Infecté par Rogue antispyware-antivirus 2008 Résolu/Fermé

Question

Bonjour, 

Il y a 2 jours mon pc à été infecté par Antivirus7. 

Voici globalement ce que j'ai fais depuis 2 jours :

 - j'ai téléchargé OTL, spyware doctor, spyhunter 4, smitfraudfix. J'ai fais des scans, des modes sans echecs, des suppressions de fichiers temp (qui sont dans ma corbeille), des mises à jours de windowsupdate....
 - j'ai supprimé antivirus7 de mes programmes.

MAIS, j'ai toujours des soucis :

 - quand je démarre windows vista, spydoctor m'annonce qu'il à bloqué rogueantispyware-antivirus2008.
 - quand j'ouvre une page internt ou un dossier de mon bureau, spydoctor m'annonce qu'il a bloqué une menace. dans l'historique des logiciels malveillants de spydoctor, je remarque que qu'il est indiqué pour chaque menace bloquée : 

                                                "nom de la menace : rogueantispyware.antivirus2008"

                                               "infection : C:/WINDOWS/SYSTEM32/UPDATEEXPLORER.DLL"

- mon fond d'écran a disparu et la résolution à l'écran est plus grossière.

Qui peut m'aider à réparer ? D'avance merci.
P.S. : je suis dispo toute la journée s'il le faut


Configuration: Windows Vista / Internet Explorer 7.0

tropicococo · Answer

Pour info, 

Je viens de faire un scan avec Spyware Doctor :
 - 7 infections risque moyen : rogueantispyware.antivirus2008
 - 6 infections risque faible : adware.advertising
 - 33 infections risque faible : application.trackingcookies

anthony5151 · Answer

Bonjour,


Désinstalle SpyHunter, il ne sert à rien, c'est une arnaque (voir ici)


Peux-tu utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

tropicococo · Answer

Voici :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijtZ4fzjj.txt

anthony5151 · Answer

En effet, l'infection est encore visible sur le rapport : 

O2 - BHO: &UpdateCheck.dll - {75FBE4E8-EA86-4BA6-9527-1D74E820D631} . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\UpdateExplorer.dll 



Pour commencer, je voudrais que tu vérifies un fichier stp :

* Rends toi sur le site https://www.virustotal.com/gui/
* Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\Windows\system32\drivers
vsmu.sys 
* Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
* Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
* Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
* Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.



Ensuite, plutôt que SpywareDoctor (totalement inutile, je te conseille de le désinstaller pour les mêmes raisons que SpyHunter), utilise ce logiciel efficace stp :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments  détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp


Note : après ça, les symptômes devraient disparaitre, mais la désinfection n'est pas encore terminée --> merci de revenir jusqu'au bout ;)

tropicococo · Answer

Voici :

