Infecté avec Antimalware Doctor

Résolu/Fermé
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 - 1 mai 2010 à 14:38
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 - 13 mai 2010 à 16:10
Bonjour à tous,

Voici mon premier rapport après scan complet de MBAM (MalwareByte Anti Malaware)
Merci de m'aider si vous le pouvez

En vous remerciant par avance.

PS: machine sous XP (version Trust3 en Eset security center 4 depuis mon infection seulement)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 5.1.2600 Service Pack 3, v.5657
Internet Explorer 7.0.5730.13

01/05/2010 14:32:03
mbam-log-2010-05-01 (14-32-03).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 203050
Temps écoulé: 33 minute(s), 10 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\Windows\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Fichier(s) infecté(s):
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.
A voir également:
  • Infecté avec Antimalware Doctor
  • Pc doctor - Télécharger - Optimisation
  • Antimalware - Télécharger - Antivirus & Antimalwares
  • Disk doctor - Télécharger - Récupération de données
  • Obd car doctor - Télécharger - Vie quotidienne
  • Device doctor - Télécharger - Informations & Diagnostic

18 réponses

anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
1 mai 2010 à 19:12
Pour info : Non seulement pirater Windows est illégal (mais ça c'est ton problème), mais c'est surtout dangereux pour la sécurité de ton ordinateur : Un peu de lecture
Apparemment ça ne te suffit pas et il me semble que tu as aussi piraté NOD32 ! Là je suis désolé, mais confier sa sécurité à un logiciel piraté, sans même savoir ce qu'il y a derrière, c'est vraiment débile (d'autant plus qu'il existe des antivirus gratuits très efficaces)...
En faisant ça, tu as installé une nouvelle infection (voir cette analyse du fichier lié au piratage de NOD32 visible sur ton rapport).

Avec un tel comportement, pas étonnant que ton ordinateur soit infecté ! En plus d'être illégaux, les cracks sont l'un des principaux vecteurs d'infections aujourd'hui (quelques infos ici et ici).

Je pourrais t'aider à désinfecter, mais j'ai de gros doutes sur l'utilité de cette démarche : une fois ton ordinateur désinfecté, tu continueras à utiliser un système pourri (Windows Trust), des cracks pourris et tu vas réinfecter ton ordinateur... Est-il vraiment utile que je prenne de mon temps pour t'aider si tu réinfectes ton ordinateur dans quelques jours ?

3
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
Modifié par Toffe31 le 1/05/2010 à 19:43
C 'est la première fois que je suis infecté depuis l'installation de cette versionTrust 3.
Cette version fonctionne de manière stable depuis 2 ans
Au début, J'avais un NOD32 version 3 et il était périmé. C'est d'ailleur pour cela quej'ai été infecté. Par facilité, j'ai effectivement mis la version4 piratée.

Quelle que soit ton choix concernant mon dépannage, je le comprends et je le respecte.
Bien que, j'aimerai être dépanné, je respecterai ta décision...

Par avance merci de me le faire savoir.
Cordilement
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
1 mai 2010 à 20:02
"il était périmé. C'est d'ailleur pour cela que j'ai été infecté"

==> L'antivirus n'est que le dernier recours en cas de problème. Il est quasiment inutile si tu es très prudent, il est insuffisant si tu n'es pas prudent.
Tout ça pour dire que la raison de l'infection, ce n'est pas l'absence d'un antivirus, l'infection ne vient pas toute seule : c'est le comportement de l'utilisateur qui peut mettre la machine en danger.

Pour information, il y a trois principaux vecteurs de l'infection Zbot :
- Les exploits sur des sites web piégés : pour éviter ça, il faut éviter de naviguer sur des sites à risque (sites de cracks, sites porno...) et surtout maintenir à jour tous ses programmes pour combler les failles de sécurité
- Les cracks infectés
- Des e-mails bidons contenant un lien vers une infection.


Bref, commence par supprimer tes cracks et désinstaller NOD 32. A la fin de la désinfection, tu pourras installer un nouvel antivirus : soit un antivirus payant acheté légalement, soit un de ceux deux antivirus gratuits reconnus :
- Avast
- AntiVir


Avant d'aller plus loin, j'ai besoin d'informations supplémentaires :

* Clique sur Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
* Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide (Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites)
* Rends toi sur le site https://www.virustotal.com/gui/
* Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\Program Files\QuickTime\qttask .exe
Attention : s'il y a plusieurs fichiers portant ce nom, regarde bien le nombre d'espace entre qttask et l'extension .exe (ici, il y en a 2)
* Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.


