Bloqué par Malware/virus/trojan

Question

Bonjour, je suis chez des amis qui ont un pc infecté par plusieurs saloperies dont : 
- heur.html/malware 
- TR/Crypt.ZPACK.Gen. 
Leur antivirus est Antivir (Avira). Je ne peux pas les supprimer même quand avira me le propose à chaque fois ils reviennent. Pour heur.html je bloque l'accès et rien ne change et quand au second, lorsque je clique sur supprimer ou mise en quarantaine rien ne change non plus. Je ne peux même pas chercher de solutions sur le net. A chaque requete de scan en ligne (Kaspersky, trendmicro ou autre) je suis soit renvoyé vers une page IE disant que la page est inaccessible ou bien alors la page ne se charge pas du tout. Problème identique lorsque je veux me rendre sur des pages ou telecharger des outils pour les eradiquer tels que malwarebyte, hijackthis ou autre... Il me renvoi sans cesse soit vers d'autres sites (bnp, orange etc...) soit toujours ce même message IE (page non accessible). Je ne peux pas non plus faire les mises a jour avira, ni celle Microsoft. J'ai voulu installer Spybot, il me bloque l'acces à leur serveur au moment de l'installation. Une vraie plaie. Pourriez vous m'aider s'il vous plait. 
Dans l'attente de vous lire. 

PS ils ont un pc portable Samsung R60 plus et tourne sous Vista SP1. J'ai essaye de rebooter le machine, mais il n'y pas de menu "mode sans echec avec ou sans reseau". Je ne peux que demarrer "normalement" ou bien utiliser "Startup restore" (qui ne corrige rien, j'ai déjà essayé)

sKe69 · Answer

Salut,


infection sérieuse ....


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).


===========================



Commence par ceci pour avoir un diagnostique précis de la situation :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ... ( cela peut-être relativement long )


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> Pour me faire parvenir ce rapport, rends toi sur ce site : 
http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

Utilisateur anonyme · Answer

Hello et merci...
Voici le lien 
http://www.cijoint.fr/cjlink.php?file=cj201004/cijmyvdKxz.txt

Utilisateur anonyme · Answer

No prob.
voici donc le second lien...
http://www.cijoint.fr/cjlink.php?file=cj201004/cijZhBlJn3.txt

sKe69 · Answer

et bien ....



y a du boulot ! ....



commence par ceci dans l'ordre :


1- protocole à suivre pour  Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :
 
Aller dans "démarrer" puis "panneau de configuration" : 
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs" 
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC ! 

Tutos : 
http://pagesperso-orange.fr/NosTools/uac_vista.html
https://forum.malekal.com/viewtopic.php?f=59&t=6517 


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , enchaine ...


===========================

2- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

C:\Windows\system32\drivers\oko6.sys 
O23 - Service:  (webserver) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\webserver\webserver.exe
O41 - Driver: oko6 (oko6) . (.Jungo - Total Applet Proxy Diskeeper Hex Control.) - C:\Windows\system32\drivers\oko6.sys
O43 - CFD:Common File Directory ----D- C:\Program Files\webserver 
O58 - SDL:[MD5.5A4F638BCD8AD1DA870B9653275CB7F4] - 19/02/2010 - 16:07:28 ---A- . (.Jungo - Total Applet Proxy Diskeeper Hex Control.) -- C:\Windows\system32\drivers\oko6.sys
O64 - Services: CurCS - C:\Windows\system32\drivers\oko6.sys - oko6 (oko6)  .(.Jungo - Total Applet Proxy Diskeeper Hex Control.) - LEGACY_OKO6


Puis Lance ZHPFix ( 'en tant qu'admin...' ) depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


=======================

3- Infecté par Navipromo .

-------------------------------------

Pour info,
Les programmes suivants installent cette infection : 
- Funky Emoticons 
- Games-Attack
- Original-Solitaire  
- Go-Astro 
- GoRecord 
- HotTVPlayer 
- Live-Player 
- MailSkinner 
- Messenger Skinner 
- Instant Access 
- InternetGameBox 
- Sudoplanet 
- WebMediaPlayer 

---------------------------------------

Télécharge Navilog1 sur ton bureau : 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!
  
Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil . 

Laisse-toi guider. Au menu principal, choisis 1 et valide . 
(ne fais pas le choix 2 notre avis/accord) .

Patiente le temps du scan ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

Note : 
Si l'outil te demande d'effectuer la manipe en mode sans echec, fais le (  /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).
 

Patiente jusqu'au message : 
*** Scan Terminé le ..... *** 

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir. 
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite . 

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" ) 


===========================

4- Refais un scan ZHPDiag ( "en tant qu'admin... ").

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Utilisateur anonyme · Answer

rapport ZHPFIX

ZHPFix v1.12.3092  by Nicolas Coolman - Rapport de suppression du 22/04/2010 13:32:47
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\Windows\system32\drivers\oko6.sys  => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
O23 - Service:  (webserver) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\webserver\webserver.exe  => Clé supprimée avec succès
O41 - Driver: oko6 (oko6) . (.Jungo - Total Applet Proxy Diskeeper Hex Control.) - C:\Windows\system32\drivers\oko6.sys  => Clé supprimée avec succès
O64 - Services: CurCS - C:\Windows\system32\drivers\oko6.sys - oko6 (oko6)  .(.Jungo - Total Applet Proxy Diskeeper Hex Control.) - LEGACY_OKO6  => Clé non supprimée

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\webserver  => Supprimé et mis en quarantaine

Fichier :
c:\program files\webserver\webserver.exe  => Fichier absent
c:\windows\system32\drivers\oko6.sys  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 3
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 1
Fichier : 2
Logiciel : 0
Master Boot Record : 1
Autre : 0


End of the scan

Utilisateur anonyme · Answer

Rapport Navilog

Fix Navipromo version 4.0.8 commencé le 22/04/2010 13:47:52,66

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium  ( v6.0.6000 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T5550  @ 1.83GHz )
BIOS : Ver 1.00PARTTBL#
USER : utilisateur ( Not Administrator ! )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:144 Go (Free:101 Go)
D:\ (Local Disk) - NTFS - Total:143 Go (Free:143 Go)
E:\ (CD or DVD)

Utilisateur anonyme · Answer

Nouveau rapport ZHPDIAG.TXT

http://www.cijoint.fr/cjlink.php?file=cj201004/cij62Mz0Ja.txt

Utilisateur anonyme · Answer

En attendant ta réponse, je viens de me rendre compte que les mises a jour automatiques de microsoft refonctionnent... Dois les laisser ou les stopper en attendant la suite ?

sKe69 · Answer

re, 


Dois les laisser ou les stopper en attendant la suite ? 

> stop tout ! ... on fera cela une fois le PC clean, pas avant !  




Dans l'ordre : 



1- Il y a eu un prb ... 

recommence la manipe de Navilog1 et lance le bien en tant qu'admin ! .... 

désactive bien tes défences également .... 


poste le nouveau rapports obtenu .... 


=================== 

2- Télécharge et installe la dernière version de  CCleaner : 
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 
ou https://www.pcastuces.com/logitheque/ccleaner.htm  
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .  
Lors de l'installation:  
-choisis bien "français" en langue .  
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.  

Un tuto ( aide ):  
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm  


---> Utilisation: 
*Décocher dans le menu Options - sous-menu Avancé :  
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures . 

! déconnecte toi et ferme toutes applications en cours ! 

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-  
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-  
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .  

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )  


===================== 

3- Télécharges Malwarebytes' :  
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ 
ou ici : http://www.malwarebytes.org/mbam.php 
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

  
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour  ( onglet "mise à jour" ).  

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ ) 

* Potasse le tuto pour te familiariser avec le prg :  
https://forum.pcastuces.com/sujet.asp?f=31&s=3 
( cela dis, il est très simple d'utilisation ). 