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.04.28 - 
AhnLab-V3 5.0.0.2 2010.04.28 - 
AntiVir 8.2.1.224 2010.04.28 - 
Antiy-AVL 2.0.3.7 2010.04.28 - 
Authentium 5.2.0.5 2010.04.28 - 
Avast 4.8.1351.0 2010.04.28 - 
Avast5 5.0.332.0 2010.04.28 - 
AVG 9.0.0.787 2010.04.27 - 
BitDefender 7.2 2010.04.28 - 
CAT-QuickHeal 10.00 2010.04.28 - 
ClamAV 0.96.0.3-git 2010.04.28 - 
Comodo 4699 2010.04.28 - 
DrWeb 5.0.2.03300 2010.04.28 - 
eSafe 7.0.17.0 2010.04.26 - 
eTrust-Vet 35.2.7455 2010.04.28 - 
F-Prot 4.5.1.85 2010.04.28 - 
F-Secure 9.0.15370.0 2010.04.28 - 
Fortinet 4.0.14.0 2010.04.27 - 
GData 21 2010.04.28 - 
Ikarus T3.1.1.80.0 2010.04.28 - 
Jiangmin 13.0.900 2010.04.28 - 
Kaspersky 7.0.0.125 2010.04.28 - 
McAfee 5.400.0.1158 2010.04.28 - 
McAfee-GW-Edition 6.8.5 2010.04.28 - 
Microsoft 1.5703 2010.04.28 - 
NOD32 5067 2010.04.28 - 
Norman 6.04.11 2010.04.28 - 
nProtect 2010-04-28.02 2010.04.28 - 
Panda 10.0.2.7 2010.04.27 - 
PCTools 7.0.3.5 2010.04.28 - 
Prevx 3.0 2010.04.28 - 
Rising 22.45.02.04 2010.04.28 - 
Sophos 4.53.0 2010.04.28 - 
Sunbelt 6231 2010.04.28 - 
Symantec 20091.2.0.41 2010.04.28 - 
TheHacker 6.5.2.0.272 2010.04.28 - 
TrendMicro 9.120.0.1004 2010.04.28 - 
TrendMicro-HouseCall 9.120.0.1004 2010.04.28 - 
VBA32 3.12.12.4 2010.04.28 - 
ViRobot 2010.4.27.2295 2010.04.27 - 
VirusBuster 5.0.27.0 2010.04.27 - 
Information additionnelle 
File size: 15360 bytes 
MD5...: 62754e376185eacbb73d06fea0ffc54a 
SHA1..: 56a84c03bde4d5e3fd2cd72799a2235356f75947 
SHA256: ed02dd8d7bc091ae4e5747254cb9f7b5c8fb293c077f2c40ea0921c22580ca32 
ssdeep: 192:iJvEjg6iVn85lYiRzNN/bzhYmoMjKxIdF6TZcydl62w7vfCym6B:SigTVn85
lYiRzNNzzhY7UK2J7D
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6005
timedatestamp.....: 0x4835a1c4 (Thu May 22 16:39:32 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2149 0x2200 6.27 8b537ed67854ec20bbcef3a6362165bd
.rdata 0x4000 0x150 0x200 3.38 e391cd06eaedc3ef92d9a4856b1f7605
.data 0x5000 0xa0 0x200 1.41 98cc3481a2ee54aee7a48604041448ae
INIT 0x6000 0x556 0x600 4.92 d699b9cbc77a34a9bf922075f71e614a
.rsrc 0x7000 0x7a0 0x800 5.45 e61cc37a3a55e3a711fac11dd5619030
.reloc 0x8000 0x222 0x400 3.20 6d2a15f0c9e1dae3d1cf73d537da5a23

( 3 imports ) 
> ntoskrnl.exe: IofCallDriver, IoBuildSynchronousFsdRequest, IoGetAttachedDeviceReference, KeInitializeEvent, ExAllocatePoolWithTag, RtlInitUnicodeString, KefAcquireSpinLockAtDpcLevel, IoReleaseCancelSpinLock, RtlQueryRegistryValues, memset, IoConnectInterrupt, MmMapIoSpace, PoSetPowerState, KeWaitForSingleObject, PoRequestPowerIrp, IoDeleteDevice, IoDetachDevice, IoDisconnectInterrupt, ExRegisterCallback, ExCreateCallback, IoSetDeviceInterfaceState, IoReleaseRemoveLockAndWaitEx, IoWMIRegistrationControl, MmUnmapIoSpace, ExUnregisterCallback, IoAcquireRemoveLockEx, IoAttachDeviceToDeviceStack, IoRegisterDeviceInterface, IoInitializeRemoveLockEx, IoCreateDevice, RtlCopyUnicodeString, KeTickCount, ObfDereferenceObject, PoStartNextPowerIrp, IoReleaseRemoveLockEx, KeSetEvent, IofCompleteRequest, PoCallDriver, ExFreePoolWithTag
> HAL.dll: KfAcquireSpinLock, KeStallExecutionProcessor, KfReleaseSpinLock
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports ) 
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
sigcheck:
publisher....: NVIDIA Corporation
copyright....: Copyright(C) 2001-2008 NVIDIA Corporation
product......: NVIDIA nForce(TM) PCA Driver
description..: NVIDIA nForce(TM) SMU Microcontroller Driver
original name: nvsmu.sys
internal name: NVIDIA nForce(TM) PCA Driver
file version.: 5.10.2600.0152 built by: WinDDK
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

anthony5151 · Answer

Ca confirme que ce fichier n'est pas infecté ;)
J'attends maintenant le rapport de MalwareBytes

tropicococo · Answer

et bien il est déjà ci-dessus il me semble

tropicococo · Answer

j'ai refait un scan rapide :


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4044

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

28/04/2010 15:15:32
mbam-log-2010-04-28 (15-15-32).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 107269
Temps écoulé: 5 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

anthony5151 · Answer

Non tu n'avais pas posté le rapport de MalwareBytes, ce serait bien que tu le fasses (tu le retrouveras dans l'onglet 'rapports/logs')