Ensuite, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag. Ne supprime rien d'autre : Zbot est capable de se "régénérer" s'il n'est supprimé que partiellement, on essayera donc de supprimer tout d'un coup.

1
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
1 mai 2010 à 20:34
Tout d'abord merci de prendre du temps pou moi.
NOD32 est désinsallé.

Je poste le raport Virustotal et dans un autre message celui de ZHPD

Encore merci!

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.05.01 -
AhnLab-V3 2010.05.02.00 2010.05.01 -
AntiVir 8.2.1.224 2010.04.30 -
Antiy-AVL 2.0.3.7 2010.04.30 -
Authentium 5.2.0.5 2010.05.01 -
Avast 4.8.1351.0 2010.05.01 -
Avast5 5.0.332.0 2010.05.01 -
AVG 9.0.0.787 2010.05.01 -
BitDefender 7.2 2010.05.01 -
CAT-QuickHeal 10.00 2010.05.01 -
ClamAV 0.96.0.3-git 2010.05.01 -
Comodo 4732 2010.05.01 -
DrWeb 5.0.2.03300 2010.05.01 -
eSafe 7.0.17.0 2010.04.29 Win32.TrojanHorse
eTrust-Vet 35.2.7462 2010.04.30 -
F-Prot 4.5.1.85 2010.04.30 -
F-Secure 9.0.15370.0 2010.05.01 -
Fortinet 4.0.14.0 2010.05.01 -
GData 21 2010.05.01 -
Ikarus T3.1.1.80.0 2010.05.01 -
Jiangmin 13.0.900 2010.05.01 -
Kaspersky 7.0.0.125 2010.05.01 -
McAfee 5.400.0.1158 2010.05.01 -
McAfee-GW-Edition 6.8.5 2010.05.01 -
Microsoft 1.5703 2010.05.01 -
NOD32 5077 2010.05.01 -
Norman 6.04.12 2010.05.01 -
nProtect 2010-05-01.01 2010.05.01 -
Panda 10.0.2.7 2010.05.01 -
PCTools 7.0.3.5 2010.05.01 -
Prevx 3.0 2010.05.01 -
Rising 22.45.04.03 2010.04.30 -
Sophos 4.53.0 2010.05.01 -
Sunbelt 6246 2010.05.01 -
Symantec 20091.2.0.41 2010.05.01 -
TheHacker 6.5.2.0.274 2010.04.30 -
TrendMicro 9.120.0.1004 2010.05.01 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.01 -
VBA32 3.12.12.4 2010.04.30 -
ViRobot 2010.5.1.2299 2010.05.01 -
VirusBuster 5.0.27.0 2010.04.30 -
Information additionnelle
File size: 417792 bytes
MD5...: 8cbd57d84729debee1e83cb5fa3e3d7a
SHA1..: b26ccae897aabdb6a4747828b5aa29ecf10ab184
SHA256: 01e0667f743a08210873b7ceb30ea6592596cce70e9ce9f6ccf40f22261201ee
ssdeep: 3072:IeHnUgOsoBv5YCSY5rdWFbIa648bm+CSLipXkhTNax6JWotnfM+9B0eCkBQ
3anSS:IeHnUgOJv5Y25HC5om+xBzBaS

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x28202
timedatestamp.....: 0x4aa21d64 (Sat Sep 05 08:12:20 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x49d65 0x4a000 6.17 df42404359a137922980b8e82ab25deb
.rdata 0x4b000 0x4ec4 0x5000 5.49 1431c5c722aabbd4248a5f7c5cbe4105
.data 0x50000 0x32a4 0x2000 2.48 60b8c1a51d107af6c10c26a7975ef6fd
.rsrc 0x54000 0xc5f8 0xd000 5.00 48585b1c0037f1f4bd57931b7ca49f71
.reloc 0x61000 0x655a 0x7000 6.08 15ab5c368bb8c9b042c74dd19ac22993