! Déconnecte toi et ferme toutes applications en cours !  

* Lance Malwarebytes' . 

Fais un examen dit "RAPIDE" . 

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).  
--> à la fin tu cliques sur "résultat" .  
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " . 

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ... 


============================ 

4- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe 
ou ici https://www.ionos.fr/?affiliate_id=77097 

! Déconnecte toi d'internet et ferme toutes applications en cours ! 


Impératif : 
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .  


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil. 

# Choisis l' option 1 ( Recherche ) 

# Laisse travailler l'outil et ne touche à rien pendant le scan . 

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra. 

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ). 

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )  


Note :  
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html 




"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Utilisateur anonyme · Answer

Autant pour moi, j'avais oublié de me déconnecter... voici donc le nouveau rapport navilog1

En attendant je continue avec ccleaner

Fix Navipromo version 4.0.8 commencé le 22/04/2010 14:08:42,67

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium  ( v6.0.6000 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T5550  @ 1.83GHz )
BIOS : Ver 1.00PARTTBL#
USER : utilisateur ( Not Administrator ! )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:144 Go (Free:99 Go)
D:\ (Local Disk) - NTFS - Total:143 Go (Free:143 Go)
E:\ (CD or DVD)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Users\utilisateur\AppData\Local\wxihir.exe supprimé !
C:\Users\utilisateur\AppData\Local\wxihir.dat supprimé !
C:\Users\utilisateur\AppData\Local\wxihir_nav.dat supprimé !
C:\Users\utilisateur\AppData\Local\wxihir_navps.dat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\UTILIS~1\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 22/04/2010 14:15:01,85 ***

Utilisateur anonyme · Answer

J'ai lancé ccleaner et fais comme ennoncé, mais malgrès ma persévérance, il demeure une seule et même erreur après le nettoyage du registre qui se nomme : 
Extension de fichiers inutilisée	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Utilisateur anonyme · Answer

Voici le rapport Malwarebytes

Je continue avec USBFIX

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4021

Windows 6.0.6000 Service Pack 1
Internet Explorer 7.0.6000.16982

22/04/2010 14:37:26
mbam-log-2010-04-22 (14-37-26).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 111459
Temps écoulé: 3 minute(s), 59 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 33

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\okosrv (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oko6 (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OKO6 (Worm.KoobFace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\currentversion (Trojan.Inject) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Trojan.Agent.M) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\okogrp (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon	askman (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995ecyclebin.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6435041206-5089708960-216430673-1268ecycle.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995 (Trojan.Agent.M) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995ecyclebin.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\Program Files\captcha.dll (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-6435041206-5089708960-216430673-1268ecycle.exe (Trojan.Inject) -> Delete on reboot.
C:\Windows\System32\oko6.dll (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Windowsdr_1266245230.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windowsdr_1266246091.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windowsdr_1266251390.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windowsdr_1266262182.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windowsdr_1266299281.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windowsdr_1266313115.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windowsdr_1266389590.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windowsdr_1266389959.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windowsdr_1266420222.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windowsdr_1266560668.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windowsdr_1266604162.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995\Desktop.ini (Trojan.Agent.M) -> Quarantined and deleted successfully.
C:\Windows\010112010146111103.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\010112010146114101.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\01011201014650115.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\bk20856.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\bk23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\fdgg34353edfgdfdf (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\fs1235.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windowsdr_1266252760.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windowsdr_1266252769.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windowsdr_1266252771.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windowsdr_1266252774.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windowsdr_1266252780.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windowsdr_1266478002.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windowsdr_1266478005.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windowsdr_1266478006.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windowsdr_1266478007.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windowsdr_1266478012.exe (Worm.Koobface) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Et voici le rapport USBFIX (et au moment ou je tape ce post, j'ai encore une alerte Antivir pour le TR/Crypt.ZPACK.Gen)


############################## | UsbFix V6.107 |

User : utilisateur (Administrateurs) # PC-DE-UTILISATE
Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:53:02 | 22/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T5550  @ 1.83GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # Service Pack 1
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,09 Go (99,96 Go free) # NTFS
D:\ -> Disque fixe local # 144 Go (143,81 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,45 Go (6,73 Go free) [USB 8 GO] # FAT32

################## | Elements infectieux |

F:\autorun.inf  
F:\U3ROM\desktop.ini  
F:\U3ROM\flyhigh.exe  
F:\U3ROM  

################## | Registre |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{2142766b-1609-11df-a722-0013776cc8ac}
shell\AutoRun\command =F:\U3ROM/flyhigh.exe 
shell\Explore\Command =F:\U3ROM/flyhigh.exe 
shell\opeN\commanD =F:\U3ROM/flyhigh.exe 

HKCU\..\..\Explorer\MountPoints2\{916a2fcf-eed1-11de-bae8-0013776cc8ac}
shell\AutoRun\command =F:\U3ROM/flyhigh.exe 
shell\Explore\Command =F:\U3ROM/flyhigh.exe 
shell\opeN\commanD =F:\U3ROM/flyhigh.exe 

HKCU\..\..\Explorer\MountPoints2\{d86f00da-6b97-11de-b00d-0013776cc8ac}
shell\AutoRun\command =F:\InstallTomTomHOME.exe 

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.107 ! |

sKe69 · Answer

re, 

(et au moment ou je tape ce post, j'ai encore une alerte Antivir pour le TR/Crypt.ZPACK.Gen 

> cela ne m'étonne pas ... on a encore du travail ! ... ^^ 



la suite dans l'ordre : 


1- ! Déconnecte toi d'internet et ferme toutes applications en cours ! 

Impératif : 
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .  

# Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil . 

# Cette fois ci , tu choisis l' option 2 ( Suppression ) . 

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ). 

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien . 

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau . 


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ). 

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\  

========================= 

2- Toujours tes unité externes branchées au PC !  

Relance de nouveau UsbFix "en tant qu'admin..." et choisis cette fois l'option 5 5 listing ). 

laisse travailler l'outil et poste moi le nouveau rapport obtenu pour analyse ... 


========================= 

3- Refais un scan ZHPDiag . 

* coche bien toutes les options ( sauf la 045 et 061 ),  

* au niveau du bouton "calendrier" choisis > 30 days 

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...  




"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Utilisateur anonyme · Answer

Après une petite pose... voici le rapport USBFIX choix 2

et je continue...


############################## | UsbFix V6.107 |

User : utilisateur (Administrateurs) # PC-DE-UTILISATE
Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:35:47 | 22/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T5550  @ 1.83GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # Service Pack 1
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,09 Go (99,88 Go free) # NTFS
D:\ -> Disque fixe local # 144 Go (143,81 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,45 Go (6,73 Go free) [USB 8 GO] # FAT32