Poste aussi un nouveau rapport ZHPDiag stp ;)

tropicococo · Answer

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4044

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

28/04/2010 16:51:21
mbam-log-2010-04-28 (16-51-21).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 107637
Temps écoulé: 4 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

tropicococo · Answer

le rapport malwarebytes est ci-dessus. 

pour le rapport zhpdiag, impossible de faire partir le post sur commentcamarche./

anthony5151 · Answer

Héberge le rapport sur cijoint.fr, comme le premier ;)

tropicococo · Answer

ok c'est fait. merci de ta patience

anthony5151 · Answer

"ok c'est fait"

==> Tu l'as hébergé sur cijoint ?
Si oui, il faut poster ici le lien fourni par cijoint, sinon je n'aurais pas accès au rapport ^^


"merci de ta patience"

==> De rien ;)

tropicococo · Answer

voila :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijQ3Gyy9z.txt

tropicococo · Answer

alors ca dit quoi ?

anthony5151 · Answer

1) Je voudrais récupérer un fichier si ça ne te dérange pas :

Fais un clic-droit sur ce fichier C:\Windows\System32\UpdateExplorer.dll --> Envoyer vers --> Dossier compressé
Héberge le dossier compressé sur cijoint.fr et poste le lien ici stp


2) Ensuite, nous allons utiliser ZHPFix pour supprimer plusieurs choses :
- Les restes du rogue
- Des restes de Norton qui s'est mal désinstallé
- Plusieurs barres d'outils néfastes ou inutiles : à l'avenir, il faut tout lire attentivement lorsque tu installes un programme et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !


* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle tous les lignes contenues dans ce fichier et place les dans ZHPFix.
* Clique sur « Tous », puis sur « Nettoyer »
* ZHPFix va supprimer les éléments indiqués et lancer certaines désinstallations : mène les jusqu'au bout.
* A la fin, copie/colle la totalité du rapport dans ta prochaine réponse

tropicococo · Answer

je ne trouve pas de fichier updateExplorer.dll à l'endroit indiqué. j'ai fais une recherche (menu demarrer) mais rien.

tropicococo · Answer

je n'ai pas ZHPFIX mais ZHPDIAG. Je ne trouve pas d'icone " H "

tropicococo · Answer

ok j'ai téléchargé zhpfix.

anthony5151 · Answer

ZHPFix a dû s'installer avec ZHPDiag et tu dois avoir un raccourci pour chacun d'entre eux sur ton Bureau. Sinon, tu peux trouver ZHPFix en lançant ZHPDiag et en cliquant sur le bouclier vert (image)

tropicococo · Answer

j'ai démasqué les fichiers protégés et affiché les fichiers cachés mais toujours rien. Pour ce qui est de l'autre manip. J'ai cliqué sur le H. par contre ton lien "fichier" ci-dessus ne fonctionne pas : Oups ! Petit problème... Ce lien semble brisé. Suggestions : *Accédez à la page : archive-host.com *Accédez à la page : sd-4.archive-host.com *Rechercher sd-4.archive-host.com pour membres tropicoco text

tropicococo · Answer

il n'y a pas de bouclier vert

anthony5151 · Answer

Télécharge ZHPFix ici

Le script est ici

tropicococo · Answer

Voici le rapport :

ZHPFix v1.12.3094  by Nicolas Coolman - Rapport de suppression du 28/04/2010 20:39:16
Fichier d'export Registre : C:\ZHPExportRegistry-28-04-2010-20-39-16.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: &UpdateCheck.dll - {75FBE4E8-EA86-4BA6-9527-1D74E820D631} . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\UpdateExplorer.dll  => Clé absente
O23 - Service: Norton Internet Security (Norton Internet Security) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe  => Clé absente
O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl)  .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL  => Clé absente
HKCU\Software\Norton  => Clé absente
HKLM\Software\Symantec  => Clé absente
O2 - BHO: Radio Bar 1 Toolbar - {0fc85f5d-6207-4515-a490-45a549d285c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Radio_Bar_1	bRadi.dll  => Clé absente
HKLM\Software\Radio_Bar_1  => Clé absente

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\Radio_Bar_1  => Supprimé et mis en quarantaine
C:\Program Files\Radio_Bar_1  => Dossier absent

Fichier :
c:\windows\system32\updateexplorer.dll  => Fichier absent
c:\program files
orton internet security\engine\16.0.0.125\ccsvchst.exe  => Fichier absent
c:\program filesadio_bar_1	bradi.dll  => Fichier absent