( 6 imports )
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> KERNEL32.dll: GetVersionExA, WaitForSingleObject, CreateProcessA, ResetEvent, SetEvent, WaitForMultipleObjects, Sleep, CreateThread, GetLastError, CreateMutexA, GetModuleHandleA, GetSystemDirectoryA, TerminateProcess, GlobalFree, GlobalAlloc, ReleaseMutex, GetCurrentProcessId, GetConsoleOutputCP, WriteConsoleA, GetTimeZoneInformation, CompareStringW, CompareStringA, SetFilePointer, FindFirstFileA, HeapSize, FlushFileBuffers, GetConsoleMode, GetConsoleCP, VirtualAlloc, HeapReAlloc, IsValidLocale, EnumSystemLocalesA, GetLocaleInfoA, GetUserDefaultLCID, GetDateFormatA, GetTimeFormatA, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, OpenProcess, FindClose, CloseHandle, LoadLibraryA, GetProcAddress, FreeLibrary, CreateEventA, GetModuleFileNameA, WriteConsoleW, SetStdHandle, ReadFile, GetLocaleInfoW, EnterCriticalSection, SetEnvironmentVariableW, SetEnvironmentVariableA, RaiseException, CreateFileA, LeaveCriticalSection, ExitProcess, MultiByteToWideChar, GetFileAttributesA, RtlUnwind, GetCommandLineA, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoA, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, GetCurrentThread, LCMapStringA, WideCharToMultiByte, LCMapStringW, SetHandleCount, GetStdHandle, GetFileType, DeleteCriticalSection, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FatalAppExitA, WriteFile, SetConsoleCtrlHandler, InterlockedExchange, InitializeCriticalSection
> USER32.dll: LoadIconA, LoadCursorA, RegisterClassExA, CreateWindowExA, SetWindowLongA, GetWindowLongA, DefWindowProcA, PostQuitMessage, LoadMenuA, GetSubMenu, DestroyMenu, SetMenuDefaultItem, GetCursorPos, SetForegroundWindow, TrackPopupMenu, CreatePopupMenu, GetMenuStringA, ModifyMenuA, EnableMenuItem, FindWindowA, GetWindowThreadProcessId, SendMessageA, AppendMenuA, MessageBoxA, LoadStringA, GetMessageA, TranslateMessage, DispatchMessageA, PostMessageA, wsprintfA
> GDI32.dll: GetStockObject
> ADVAPI32.dll: RegDeleteKeyA, RegCreateKeyExA, RegOpenKeyExA, RegQueryInfoKeyA, RegEnumValueA, RegDeleteValueA, RegQueryValueExA, RegSetValueExA, RegCloseKey, RegEnumKeyA
> SHELL32.dll: ShellExecuteA, Shell_NotifyIconA

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Apple Inc.
copyright....: Copyright Apple Inc. 1989-2009
product......: QuickTime
description..: QuickTime Task
original name: QTTask.exe
internal name: QuickTime Task
file version.: 7.6.4 (1327.73)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
1 mai 2010 à 22:52
Voici le rapport ZHPIAG.Pour information, il restait un fichier ESET qui s'appelait reset.exe sous c:\windows. Je l'ai supprimé.

http://www.cijoint.fr/cjlink.php?file=cj201005/cijA3ftggb.txt

Par avance merci de ton aide
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
2 mai 2010 à 03:16
1) Il y a une infection de disque amovible :

* Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Double clique sur le programme USBFix sur ton Bureau.
* Au menu principal, choisis l'option 2 (Suppression)
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher --> poste le dans ta prochaine réponse stp

Aide en images : Nettoyage



2) Il reste des éléments néfastes à supprimer :

* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :


O23 - Service: Eset Trial Reset (.EsetTrialReset) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\reset.exe
O40 - ASIC: (no name) - {644A4322-7128-E694-771C-CF236241FED9} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32:myspacce.exe
O44 - LFC:[MD5.C475F13A6F36D376CF6D73C144FD8325] - 30/04/2010 - 17:19:49 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\o.sys [4736]
O58 - SDL:[MD5.C475F13A6F36D376CF6D73C144FD8325] - 30/04/2010 - 17:19:49 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\o.sys
O62 - ADS:Alternate Data Stream File - C:\WINDOWS\System32\:myspacce
O64 - Services: CurCS - C:\WINDOWS\system32\o.sys - k (k) .(.Pas de propriétaire - Pas de description.) - LEGACY_K
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS
MBRFix


* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse



Je vois que tu as Combofix sur ton ordinateur, je suppose que tu viens de l'utiliser puisqu'il n'apparaissait pas sur le premier rapport (si ce n'est pas le cas, laisse tomber) : peux-tu poster le rapport qu'il t'a proposé stp ? (C:\Combofix.txt)

1
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 08:44
Voilà pour le rapport ZHPFix. Je l'ai fait en deux foiscar j'avais oublié la ligne O58:

PS: pour Combofix et USBfix... impossible de les lancer car la TRUST3 n'est pas reconnue comme une XP standard. Désolé


ZHPFix v1.12.3094 by Nicolas Coolman - Rapport de suppression du 02/05/2010 08:31:16
Fichier d'export Registre : C:\ZHPExportRegistry-02-05-2010-08-31-16.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O40 - ASIC: (no name) - {644A4322-7128-E694-771C-CF236241FED9} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32:myspacce.exe => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\system32\o.sys - k (k) .(.Pas de propriétaire - Pas de description.) - LEGACY_K => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32:myspacce.exe => Fichier absent
c:\windows\system32\o.sys => Supprimé et mis en quarantaine
c:\windows\system32\o.sys [4736] => Fichier absent
c:\windows\system32\:myspacce => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 3
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 3
Logiciel : 0
Master Boot Record : 0
Autre : 0


End of the scan
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 08:48
Petit message complémentaire:
depuis ton travail et la suppression de NOD32 piraté, le service iexplorer.exe ne s'ouvre plus de manière anarchique. Avec mes maigres connaissances, le PC me parait plus stable.
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 08:58
J'en profite pour poster le dernier rapport ZHPdiag:

http://www.cijoint.fr/cjlink.php?file=cj201005/cij3bX19vZ.txt
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 09:29
J'ai passé me supports USB avec un logiciel conseillé qui s'appelle RAV.

Sur certains le fichier MS32DLL.dll.vbs a été supprimé.
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
2 mai 2010 à 16:50
RAV ne supprime pas toutes les infection et surtout il ne vaccine pas les disques amovibles. Avec une vaccination, on serait sûr qu'aucune infection ne peut plus se transmettre via tes disques amovibles.

Essaye VaccinUSB (même fonctionnement que les autres : brancher les disques amovibles et le lancer)

Ensuite fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp (laisse tes disques amovibles branchés pour ça stp)

1
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 17:08
Ok j'ai saisi l'objectif.
Je procède en 2 temps car j'ai trois periphs USB pour seulement 2 ports
je poste le premier rapport de vaccinUSB et ensuite le lien vers le rappor ZHPDiag
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 17:10
Voici le rapport VaccinUSB:

02/05/2010 - 17:04:12,20 - Vaccin USB - Gof

Lecteur détectés :

Le volume dans le lecteur C s'appelle DISK1
Le numéro de série du volume est 8423-E523
Le volume dans le lecteur D s'appelle DISK2
Le numéro de série du volume est 3C4C-1224
Le volume dans le lecteur H s'appelle SOSO
Le numéro de série du volume est 249E-5BB4
Le volume dans le lecteur J s'appelle TOFFE
Le numéro de série du volume est A579-7C81

Répertoires et fichiers vaccins :

