [12/09/2005 02:10|-r-------|89] D:\support.url
    [11/09/2005 07:45|-r-------|111507] D:\uninstall_css.exe
    [12/09/2005 02:10|-r-------|113] D:\valve.inf
    [12/09/2005 02:10|-r-------|86] D:\valve.url

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_FUENTES-B87F4F3.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.100 ! |
    0
  11. aa56 Messages postés 64 Statut Membre 3
     
    OK c'est bien maintenant télécharge ad-remover :

    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    un tutoriel pour bien l'utiliser :

    http://pagesperso-orange.fr/NosTools/tuto_adr_3.html

    Poste le rapport dans ta prochaine réponse.
    0
  12. Hadri81
     
    Voila, et j'ai supprimer tous les fichiers qui sont dit comme suspect.

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 31/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 18:58:31 le 01/04/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
    Nom du PC: FUENTES-B87F4F3 | Utilisateur actuel: Fuentes (Administrateur)
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    Service: *ASKService*
    Service: *ASKUpgrade*
    .
    C:\Documents and Settings\All Users\Application Data\Games-Attack
    C:\Documents and Settings\Fuentes\Application Data\EoRezo
    C:\Documents and Settings\Fuentes\Application Data\Mozilla\FireFox\Profiles\blkjhyci.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
    C:\log_lobby.txt
    C:\log_lobby_dumper.txt
    C:\Program Files\AskBarDis
    C:\Program Files\Mozilla FireFox\Components\AskSearch.js

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\AppDataLow\AskBarDis
    HKCU\Software\EoRezo
    HKCU\Software\Games-Attack
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    HKLM\Software\AppDataLow\AskBarDis
    HKLM\Software\AskBarDis
    HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
    HKLM\Software\Classes\AppID\EoRezoBHO.DLL
    HKLM\Software\Classes\AskIBar.PopSwatterBarButton
    HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
    HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
    HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
    HKLM\Software\Classes\AskToolBar.SettingsPlugin
    HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
    HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
    HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
    HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
    HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
    HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
    HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
    HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
    HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
    HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
    HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
    HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
    HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
    HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
    HKLM\Software\Classes\TypeLib\{65DCD8FE-A6F4-47B5-A5BD-13952364DEFC}
    HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
    HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
    HKLM\Software\Games-Attack
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
    .
    (Orpheline) BHO: {C23D0D6A-8CBA-4B33-9735-47D81F5B2B85} (CLSID manquant)
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6.2pre (fr) *
    .
    C:\Documents and Settings\Fuentes\..\blkjhyci.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Fuentes\\Mes documents\\Mes images
    C:\Documents and Settings\Fuentes\..\blkjhyci.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.2
    .
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 1
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ============== SUSPECT(S) ==============
    .
    C:\Documents and Settings\Fuentes\Favoris\Télécharger eMule Acceleration Patch - 01net. Telecharger.com téléchargement du logiciel eMule Acceleration Patch - telecharger.URL
    C:\Documents and Settings\Fuentes\Favoris\[TUTO] CRACK STEAM FONCTIONAL A 100% TESTER Documentation.URL
    C:\Documents and Settings\Fuentes\Mes documents\Mes fichiers reçus\wormsarm\Silkworm_patch.exe
    .
    ========================================
    .
    C:\DOCUME~1\Fuentes\LOCALS~1\Temp: 0 Fichier(s), 6 Dossier(s)
    C:\WINDOWS\temp: 3 Fichier(s), 9 Dossier(s)
    Temporary Internet Files: 2 Fichier(s), 6 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 3 Fichier(s)
    C:\Ad-Remover\Backup: 13 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 6080 Octet(s)
    .
    Fin à: 19:03:39, 01/04/2010
    .
    ============== E.O.F - CLEAN[1] ==============
    0
  13. aa56 Messages postés 64 Statut Membre 3
     
    Tu peut me renvoyer un rapport ZHPDiag
    0
  14. Hadri81
     
    Cijoint ne marche plus :/
    Je re-essayerais plus tard...
    0
  15. hadri81 Messages postés 9 Statut Membre
     
    Voila ;)

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijOwnUmAq.txt

    Sa bug de plus en plus au bout de 10 min tout plante jui obliger d'appuyer sur le bouton de la centrale pour redémarrez.
    0
  16. aa56 Messages postés 64 Statut Membre 3
     
    OK maintenant fais ceci :

    Télécharge Malwarebytes/

    ? Tu auras un tutoriel à ta disposition sur ce site web pour l'installer et l'utiliser correctement.

    ? Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    ? Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    ? Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

    ? L'analyse peut durer un bon moment.....

    ? Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

    ? Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

    ? Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum/list

    Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
    0