Logiciel :
O42 - Logiciel: Radio_Bar_1 Toolbar - (.Pas de propriétaire.) [HKLM]  => Logiciel absent
O42 - Logiciel: AOL Toolbar 5.0 - (.AOL LLC.) [HKLM]  => Logiciel absent
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM]  => Logiciel supprimé avec succès
O42 - Logiciel: Google Update Helper - (.Google Inc..) [HKLM]  => Logiciel supprimé avec succès
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM]  => Logiciel absent
O42 - Logiciel: Windows Live Toolbar - (.Microsoft Corporation.) [HKLM]  => Logiciel supprimé avec succès

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 7
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 2
Fichier : 3
Logiciel : 6
Master Boot Record : 0
Autre : 0


End of the scan

tropicococo · Answer

Que penses tu du rapport ?

En tout cas mon pc va mieux, j'ai l'impression que tout est rentré dans l'ordre.

Merci beaucoup d'avoir pris du temps pour me répondre.

J'ai avast familial en antivirus, il n'avait rien détecté. Tu me conseilles quoi comme antivirus ?

anthony5151 · Answer

Peux-tu faire redémarrer ton ordinateur et poster un nouveau rapport ZHPDiag stp ?
On s'occupera de la sécurisation après ça ;)

tropicococo · Answer

Voici : 


http://www.cijoint.fr/cjlink.php?file=cj201004/cija97ea0w.txt

anthony5151 · Answer

Il y a une infection de disque amovible :

* Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
* Au menu principal, choisis l'option 2 (Suppression)
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher --> poste le dans ta prochaine réponse stp

Aide en images : Nettoyage



Et voici un nouveau script ZHPFix pour supprimer ce qui ne l'a pas été la première fois :

* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

[b]O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll  
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll  
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] /b


* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse



Ensuite fais redémarrer l'ordinateur et poste un nouveau (le dernier je pense ^^) rapport ZHPDiag

tropicococo · Answer

############################## | UsbFix V6.110 |

User : NICOLAS (Administrateurs) # PC-DE-NICOLAS
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 22:05:21 | 28/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) Dual Core Processor 4450e
Microsoft® Windows Vista(TM) Édition Familiale Basique  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 584,57 Go (385,62 Go free) [COMPAQ] # NTFS
D:\ -> Disque fixe local # 11,6 Go (1,59 Go free) [FACTORY_IMAGE] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3,72 Go (1,94 Go free) [AIMEE] # FAT32
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque amovible