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-2517832360-3847001405-4034661461-1003 
Supprimé ! C:\Recycler\S-1-5-21-0259447055-9052461727-393745204-4198 
Supprimé ! C:\Recycler\S-1-5-21-0414086824-3892400223-688750714-0492 
Supprimé ! C:\Recycler\S-1-5-21-0694477267-6220413158-723567908-5128 
Supprimé ! C:\Recycler\S-1-5-21-0790502253-6135648217-697539560-6678 
Supprimé ! C:\Recycler\S-1-5-21-1484939701-8745989757-556905770-9481 
Supprimé ! C:\Recycler\S-1-5-21-1660505988-5599254721-537292596-2671 
Supprimé ! C:\Recycler\S-1-5-21-1893022965-4224669292-553304778-4669 
Supprimé ! C:\Recycler\S-1-5-21-1910506892-0824082193-183825161-0515 
Supprimé ! C:\Recycler\S-1-5-21-2453906857-3757194385-344762478-9246 
Supprimé ! C:\Recycler\S-1-5-21-2893716131-0783289976-449855383-9996 
Supprimé ! C:\Recycler\S-1-5-21-3196076147-2668734892-897332838-7352 
Supprimé ! C:\Recycler\S-1-5-21-3865730238-9668552967-776578793-7644 
Supprimé ! C:\Recycler\S-1-5-21-3989094334-8054254082-833101146-4996 
Supprimé ! C:\Recycler\S-1-5-21-4097028361-0881631303-526150849-6176 
Supprimé ! C:\Recycler\S-1-5-21-4811080446-0309128073-905631505-2884 
Supprimé ! C:\Recycler\S-1-5-21-5069975286-4171177308-541582655-2584 
Supprimé ! C:\Recycler\S-1-5-21-5230310847-1207817581-184258520-0804 
Supprimé ! C:\Recycler\S-1-5-21-5461433695-8137554213-636427938-9055 
Supprimé ! C:\Recycler\S-1-5-21-6435041206-5089708960-216430673-1268 
Supprimé ! C:\Recycler\S-1-5-21-6599527177-6811408745-911119091-1872 
Supprimé ! C:\Recycler\S-1-5-21-6720627375-2456889883-729508046-3383 
Supprimé ! C:\Recycler\S-1-5-21-6962213832-5005930894-198689075-0648 
Supprimé ! C:\Recycler\S-1-5-21-6990684349-1072581237-077389150-4322 
Supprimé ! C:\Recycler\S-1-5-21-7133270060-1466268117-912766654-1862 
Supprimé ! C:\Recycler\S-1-5-21-7282451168-6687637546-956519754-9274 
Supprimé ! C:\Recycler\S-1-5-21-8362603693-7231597876-173738147-1973 
Supprimé ! C:\Recycler\S-1-5-21-8849954269-8401942450-586937849-9339 
Supprimé ! C:\Recycler\S-1-5-21-9297797661-0116576508-312855603-5600 
Supprimé ! C:\Recycler\S-1-5-21-9421601334-5428285899-053198363-4067 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2517832360-3847001405-4034661461-1003 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2517832360-3847001405-4034661461-501 
F:\autorun.inf -> fichier appelé : "F:\U3ROM/flyhigh.exe" ( Présent ! )  
(!) Non supprimé ! F:\U3ROM/flyhigh.exe 
F:\autorun.inf -> fichier appelé : "F:\U3ROM/flyhigh.exe" ( Présent ! )  
(!) Non supprimé ! F:\U3ROM/flyhigh.exe 
Supprimé ! F:\autorun.inf 
Supprimé ! F:\U3ROM\desktop.ini 
Supprimé ! F:\U3ROM\flyhigh.exe 
Supprimé ! F:\U3ROM 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{2142766b-1609-11df-a722-0013776cc8ac}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{916a2fcf-eed1-11de-bae8-0013776cc8ac}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d86f00da-6b97-11de-b00d-0013776cc8ac}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/09/2006 23:43|--a------|24] C:\autoexec.bat 
[19/01/2008 09:45|-rahs----|333203] C:\bootmgr 
[16/11/2006 12:39|-ra-s----|8192] C:\BOOTSECT.BAK 
[22/04/2010 14:15|--a------|1362] C:\cleannavi.txt 
[18/09/2006 23:43|--a------|10] C:\config.sys 
[?|?|?] C:\hiberfil.sys 
[23/05/2008 15:28|-rahs----|0] C:\IO.SYS 
[23/05/2008 15:28|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[25/04/2007 16:45|--a------|631] C:\PDVD.iss 
[10/05/2008 03:10|--a------|360] C:\RHDSetup.log 
[18/02/2010 13:44|--a------|6996] C:\rollback.ini 
[13/10/2008 20:04|--a------|90] C:\Setup.log 
[22/04/2010 17:41|--a------|4512] C:\UsbFix.txt 
[22/04/2010 13:32|--a------|4680] C:\ZHPExportRegistry-22-04-2010-13-32-47.txt 
[11/10/2009 20:27|--a------|16046] D:\0x040c.ini 
[11/10/2009 20:28|--a------|111104] D:\1036.MST 
[18/11/2008 23:05|--a------|556366] D:\animaul 003.JPG 
[11/10/2009 20:29|--a------|97979392] D:\Samsung New PC Studio.msi 
[09/04/2010 08:34|--a------|338774] F:\dossier sur les perroquet.odt 
[24/03/2010 05:38|--a------|771934188] F:\LA BRIGADE DES FEUILLES - Les Chevaliers du fiel (DvB-Rip) [XviD-Fr] par PapyJack.avi 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-utilisate.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.107 ! |

Utilisateur anonyme · Answer

Et maintenant le rapport USBFIX choix 5


############################## | UsbFix V6.107 |

User : utilisateur (Administrateurs) # PC-DE-UTILISATE
Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:46:42 | 22/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T5550  @ 1.83GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # Service Pack 1
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,09 Go (99,78 Go free) # NTFS
D:\ -> Disque fixe local # 144 Go (143,81 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,45 Go (6,73 Go free) [USB 8 GO] # FAT32

###################### | Listing des fichiers présents C:\ |

[18/09/2006 23:43|--a------|24] - C:\autoexec.bat
[19/01/2008 09:45|-rahs----|333203] - C:\bootmgr
[16/11/2006 12:39|-ra-s----|8192] - C:\BOOTSECT.BAK
[22/04/2010 14:15|--a------|1362] - C:\cleannavi.txt
[18/09/2006 23:43|--a------|10] - C:\config.sys
[?|?|?] - C:\hiberfil.sys
[23/05/2008 15:28|-rahs----|0] - C:\IO.SYS
[23/05/2008 15:28|-rahs----|0] - C:\MSDOS.SYS
[?|?|?] - C:\pagefile.sys
[25/04/2007 16:45|--a------|631] - C:\PDVD.iss
[10/05/2008 03:10|--a------|360] - C:\RHDSetup.log
[18/02/2010 13:44|--a------|6996] - C:\rollback.ini
[13/10/2008 20:04|--a------|90] - C:\Setup.log
[22/04/2010 17:46|--a------|1383] - C:\UsbFix.txt
[22/04/2010 17:41|--a------|215395] - C:\UsbFix_Upload_Me_PC-de-utilisate.zip
[22/04/2010 13:32|--a------|4680] - C:\ZHPExportRegistry-22-04-2010-13-32-47.txt

###################### | Listing des dossiers présents C:\ |

[22/04/2010 17:39|d--hs----|4096] - C:\$Recycle.Bin
[22/04/2010 07:43|d--------|4096] - C:\90e5b598006a050b0e
[22/04/2010 17:41|drahs----|0] - C:\autorun.inf
[10/05/2008 07:08|d--------|0] - C:\avs contents
[21/04/2010 18:42|d--hs----|4096] - C:\Boot
[02/11/2006 15:02|d--hs---l|0] - C:\Documents and Settings
[10/05/2008 06:49|dr-h-----|0] - C:\MSOCache
[10/05/2008 03:21|d--------|0] - C:\MyWorks
[22/04/2010 14:15|d-a------|4096] - C:\Navilog1
[21/04/2010 18:29|d--------|0] - C:\PerfLogs
[22/04/2010 14:37|dr-------|28672] - C:\Program Files
[22/04/2010 14:30|d--h-----|8192] - C:\ProgramData
[22/04/2010 17:37|dr-hs----|12288] - C:\RECYCLER
[31/01/2010 19:45|d--------|0] - C:\Samsung
[21/04/2010 23:15|d--hs----|20480] - C:\System Volume Information
[22/04/2010 17:46|d--------|4096] - C:\UsbFix
[22/04/2010 07:43|dr-------|4096] - C:\Users
[22/04/2010 14:42|d--------|36864] - C:\Windows

###################### | Listing des fichiers présents D:\ |

[11/10/2009 20:27|--a------|16046] - D:\0x040c.ini
[11/10/2009 20:28|--a------|111104] - D:\1036.MST
[18/11/2008 23:05|--a------|556366] - D:\animaul 003.JPG
[11/10/2009 20:29|--a------|97979392] - D:\Samsung New PC Studio.msi