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-1972301564-3474235584-991511132-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-433281602-2660883634-2932234883-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-433281602-2660883634-2932234883-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-531283971-3622898314-4069341233-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1972301564-3474235584-991511132-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-433281602-2660883634-2932234883-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-433281602-2660883634-2932234883-500 
Supprimé ! G:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{4fad2817-245d-11de-b29b-002354f18b45}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[27/04/2010 08:15|--a------|8503] C:\Ad-Report-CLEAN[1].txt 
[27/04/2010 07:48|--a------|7995] C:\Ad-Report-SCAN[1].txt 
[18/09/2006 23:43|--a------|24] C:\autoexec.bat 
[11/04/2009 08:36|-rahs----|333257] C:\bootmgr 
[22/12/2008 22:54|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 23:43|--a------|10] C:\config.sys 
[?|?|?] C:\hiberfil.sys 
[?|?|?] C:\pagefile.sys 
[28/04/2010 15:08|--a------|6620] C:\rapport.txt 
[22/12/2008 14:56|--a------|349] C:\updatedatfix.log 
[28/04/2010 22:10|--a------|2203] C:\UsbFix.txt 
[26/08/2008 14:37|--a------|458] C:\Windows Sidebar 
[28/04/2010 20:39|--a------|4456] C:\ZHPExportRegistry-28-04-2010-20-39-16.txt 
[22/06/2007 18:44|---hs----|438328] D:\boo.mgr 
[19/01/2008 00:45|---hs----|333203] D:\bootmgr 
[28/03/2008 20:54|---hs----|1242] D:\Desktop.ini 
[12/07/2009 09:07|--ahs----|197] D:\MASTER.LOG 
[16/09/2008 17:41|--ahs----|422] D:\pcdr.ini 
[19/06/2007 17:22|---hs----|112102] D:\protect.arabic 
[19/06/2007 17:22|---hs----|109016] D:\protect.catalan 
[19/06/2007 17:22|---hs----|109342] D:\protect.chinese hong kong 
[19/06/2007 17:22|---hs----|109360] D:\protect.chinese simplified 
[19/06/2007 17:22|---hs----|109342] D:\protect.chinese traditional 
[04/07/2007 13:31|---hs----|111514] D:\protect.czech 
[19/06/2007 17:22|---hs----|109124] D:\protect.danish 
[19/06/2007 17:22|---hs----|109049] D:\protect.dutch 
[19/06/2007 17:22|---hs----|109092] D:\protect.english 
[19/06/2007 17:22|---hs----|109092] D:\protect.finnish 
[19/06/2007 17:22|---hs----|109060] D:\protect.french 
[19/06/2007 17:22|---hs----|109094] D:\protect.german 
[04/07/2007 13:33|---hs----|112496] D:\protect.greek 
[04/07/2007 13:36|---hs----|112439] D:\protect.hebrew 
[19/06/2007 17:22|---hs----|108979] D:\protect.italian 
[19/06/2007 17:22|---hs----|109795] D:\protect.japanese 
[19/06/2007 17:22|---hs----|109487] D:\protect.korean 
[04/07/2007 13:39|---hs----|111341] D:\protect.norwegian 
[04/07/2007 13:39|---hs----|111520] D:\protect.polish 
[04/07/2007 13:41|---hs----|111396] D:\protect.portuguese 
[04/07/2007 13:40|---hs----|111645] D:\protect.portuguese brazilian 
[19/06/2007 17:22|---hs----|163804] D:\protect.russian 
[05/07/2007 12:32|---hs----|111738] D:\protect.serbian latin 
[04/07/2007 13:46|---hs----|111733] D:\protect.slovak 
[19/06/2007 17:22|---hs----|109016] D:\protect.spanish 
[04/07/2007 13:43|---hs----|111384] D:\protect.swedish 
[04/07/2007 13:45|---hs----|111608] D:\protect.turkish 
[23/12/2008 00:57|---hs----|44] D:\RESTORE.INI 
[01/04/2010 13:42|--a------|98586886] G:\Namibie.zip 
[13/04/2010 17:21|--a------|59392] G:\CV Responsable HSE.doc 
[01/03/2009 14:49|--a------|373] G:\MES DOCUMENTS.lnk 
[05/02/2010 14:48|---h-----|53248] G:\~WRL2511.tmp 
[05/02/2010 14:50|---h-----|53248] G:\~WRL2903.tmp 
[05/02/2010 14:50|---h-----|53760] G:\~WRL0468.tmp 
[05/02/2010 14:51|---h-----|53760] G:\~WRL3941.tmp 
[05/02/2010 14:54|---h-----|53760] G:\~WRL3924.tmp 
[05/02/2010 14:57|---h-----|53760] G:\~WRL1706.tmp 
[05/02/2010 14:58|---h-----|53760] G:\~WRL3402.tmp 
[05/02/2010 15:00|---h-----|54272] G:\~WRL0955.tmp 
[04/03/2010 14:32|--a------|23333] G:\emploi du temps 2010 IHIE FA11.pdf 
[05/02/2010 14:59|---h-----|53760] G:\~WRL0409.tmp 
[05/02/2010 15:00|---h-----|53760] G:\~WRL3916.tmp 
[28/08/2009 15:33|---h-----|1523712] G:\~WRL3118.tmp 
[23/04/2010 21:48|--a------|733984768] G:\La.Premiere.Etoile.FRENCH.DVDRip.XviD-NERD.By.YATTA69.avi 
[24/04/2010 00:59|--a------|733220864] G:\Princesse Mononoke.avi 
[05/02/2010 15:02|---h-----|53760] G:\~WRL3261.tmp 
[05/02/2010 15:03|---h-----|53760] G:\~WRL0536.tmp 
[05/02/2010 15:03|---h-----|53760] G:\~WRL3255.tmp 
[05/02/2010 15:05|---h-----|54272] G:\~WRL2692.tmp 
[05/02/2010 15:07|---h-----|53760] G:\~WRL2078.tmp 
[05/02/2010 15:08|---h-----|53760] G:\~WRL1456.tmp 
[05/02/2010 15:10|---h-----|53760] G:\~WRL0393.tmp 
[05/02/2010 15:10|---h-----|53760] G:\~WRL2365.tmp 
[11/09/2009 16:13|---h-----|2335232] G:\~WRL3962.tmp 
[12/04/2010 08:42|--a------|1664631] G:\Cours de PHYSIOLOGIE M. HAGUE IHIE 2010.pdf 
[12/04/2010 08:43|--a------|1384155] G:\Cours de TOXICO-CHIMIE M. Rabache. IHIE 2010 zip.zip 
[12/04/2010 09:51|--a------|18577] G:\Calendrier IHIE 2009-2010 2-me ann-e.pdf 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-NICOLAS.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.110 ! |

tropicococo · Answer

ZHPFix v1.12.3094  by Nicolas Coolman - Rapport de suppression du 28/04/2010 22:18:42
Fichier d'export Registre : C:\ZHPExportRegistry-28-04-2010-22-18-42.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}]  => Clé supprimée avec succès
[HKCR\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}]  => Clé supprimée avec succès

Valeur du Registre :
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll  => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\program files\windows live	oolbar\wltcore.dll  => Supprimé et mis en quarantaine
c:\program files\windows live	oolbar\wltcore.dll  => Fichier absent

Logiciel :
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] /b  => Logiciel absent

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
[b]O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll  => Format Non supporté


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 2
Logiciel : 1
Master Boot Record : 0
Autre : 1


End of the scan

tropicococo · Answer

et voici le rapport zhpdiag (après redemarrage) :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijFR8Q8Qn.txt

anthony5151 · Answer

Je n'avais pas fait attention à un élément suspect du rapport ZHPDiag, il faudrait vérifier :


/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
* Lance Gmer par un clic-droit --> Exécuter en temps qu'administrateur
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
* Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

tropicococo · Answer

Salut, 

impossible d'héberger du .log sur cijoint.

tropicococo · Answer

et la je ne peux plus ouvrir aucun programme , fichier, page web....

tropicococo · Answer

c'est bon tout fonctionne,; j'ai redemarré mon pc,  j'ai renommé le fichier en .txt, voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijx2cxbTn.txt

anthony5151 · Answer

Très bien, ton ordinateur n'est plus infecté :) 

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6). 



1) Sécurise ton ordinateur  

* Logiciels de protection :  
* Ta version d'Avast est dépassée et moins efficace que les autres principaux antivirus gratuits. Tu dois désinstaller Avast puis choisir entre installer la version 5 de Avast (qui est meilleure) ou installer un autre antivirus gratuit : AntiVir. 
* En complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. 
* Ces deux logiciels sont largement suffisants, multiplier les logiciels de protection est inutile : désinstalle Spyware Doctor et désactive Windows Defender (tutoriel) 

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes : 
AdBlockPlus pour bloquer les publicités ; 
WOT, pour t'avertir des sites web dangereux. 

* Tu as deux versions de Java : la dernière, mais aussi une ancienne version qui comporte des failles de sécurité. Désinstalle Java 6 Update 7. 

* Pour limiter les vulnérabilités d'Adobe Reader, désactive la prise en charge Javascript : Lance le (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe) ? clique sur Edition ? Préférences ? JavaScript ? décoche "Activer Acrobat JavaScript" et valide.  

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin. 

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement) 



2) Lance Hijackthis (j'ai vu que tu l'avais sur ton ordinateur), choisis "Do a system scan only" et coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) :  

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll       
O4 - HKLM\..\Run: [NVRaidService] . (.NVIDIA Corporation - NVIDIA RAID Service French language.) -- C:\Windows\system32
vraidservice.exe    
O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe     
O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe  

Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked" 



3) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») ? clique sur le « A » rouge (Nettoyeur de Tools) ? clique sur « Nettoyer » 
Tutoriel pour t'aider 



4) Télécharge Ccleaner. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation), puis lance le. 
Clique sur Nettoyeur ? Analyse ? Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. 
Enfin, Registre ? corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs. 

(Tu peux garder ce logiciel et l'utiliser régulièrement). 



5) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp. 



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet 



7) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...) 
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.  




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

tropicococo · Answer

J'ai installé WOT mais pas AdBlockPlus :

Firefox n'a pas pu installer le fichier situé à 

http://addons.mozilla.org/...

raison : Hachage invalide sur le fichier (corruption possible du téléchargement)
-261

anthony5151 · Answer

Fais redémarrer ton ordinateur, lance Firefox puis essaye de réinstaller AdBlockPlus depuis cette page

Infecté par Rogue antispyware-antivirus 2008

39 réponses

Discussions similaires