###################### | Listing des dossiers présents D:\ |

[22/04/2010 17:41|d--hs----|0] - D:\$RECYCLE.BIN
[22/04/2010 17:41|drahs----|0] - D:\autorun.inf
[18/09/2009 22:00|d--------|0] - D:\EMULE
[11/07/2008 21:56|d--hs----|0] - D:\System Volume Information

###################### | Listing des fichiers présents F:\ |

[09/04/2010 08:34|--a------|338774] - F:\dossier sur les perroquet.odt
[24/03/2010 05:38|--a------|771934188] - F:\LA BRIGADE DES FEUILLES - Les Chevaliers du fiel (DvB-Rip) [XviD-Fr] par PapyJack.avi

###################### | Listing des dossiers présents F:\ |

[09/04/2010 06:58|d--------|0] - F:\Nouveau dossier
[22/04/2010 17:41|drahs----|0] - F:\autorun.inf

################## | ! Fin du rapport # UsbFix V6.107 ! |

Utilisateur anonyme · Answer

et voici le rapport ZHPDIAG

http://www.cijoint.fr/cjlink.php?file=cj201004/cijJMpDlxZ.txt

sKe69 · Answer

bien ...


on avance ... ^^


la suite dans l'ordre :


1- Si ce n'est pas déjà fait , Rends sur cette page :
> https://www.ionos.fr/?affiliate_id=77097 

* clique sur "parcourir" et va jusqu'au fichier C:\UsbFix_Upload_Me_PC-de-utilisate.zip 

* En dessous de "Sélectionnez l'outil que vous venez d'utiliser" , choisis UsbFix . 

 
* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_PC-de-utilisate.zip


merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^


===========================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/ 

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) ! 

* Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
* Une fois l'outil ouvert, clique sur le bouton [Scanner] .

* Laisse travailler l'outil et ne touche à rien ... 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Utilisateur anonyme · Answer

Rapport AD-R

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 22/04/10 à 19:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 19:06:32 le 22/04/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 1 - X86
Nom du PC: PC-DE-UTILISATE (SAMSUNG ELECTRONICS CO., LTD. R59P/R60P/R61P)
Utilisateur actuel: utilisateur (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Program Files\Kiwee Toolbar
C:\ProgramData\Kiwee Toolbar
C:\Users\Invité\AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Invité\AppData\Roaming\agi
C:\Users\Invité\AppData\LocalLow\Kiwee Toolbar
C:\Users\Invité\AppData\Roaming\EoRezo
C:\Users\utilisateur\AppData\Local\ljpglrh.bat
C:\Users\utilisateur\AppData\LocalLow\Kiwee Toolbar
C:\Users\utilisateur\AppData\Roaming\AGI
C:\Users\utilisateur\AppData\Roaming\EoRezo
.
HKCU\Software\AGI
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
HKU\.DEFAULT\Software\AGI
HKU\S-1-5-18\Software\AGI
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version Impossible d'obtenir la version *
.
.
.
* Internet Explorer Version 7.0.6000.16982 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp:\www.samsungcomputer.com
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp:\www.samsungcomputer.com
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Users\UTILIS~1\AppData\Local\Temp: 4 Fichier(s), 4 Dossier(s)
C:\Windows	emp: 0 Fichier(s), 2 Dossier(s)
C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Cookies: 30 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 38 Fichier(s), 11 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 2844 Octet(s)
.
Fin à: 19:11:57, 22/04/2010
.
============== E.O.F - SCAN[1] ==============

sKe69 · Answer

Bien .... 



dans l'ordre : 


1- On va réutiliser Navilog1 encore une fois mais de cette manière : 


!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !! 
   
Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .  

Laisse-toi guider. Au menu principal, choisis 2 et valide .  

> L'outil va te demander de saisir un nom de fichier. Saisis ce qui est en gras ci-dessous et rien d'autre : 


ljpglrh  


--->puis valide . 

L'outil va te demander de le re-saisir encore une fois. Fais le et valide. 

Laisse faire le nettoyage et laisse toi guider ... 

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) : 
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuelement (c'est important !) . 

Note :  
Si l'outil te demande d'effectuer la manipe en mode sans echec, fais le (  /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ). 

  
Patiente jusqu'au message :  
*** Scan Terminé le ..... ***  

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.  
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .  

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )  




========================= 

2- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !  
  

*  droit / "éxecuter entant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil . 
  
*  Clique cette fois sur [Nettoyer]  . 

*  Le nettoyage débute >  Laisse travailler l'outil et ne touche à rien !...  


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ... 

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)  
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )  


======================== 

3- Refais un scan ZHPDiag ( "en tant qu'admin..." ) . 

* coche bien toutes les options ( sauf la 045 et 061 ),  

* au niveau du bouton "calendrier" choisis > 30 days 

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...  


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Utilisateur anonyme · Answer

Voili, voilou le rapport Navilog Choix 2

Fix Navipromo version 4.0.8 commencé le 22/04/2010 19:37:37,61

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium  ( v6.0.6000 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T5550  @ 1.83GHz )
BIOS : Ver 1.00PARTTBL#
USER : utilisateur ( Not Administrator ! )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:144 Go (Free:99 Go)
D:\ (Local Disk) - NTFS - Total:143 Go (Free:143 Go)
E:\ (CD or DVD)



Mode suppression par méthode manuelle

Nom du fichier saisi : ljpglrh

Nettoyage exécuté au redémarrage de l'ordinateur


c:\users\utilis~1\appdata\local\ljpglrh.bat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\UTILIS~1\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 22/04/2010 19:39:54,35 ***

Utilisateur anonyme · Answer

Rapport AD-R "nettoyage"

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 22/04/10 à 19:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 19:43:28 le 22/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 1 - X86
Nom du PC: PC-DE-UTILISATE (SAMSUNG ELECTRONICS CO., LTD. R59P/R60P/R61P)
Utilisateur actuel: utilisateur (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files\Kiwee Toolbar
C:\ProgramData\Kiwee Toolbar
C:\Users\Invité\AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Invité\AppData\Roaming\agi
C:\Users\Invité\AppData\LocalLow\Kiwee Toolbar
C:\Users\Invité\AppData\Roaming\EoRezo
C:\Users\utilisateur\AppData\LocalLow\Kiwee Toolbar
C:\Users\utilisateur\AppData\Roaming\AGI
C:\Users\utilisateur\AppData\Roaming\EoRezo

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AGI
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
HKU\.DEFAULT\Software\AGI
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version Impossible d'obtenir la version *
.
.
.
* Internet Explorer Version 7.0.6000.16982 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Users\UTILIS~1\AppData\Local\Temp: 2 Fichier(s), 4 Dossier(s)
C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Cookies: 2 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 11 Dossier(s)
.
C:\Ad-Remover\Quarantine: 43 Fichier(s)
C:\Ad-Remover\Backup: 15 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2995 Octet(s)
C:\Ad-Report-SCAN[1].txt - 2968 Octet(s)
.
Fin à: 19:49:14, 22/04/2010
.
============== E.O.F - CLEAN[1] ==============

Utilisateur anonyme · Answer

Et voici le lien pour le rapport ZHPDIAG

http://www.cijoint.fr/cjlink.php?file=cj201004/cijdKAPW6z.txt

Utilisateur anonyme · Answer

Et pour couronner le tout le reseau orange saute a cause d'orages dans la region (82)... Je risque de pas pouvoir suivre le fil si ca continue comme ça ! Mais me lache pas (lol) 
Merci de ton aide. C'est rare de tomber sur quelqu'un  qui prend sur son temps pour aider un inconnu. Vraiment très, très sympa... J'attends la suite du traitement avec impatience (si le cieux me le permettent) lol

sKe69 · Answer

bien .... 



pas de risques avec les orages ! ... si il y a une coupure pendant qu'un outil bosse , cela peut-être relativant grave pour le systeme ! ... A toi de voir ... Sinon tu peux reprendre demain en laissant bien le PC tranquille d'ici là ... 



la suite dans l'ordre : 



1- Ouvre le bloc-notes (menu démarrer/accessoire/bloc-note) et fais un copier coller de ce qui est en citation en gras ci-dessous ( copie tout d'un trait ) :  


Windows Registry Editor Version 5.00 

[-HKEY_LOCAL_MACHINE\Software\Official-eMule] 

[-HKEY_CURRENT_USER\Software\Official-eMule]


Puis sauvegarde le document,  
* Va sur "fichier"/"enregistrer sous" .  
* sauvegarde le fichier dans ce dossier (et pas ailleurs ! )> C:\Program Files\ZHPDiag 
* Nom du fichier, tu tapes exactement : fix.reg 
Dans "type de fichier", tu choisis : tous les fichiers  
-> clique sur "enregistrer"  



======================= 

2- Utilisation de l'outil ZHPFix : 

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


O44 - LFC:[MD5.35F8E776FD4B3A9468D5DDC0C781DD6F] - 22/04/2010 - 16:41:16 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix_Upload_Me_PC-de-utilisate.zip   [215395]   
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK 
O64 - Services: CurCS - (.not file.) - aswMonFlt (aswMonFlt)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMONFLT 
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR 
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP 
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI 
O64 - Services: CurCS - (.not file.) - KLIF (KLIF)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KLIF 
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK 
REG:fix.reg



Puis Lance ZHPFix ( en tant qu'admin..." ) depuis le raccouci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie : 
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 
- que les lignes soient disposées les unes en dessous des autres . 

* Puis clique sur le bouton [ OK ] . 
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .  

Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ! 

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt ) 
  
 Pense à réactiver tes défenses !...  

====================== 

3- Avoir accès aux fichiers cachés : 
  
Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers 
--> vas sur l'onglet " Affichage " . 
* "Afficher les fichiers et dossiers cachés" ---> coché  
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché  
* "masquer les fichiers du système" ---> décoché 
-> valide la modif ( "appliquer" puis "ok" ). 
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )  



4- Rends toi sur ce site :  

https://www.virustotal.com/gui/  

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  :  
C:\Windows\system32\DRIVERS\hwpsgt.sys  

Clique sur Send File ( = " Envoyer le fichier " ).  

Un rapport va s'élaborer ligne à ligne.  

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.  

Sauvegarde le rapport avec le bloc-note.  

Copie le dans ta prochaine réponse ...  

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant ) 

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses 


========================= 

5- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) :  

http://www2.gmer.net/gmer.zip 
http://www2.gmer.net/gmer.zip 
  
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!! 


* Clique droit / "executer en tant qu'admin..." sur gmer.exe pour lancer l'outil . 
* Mets toi bien sur l'onglet "rootkit". 
* A droite, vérifie que toutes les options soient cochées 
* puis clique sur scan. 

> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )  

* A la fin du scan, clique sur le bouton copy.  
* Puis va dans "démarrer" > "programmes" > "accessoires" : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. Enfin sauvegarde ce rapport de manière à le retrouver ....  

> poste le rapport stp ... 



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Utilisateur anonyme · Answer

Rapport ZHPDIAG "tous + nettoyé"

ZHPFix v1.12.3092  by Nicolas Coolman - Rapport de suppression du 22/04/2010 21:16:30
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK  => Clé non supprimée
O64 - Services: CurCS - (.not file.) - aswMonFlt (aswMonFlt)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMONFLT  => Clé non supprimée
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR  => Clé non supprimée
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP  => Clé non supprimée
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI  => Clé non supprimée
O64 - Services: CurCS - (.not file.) - KLIF (KLIF)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KLIF  => Clé non supprimée
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK  => Clé non supprimée

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\usbfix_upload_me_pc-de-utilisate.zip   [215395]  => Fichier absent

Logiciel :
(Néant)

Script Registre :
REG:fix.reg  => Script de registre fusionné

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 7
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 0
Master Boot Record : 1
Autre : 0
Script Registre : 1


End of the scan

Utilisateur anonyme · Answer

Rapport "virustotal.com" 

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.04.22 - 
AhnLab-V3 5.0.0.2 2010.04.22 - 
AntiVir 8.2.1.220 2010.04.22 - 
Antiy-AVL 2.0.3.7 2010.04.21 - 
Authentium 5.2.0.5 2010.04.22 - 
Avast 4.8.1351.0 2010.04.22 - 
Avast5 5.0.332.0 2010.04.22 - 
AVG 9.0.0.787 2010.04.22 - 
BitDefender 7.2 2010.04.22 - 
CAT-QuickHeal 10.00 2010.04.22 - 
ClamAV 0.96.0.3-git 2010.04.22 - 
Comodo 4667 2010.04.22 - 
DrWeb 5.0.2.03300 2010.04.22 - 
eSafe 7.0.17.0 2010.04.22 - 
eTrust-Vet 35.2.7443 2010.04.22 - 
F-Prot 4.5.1.85 2010.04.22 - 
F-Secure 9.0.15370.0 2010.04.22 - 
Fortinet 4.0.14.0 2010.04.21 - 
GData 21 2010.04.22 - 
Ikarus T3.1.1.80.0 2010.04.22 - 
Jiangmin 13.0.900 2010.04.22 - 
Kaspersky 7.0.0.125 2010.04.22 - 
McAfee 5.400.0.1158 2010.04.22 - 
McAfee-GW-Edition 6.8.5 2010.04.22 - 
Microsoft 1.5703 2010.04.22 - 
NOD32 5051 2010.04.22 - 
Norman 6.04.11 2010.04.22 - 
nProtect 2010-04-22.01 2010.04.22 - 
Panda 10.0.2.7 2010.04.22 - 
PCTools 7.0.3.5 2010.04.22 - 
Prevx 3.0 2010.04.22 - 
Rising 22.44.03.04 2010.04.22 - 
Sophos 4.53.0 2010.04.22 - 
Sunbelt 6209 2010.04.22 - 
Symantec 20091.2.0.41 2010.04.22 - 
TheHacker 6.5.2.0.267 2010.04.22 - 
TrendMicro 9.120.0.1004 2010.04.22 - 
TrendMicro-HouseCall 9.120.0.1004 2010.04.22 - 
VBA32 3.12.12.4 2010.04.22 - 
ViRobot 2010.4.21.2288 2010.04.22 - 
VirusBuster 5.0.27.0 2010.04.22 - 
Information additionnelle 
File size: 137344 bytes 
MD5...: a439ebd90afdb1f516c875b9b317832f 
SHA1..: 43f407ecdc0d87a3713126b757ccaad07ade285f 
SHA256: 73dec8d53c0c6da7806afc0617652a660bd08beeda288962c44f846afc4c5a6f 
ssdeep: 3072:hhB7uTogkWsiiP4a/o6LfL7X2apxxTxsb13TQvexvXR:ATojWsiiPh/d7Lb
x2R3TQvGPR
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x207c6
timedatestamp.....: 0x40241523 (Fri Feb 06 22:28:51 2004)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x1f550 0x1f580 5.87 59ba9eeca02a352e9bd6c3cf253eb9b8
.rdata 0x1f880 0x74 0x80 3.30 741a87752c4194203d5f921ae15570dd
.data 0x1f900 0x88c 0x900 2.64 373a3013bdf6c0c5ec0ae9cecf9e7979
PAGE 0x20200 0x519 0x580 5.74 a11c59d848af9946c2c3b58f872d0c0a
INIT 0x20780 0x36e 0x380 5.62 536b15c2afc5f025d9c9faba1ffda8eb
.reloc 0x20b00 0xd50 0xd80 4.47 419caa815705c6c69ca4fa48400cebb9

( 2 imports ) 
> ntoskrnl.exe: IoAllocateMdl, IofCompleteRequest, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoDeleteDevice, IoDeleteSymbolicLink, MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, _alldiv, _allmul, IoCreateSymbolicLink, IoCreateDevice, ExFreePool, ExAllocatePool, RtlUnwind, MmUnlockPages, IoFreeMdl
> HAL.dll: KeQueryPerformanceCounter

( 0 exports ) 
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Utilisateur anonyme · Answer

Rapport Gmer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-22 22:04:21
Windows 6.0.6000 Service Pack 1
Running: gmer.exe; Driver: C:\Users\UTILIS~1\AppData\Local\Temp\fxnoyuob.sys


---- System - GMER 1.0.15 ----

SSDT            8F81EA94                                                                                         ZwCreateThread
SSDT            8F81EA80                                                                                         ZwOpenProcess
SSDT            8F81EA85                                                                                         ZwOpenThread
SSDT            8F81EA8F                                                                                         ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!_alloca_probe + 164                                                                 8205605C 4 Bytes  JMP B6218F81 
.text           ntoskrnl.exe!_alloca_probe + 334                                                                 8205622C 4 Bytes  JMP 0D338F81 
.text           ntoskrnl.exe!_alloca_probe + 350                                                                 82056248 4 Bytes  JMP 8E7A8F81 \SystemRoot\system32\DRIVERS\atikmdag.sys (ATI Radeon Kernel Mode Driver/ATI Technologies Inc.)
.text           ntoskrnl.exe!_alloca_probe + 574                                                                 8205646C 4 Bytes  JMP 79228F81 
.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                                         section is writeable [0x8E736000, 0x1F9F9A, 0xE8000020]
?               C:\Users\UTILIS~1\AppData\Local\Temp\mbr.sys                                                     Le fichier spécifié est introuvable. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                          Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                          Wdf01000.sys (WDF dynamique/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000278774082                      
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000278774082 (not active ControlSet)  

---- EOF - GMER 1.0.15 ----

sKe69 · Answer

bien ... 




fait ce qui suit dans l'ordre : 


1- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  


n'y touche pas pour le moment et fait la suite ... 


===================== 

2- Créer un doc texte sur ton bureau:  
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .  

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :  


Driver::  
aswFsBlk 
aswMonFlt  
aswRdr  
aswSP 
aswTdi 
KLIF  
mfehidk


* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :  
CFScript puis valide ... ( sauvegarde le bien sur le bureau ) 
  

3- Nettoyage : 

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .  

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif ) 

Cette manipulation va relancer Combofix . 

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !). 

! Ne touches à rien tant que le scan n'est pas terminé ! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ... 

Le rapport sera en outre crée ici : C:\Combofix.txt 


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation ) 


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Utilisateur anonyme · Answer

Bonjour, Ske69,

Voici le rapport COMBOFIX

ComboFix 10-04-21.01 - utilisateur 22/04/2010  22:47:42.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6000.1.1252.33.1036.18.3070.2328 [GMT 2:00]
Lancé depuis: c:\users\utilisateur\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\utilisateur\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASWFSBLK
-------\Legacy_ASWMONFLT
-------\Legacy_ASWRDR
-------\Legacy_ASWSP
-------\Legacy_ASWTDI
-------\Legacy_KLIF
-------\Legacy_MFEHIDK


(((((((((((((((((((((((((((((   Fichiers créés du 2010-03-22 au 2010-04-22  ))))))))))))))))))))))))))))))))))))
.

2010-04-22 20:52 . 2010-04-22 20:54	--------	d-----w-	c:\users\utilisateur\AppData\Local	emp
2010-04-22 17:06 . 2010-04-22 17:48	--------	d-----w-	C:\Ad-Remover
2010-04-22 15:41 . 2010-04-22 15:41	215395	----a-w-	C:\UsbFix_Upload_Me_PC-de-utilisate.zip
2010-04-22 12:47 . 2010-04-22 15:46	--------	d-----w-	C:\UsbFix
2010-04-22 12:31 . 2010-04-22 12:31	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\Malwarebytes
2010-04-22 12:30 . 2010-03-29 22:46	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-22 12:30 . 2010-04-22 12:31	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-04-22 12:30 . 2010-04-22 12:30	--------	d-----w-	c:\programdata\Malwarebytes
2010-04-22 12:30 . 2010-03-29 22:45	20824	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-22 12:20 . 2010-04-22 12:20	--------	d-----w-	c:\program files\CCleaner
2010-04-22 12:08 . 2010-04-22 17:37	--------	d-----w-	c:\program files
avilog1
2010-04-22 11:40 . 2010-04-22 17:40	--------	d---a-w-	C:\Navilog1
2010-04-22 09:51 . 2010-04-22 19:10	--------	d-----w-	c:\program files\ZHPDiag
2010-04-22 08:31 . 2010-04-22 08:31	--------	d-----w-	c:\program files\Trend Micro
2010-04-22 07:15 . 2010-04-22 07:19	--------	d-----w-	c:\users\utilisateur\WebCam Media
2010-04-21 20:52 . 2009-11-25 09:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-04-21 20:52 . 2009-03-30 07:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-04-21 20:44 . 2010-04-21 20:44	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\WinPatrol
2010-04-21 20:44 . 2010-04-21 20:44	--------	d-----w-	c:\program files\BillP Studios
2010-04-21 20:44 . 1998-02-06 21:39	304128	----a-w-	c:\windows\unin040c.exe
2010-04-21 18:13 . 2010-04-21 18:13	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\HTML Executable
2010-04-21 18:06 . 2010-04-21 18:06	--------	d-----w-	c:\programdata\Avira
2010-04-21 18:06 . 2010-04-21 18:06	--------	d-----w-	c:\program files\Avira
2010-04-21 16:58 . 2010-04-21 16:58	--------	d-----w-	c:\users\utilisateur\AppData\Local\Mozilla
2010-04-21 16:29 . 2010-04-21 16:29	--------	d-----w-	C:\PerfLogs
2010-04-21 12:33 . 2010-04-22 05:43	--------	d-----w-	C:\90e5b598006a050b0e

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-22 20:52 . 2008-05-10 00:59	12	----a-w-	c:\windows\bthservsdp.dat
2010-04-22 20:36 . 2008-05-09 07:48	775478	----a-w-	c:\windows\system32\perfh00C.dat
2010-04-22 20:36 . 2008-05-09 07:48	150578	----a-w-	c:\windows\system32\perfc00C.dat
2010-04-22 08:02 . 2008-05-10 01:09	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-04-22 08:02 . 2008-05-10 01:24	--------	d-----w-	c:\program files\Samsung
2010-04-22 05:43 . 2009-12-12 18:48	--------	d-----w-	c:\programdata\McAfee Security Scan
2010-04-22 05:40 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Sidebar
2010-04-22 05:40 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Photo Gallery
2010-04-22 05:40 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-04-22 03:30 . 2008-05-10 01:37	--------	d-----w-	c:\program files\McAfee(70)
2010-04-21 21:00 . 2008-05-10 01:36	--------	d-----w-	c:\programdata\McAfee
2010-04-21 20:20 . 2009-07-01 19:57	--------	d-----w-	c:\program files\Google
2010-03-20 10:40 . 2010-03-20 10:40	20299200	----a-w-	c:\users\utilisateur\AppData\Roaming\TomTom\HOME\Profiles\19v5fx41.default\Updates\v2_7_3_1894_win.exe
2010-03-20 07:52 . 2010-03-19 16:37	--------	d-----w-	c:\program files\World of Warcraft
2010-03-19 19:36 . 2010-03-19 16:37	--------	d-----w-	c:\program files\Common Files\Blizzard Entertainment
2010-03-19 17:23 . 2010-03-19 17:23	--------	d-----w-	c:\programdata\Blizzard
2010-03-15 13:22 . 2010-03-15 13:22	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\Uniblue
2010-03-11 16:11 . 2009-05-16 19:14	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\vlc
2010-02-26 12:27 . 2009-07-14 07:16	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\dvdcss
2010-02-19 18:27 . 2010-02-15 12:17	3732768	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2010-02-15 12:18 . 2010-02-15 12:18	125952	----a-w-	c:\programdata\ParetoLogic\UUS2\Temp\Update.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\progra~1\BILLPS~1\WINPAT~1\winpatrol.exe" [2005-12-12 222784]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WiFi Station.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\WiFi Station.lnk
backup=c:\windows\pss\WiFi Station.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2007-01-08 13:17	52256	----a-w-	c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2007-01-08 13:26	68640	----a-w-	c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2007-10-26 05:39	1029416	----a-w-	c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-05-10 01:48	1006264	----a-w-	c:\program files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 08:53	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2010-04-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 20:47]

2010-04-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 20:47]

2010-04-21 c:\windows\Tasks\User_Feed_Synchronization-{3087487C-3CAD-4617-9A09-77CFFFDB3043}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Power2GoExpress - (no file)
HKLM-Run-NPSStartup - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-22 23:04
Windows 6.0.6000 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(4052)
c:\windows\system32\btncopy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\TomTom HOME 2\TomTomHOMEService.exe
c:\program files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
c:\windows\system32\conime.exe
c:\windows\system32\SndVol.exe
.
**************************************************************************
.
Heure de fin: 2010-04-22  23:18:51 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-04-22 21:18

Avant-CF: 106 911 764 480 octets libres
Après-CF: 106 702 909 440 octets libres

- - End Of File - - 0E54DD5D083C5BB6CD0F04F1B6AC6414

sKe69 · Answer

hello,


recommence la manipe de Combofix en mettant ceci dans le CFScript :


File::
C:\UsbFix_Upload_Me_PC-de-utilisate.zip 

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] 
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] 
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] 
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] 



Poste le nouveau rapport obtenu pour analyse et dis moi comment va le PC .... ;)

Utilisateur anonyme · Answer

Hello ! Excuses moi ce long moment d'absence (obligation familiale)
Le pc se porte mieux, mais je n'arrive toujours pas à maj l'antivitus (Avira) un message me dit q'une mise a jour precedente necessite un redemarrage... Mais vue le nombre de fois que le pc a redemarrer depuis hier... 

Bref, tiens moi informé, pour le coup voici le rapport COMBOFIX

ComboFix 10-04-21.01 - utilisateur 23/04/2010  16:27:09.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6000.1.1252.33.1036.18.3070.2307 [GMT 2:00]
Lancé depuis: c:\users\utilisateur\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\utilisateur\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"C:\UsbFix_Upload_Me_PC-de-utilisate.zip"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\UsbFix_Upload_Me_PC-de-utilisate.zip

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-03-23 au 2010-04-23  ))))))))))))))))))))))))))))))))))))
.

2010-04-22 17:06 . 2010-04-22 17:48	--------	d-----w-	C:\Ad-Remover
2010-04-22 12:47 . 2010-04-22 15:46	--------	d-----w-	C:\UsbFix
2010-04-22 12:31 . 2010-04-22 12:31	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\Malwarebytes
2010-04-22 12:30 . 2010-03-29 22:46	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-22 12:30 . 2010-04-22 12:31	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-04-22 12:30 . 2010-04-22 12:30	--------	d-----w-	c:\programdata\Malwarebytes
2010-04-22 12:30 . 2010-03-29 22:45	20824	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-22 12:20 . 2010-04-22 12:20	--------	d-----w-	c:\program files\CCleaner
2010-04-22 12:08 . 2010-04-22 17:37	--------	d-----w-	c:\program files
avilog1
2010-04-22 11:40 . 2010-04-22 17:40	--------	d---a-w-	C:\Navilog1
2010-04-22 09:51 . 2010-04-22 19:10	--------	d-----w-	c:\program files\ZHPDiag
2010-04-22 08:31 . 2010-04-22 08:31	--------	d-----w-	c:\program files\Trend Micro
2010-04-22 07:15 . 2010-04-22 07:19	--------	d-----w-	c:\users\utilisateur\WebCam Media
2010-04-21 20:52 . 2009-11-25 09:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-04-21 20:52 . 2009-03-30 07:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-04-21 20:44 . 2010-04-21 20:44	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\WinPatrol
2010-04-21 20:44 . 2006-09-18 21:43	10	----a-w-	c:\users\utilisateur\AppData\Roaming\WinPatrol\Config.sys
2010-04-21 20:44 . 2006-09-18 21:43	24	----a-w-	c:\users\utilisateur\AppData\Roaming\WinPatrol\Autoexec.bat
2010-04-21 20:44 . 2010-04-21 20:44	--------	d-----w-	c:\program files\BillP Studios
2010-04-21 20:44 . 1998-02-06 21:39	304128	----a-w-	c:\windows\unin040c.exe
2010-04-21 18:13 . 2010-04-21 18:13	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\HTML Executable
2010-04-21 18:06 . 2010-04-21 18:06	--------	d-----w-	c:\programdata\Avira
2010-04-21 18:06 . 2010-04-21 18:06	--------	d-----w-	c:\program files\Avira
2010-04-21 16:58 . 2010-04-21 16:58	--------	d-----w-	c:\users\utilisateur\AppData\Local\Mozilla
2010-04-21 16:29 . 2010-04-21 16:29	--------	d-----w-	C:\PerfLogs
2010-04-21 12:33 . 2010-04-22 05:43	--------	d-----w-	C:\90e5b598006a050b0e

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-23 08:13 . 2008-05-10 04:51	--------	d-----w-	c:\programdata\Microsoft Help
2010-04-23 08:09 . 2008-05-10 01:20	--------	d-----w-	c:\program files\CyberLink
2010-04-23 08:09 . 2008-05-10 01:09	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-04-23 08:06 . 2008-05-09 07:48	775478	----a-w-	c:\windows\system32\perfh00C.dat
2010-04-23 08:06 . 2008-05-09 07:48	150578	----a-w-	c:\windows\system32\perfc00C.dat
2010-04-23 07:58 . 2008-05-10 00:59	12	----a-w-	c:\windows\bthservsdp.dat
2010-04-22 08:02 . 2008-05-10 01:24	--------	d-----w-	c:\program files\Samsung
2010-04-22 05:43 . 2009-12-12 18:48	--------	d-----w-	c:\programdata\McAfee Security Scan
2010-04-22 05:40 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Sidebar
2010-04-22 05:40 . 2006-11-02 12:37	--------	d-----w-	c:\program files\Windows Photo Gallery
2010-04-22 05:40 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-04-22 03:30 . 2008-05-10 01:37	--------	d-----w-	c:\program files\McAfee(70)
2010-04-21 21:00 . 2008-05-10 01:36	--------	d-----w-	c:\programdata\McAfee
2010-04-21 20:20 . 2009-07-01 19:57	--------	d-----w-	c:\program files\Google
2010-03-20 10:40 . 2010-03-20 10:40	20299200	----a-w-	c:\users\utilisateur\AppData\Roaming\TomTom\HOME\Profiles\19v5fx41.default\Updates\v2_7_3_1894_win.exe
2010-03-20 07:52 . 2010-03-19 16:37	--------	d-----w-	c:\program files\World of Warcraft
2010-03-19 19:36 . 2010-03-19 16:37	--------	d-----w-	c:\program files\Common Files\Blizzard Entertainment
2010-03-19 17:23 . 2010-03-19 17:23	--------	d-----w-	c:\programdata\Blizzard
2010-03-15 13:22 . 2010-03-15 13:22	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\Uniblue
2010-03-11 16:11 . 2009-05-16 19:14	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\vlc
2010-02-26 12:27 . 2009-07-14 07:16	--------	d-----w-	c:\users\utilisateur\AppData\Roaming\dvdcss
2010-02-19 18:27 . 2010-02-15 12:17	3732768	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2010-02-15 12:18 . 2010-02-15 12:18	125952	----a-w-	c:\programdata\ParetoLogic\UUS2\Temp\Update.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\progra~1\BILLPS~1\WINPAT~1\winpatrol.exe" [2005-12-12 222784]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WiFi Station.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\WiFi Station.lnk
backup=c:\windows\pss\WiFi Station.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2007-10-26 05:39	1029416	----a-w-	c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-05-10 01:48	1006264	----a-w-	c:\program files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 08:53	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2010-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 20:47]

2010-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 20:47]

2010-04-23 c:\windows\Tasks\User_Feed_Synchronization-{3087487C-3CAD-4617-9A09-77CFFFDB3043}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-LanguageShortcut - c:\program files\CyberLink\PowerDVD\Language\Language.exe
MSConfigStartUp-RemoteControl - c:\program files\CyberLink\PowerDVD\PDVDServ.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-23 16:31
Windows 6.0.6000 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-04-23  16:33:24
ComboFix-quarantined-files.txt  2010-04-23 14:33
ComboFix2.txt  2010-04-22 21:19

Avant-CF: 108 832 059 392 octets libres
Après-CF: 108 802 953 216 octets libres

- - End Of File - - E5431CA2E98C9B5E1958C117F734E3A6

sKe69 · Answer

helllo,


on va essayer de régler le prb AntiVir dans un premeir temps ...



1- désinstalle le via le panneau de config / programme et fonctionnalité .


==================

2- refait un coup de CCleaner ( registre compris )

==================

3- Réinstaller AntiVir :

Télécharge AntiVir Personal Edition  ici :
http://www.commentcamarche.net/telecharger/telecharger-55-antivir
ou ici :
http://dl1.avgate.net/down/windows/antivir_workstation_winu_fr_h.exe
ou ici :
http://www.free-av.com/fr/telecharger/1/avira_antivir_personal_free_antivirus.html


Puis installe le et mets le à jour .

ne fait rien d'autre et dis moi si c'est OK ... ( n'oubli pas , clique droit / "executer en tant qu'admin..." sur le set-up d'installe )

Utilisateur anonyme · Answer

Mise à jour Avira en cours... Mises à jour microsoft en cours aussi... Visiblement je n'ai plus aucun message d'alerte et encore moins de reconduite vers des sites suspects lorsque je fais post une requete sur google...

Utilisateur anonyme · Answer

Mise à jour ANTIVIR : OK !!!

COmme dit aussi précédement, j'avais oublié de déparametrer les mises à jours Vista et lorsque tout s'est remis à fonctionner, ces dernières se sont téléchargées également. 

En attendant ta réponse, je n'ai pas choisi de les installer

sKe69 · Answer

re,


fait toutes les mises à jour proposées et installe les ....


Une fois ces dernières faites , relance un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Utilisateur anonyme · Answer

Voici le lien pour le rapport ZHPDIAG

http://www.cijoint.fr/cjlink.php?file=cj201004/cijO78x4FJ.txt

sKe69 · Answer

bien ....




fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pouura finaliser ) :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix ( "en tant qu'admin..." ) depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag ! 


> Enfin clique en bas sur "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ... 

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt) 

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le ! 



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

=====================

4- Important :
Purge de la restauration système 
-> Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C )  , valide, applique et OK 
Redémarre ton PC ...
 
-> Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK 
Redémarre ton PC ...

( tuto : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista ) 

=====================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

> https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
( clique sur "scan your PC now" )

tuto : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368 


poste moi le rapport obtenu pour analyse ...

Utilisateur anonyme · Answer

Scan ZHPFIX 

ZHPFix v1.12.3092  by Nicolas Coolman - Rapport de suppression du 24/04/2010 10:19:00
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\ComboFix  => Supprimé et mis en quarantaine
C:\Qoobox  => Supprimé et mis en quarantaine
C:\UsbFix  => Supprimé et mis en quarantaine

Fichier :
c:\combofix.txt  => Supprimé et mis en quarantaine
c:\users\utilisateur\desktop\gmer.exe  => Supprimé et mis en quarantaine
c:\users\utilisateur\desktop\usbfix.exe  => Supprimé et mis en quarantaine
c:\usbfix.txt  => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: Ad-Remover By C_XX  => Logiciel supprimé avec succès
O63 - Logiciel: HijackThis 2.0.2  => Logiciel supprimé avec succès
O63 - Logiciel: ComboFix - (sUBs)  => Logiciel supprimé avec succès
O63 - Logiciel: Gmer (Gmer)  => Logiciel supprimé avec succès
O63 - Logiciel: UsbFix - (El Desaparecido)  => Logiciel supprimé avec succès

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 3
Fichier : 4
Logiciel : 5
Master Boot Record : 1
Autre : 0


End of the scan

meldireen · Answer

Apres scan CCLEANER, il reste tjrs la ligne suivante :

Extension de fichiers inutilisée	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

sKe69 · Answer

re,

c'est idem chez moi ... ;)

je ne sais pas d'où cela provient mais c'est pas grave du tout ...


fait la suite ...

Utilisateur anonyme · Answer

Rapport du scan PANDA

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-04-24 12:10:56
PROTECTIONS: 1
MALWARE: 8
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Windows Defender                             1.1.1505.0                    Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\users\utilisateur\appdataoaming\microsoft\windows\cookies\utilisateur@doubleclick[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\users\utilisateur\appdataoaming\microsoft\windows\cookies\utilisateur@atdmt[3].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\users\utilisateur\appdataoaming\microsoft\windows\cookies\utilisateur@atdmt[2].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           c:\users\utilisateur\appdataoaming\microsoft\windows\cookies\utilisateur@xiti[1].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           c:\users\utilisateur\appdataoaming\microsoft\windows\cookies\utilisateur@xiti[2].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           c:\users\invité\appdataoaming\microsoft\windows\cookies\low\invité@ad.yieldmanager[1].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           c:\users\utilisateur\appdataoaming\microsoft\windows\cookies\utilisateur@weborama[1].txt
00173520  Cookie/Bluestreak                  TrackingCookie      No        0         Yes            No           c:\users\utilisateur\appdataoaming\microsoft\windows\cookies\utilisateur@bluestreak[1].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           c:\users\utilisateur\appdataoaming\microsoft\windows\cookies\utilisateur@smartadserver[2].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           c:\users\utilisateur\appdataoaming\microsoft\windows\cookies\utilisateur@smartadserver[3].txt
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           c:\windows\system32
etsyncagent\srctrl.dll
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        c:\users\utilisateur\desktop
avilog1.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Utilisateur anonyme · Answer

Pendant le scan, j'ai eu deux message d'alerte Avira

* html/revir.gen
* DR/Dldr.NSIS.FraudLoad.FK

Utilisateur anonyme · Answer

Re,

Je dois retourner en RéPa dans l'après-midi. Grace à toi l'ordi de mes amis focntionne beaucoup mieux, même si il doit rester quelques petites choses à vérifier. Mais mon temps en Tarn & Garonne est compté. Quoiqu'il en soit je te remercie sincèrement de toute ton attention et du temps passé à aider des inconnus. J'ai quelques connaissances en bidouillages et grace à toi j'ai encore appris bien plus. Merci donc pour tout ça.
Amitiés. Mel

sKe69 · Answer

re, 


reste encore un peut de taf .... 


1- supprime cette outil qui est sur le bureau > c:\users\utilisateur\desktop
avilog1.exe 


============================ 

2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
c:\windows\system32
etsyncagent\srctrl.dll

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses





"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Bloqué par Malware/virus/trojan

45 réponses

Votre réponse

Discussions similaires

Newsletters