c:\autorun.inf - Vaccin Ok
c:\adober.exe - Vaccin Ok
c:\copy.exe - Vaccin Ok
c:\comment.htt - Vaccin Ok
c:\host.exe - Vaccin Ok
c:\info.exe - Vaccin Ok
c:\msvcr71.dll - Vaccin Ok
c:\ravmon.exe - Vaccin Ok
c:\ravmon.log - Vaccin Ok
c:\sqlserv.exe - Vaccin Ok
c:\start.exe - Vaccin Ok
c:\temp.exe - Vaccin Ok
c:\temp1.exe - Vaccin Ok
c:\temp2.exe - Vaccin Ok
c:\winfile.exe - Vaccin Ok
c:\ntdelect.com - Vaccin Ok
d:\autorun.inf - Vaccin Ok
d:\adober.exe - Vaccin Ok
d:\copy.exe - Vaccin Ok
d:\comment.htt - Vaccin Ok
d:\host.exe - Vaccin Ok
d:\info.exe - Vaccin Ok
d:\msvcr71.dll - Vaccin Ok
d:\ravmon.exe - Vaccin Ok
d:\ravmon.log - Vaccin Ok
d:\sqlserv.exe - Vaccin Ok
d:\start.exe - Vaccin Ok
d:\temp.exe - Vaccin Ok
d:\temp1.exe - Vaccin Ok
d:\temp2.exe - Vaccin Ok
d:\winfile.exe - Vaccin Ok
d:\ntdelect.com - Vaccin Ok
h:\autorun.inf - Vaccin Ok
h:\adober.exe - Vaccin Ok
h:\copy.exe - Vaccin Ok
h:\comment.htt - Vaccin Ok
h:\host.exe - Vaccin Ok
h:\info.exe - Vaccin Ok
h:\msvcr71.dll - Vaccin Ok
h:\ravmon.exe - Vaccin Ok
h:\ravmon.log - Vaccin Ok
h:\sqlserv.exe - Vaccin Ok
h:\start.exe - Vaccin Ok
h:\temp.exe - Vaccin Ok
h:\temp1.exe - Vaccin Ok
h:\temp2.exe - Vaccin Ok
h:\winfile.exe - Vaccin Ok
h:\ntdelect.com - Vaccin Ok
j:\autorun.inf - Vaccin Ok
j:\adober.exe - Vaccin Ok
j:\copy.exe - Vaccin Ok
j:\comment.htt - Vaccin Ok
j:\host.exe - Vaccin Ok
j:\info.exe - Vaccin Ok
j:\msvcr71.dll - Vaccin Ok
j:\ravmon.exe - Vaccin Ok
j:\ravmon.log - Vaccin Ok
j:\sqlserv.exe - Vaccin Ok
j:\start.exe - Vaccin Ok
j:\temp.exe - Vaccin Ok
j:\temp1.exe - Vaccin Ok
j:\temp2.exe - Vaccin Ok
j:\winfile.exe - Vaccin Ok
j:\ntdelect.com - Vaccin Ok

Examen fonctions Autorun BDR :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
CDRAutoRun REG_DWORD 0x1
HideRunAsVerb REG_DWORD 0x1
NoActiveDesktop REG_DWORD 0x0
NoCDBurning REG_DWORD 0x1
NoDesktopCleanupWizard REG_DWORD 0x1
NoDriveTypeAutoRun REG_DWORD 0x5f
NoInstrumentation REG_DWORD 0x1
NoNetConnectDisconnect REG_DWORD 0x0
NoRecentDocsHistory REG_DWORD 0x1
NoRemoteRecursiveEvents REG_DWORD 0x1
NoResolveTrack REG_DWORD 0x1
NoSetActiveDesktop REG_DWORD 0x0
NoStartMenuMFUprogramsList REG_DWORD 0x1
HonorAutoRunSetting REG_DWORD 0x1

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
<SANS NOM> REG_SZ @SYS:DoesNotExist

02/05/2010 - 17:04:27,09 : Fin.
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 17:11
Voici le dernier rapport ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201005/cijnxQVbr8.txt

Par avance merci.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
2 mai 2010 à 18:38
Il reste des éléments néfastes à supprimer :

* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :


O51 - MPSK:{232e1cda-e66d-11dd-ae8a-00110970ec2d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- H:\laucher.exe (.not file.)
O51 - MPSK:{992af24e-2577-11df-aee7-00110970ec2d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- H:\Toshiba\more4you.exe (.not file.) => Toshiba more4you
O51 - MPSK:{b8c2bd56-1c88-11de-aea4-00110970ec2d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\InstallTomTomHOME.exe (.not file.) => TomTomHOME Installation
O51 - MPSK:{cce0ef48-d166-11de-aec0-00110970ec2d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\laucher.exe (.not file.)
MBRFix
O62 - ADS:Alternate Data Stream File - C:\WINDOWS\System32\:myspacce


* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse



Ensuite relance MalwareBytes, mets le à jour et refais une analyse. S'il trouve quelque chose, poste le rapport stp

1
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 19:14
Voici mon rapport ZHPFix.MBAM est en train de tourner (durée normale 60mn):
A tout à l'heure...

ZHPFix v1.12.3094 by Nicolas Coolman - Rapport de suppression du 02/05/2010 19:09:03
Fichier d'export Registre : C:\ZHPExportRegistry-02-05-2010-19-09-03.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O51 - MPSK:{232e1cda-e66d-11dd-ae8a-00110970ec2d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- H:\laucher.exe (.not file.) => Clé supprimée avec succès
O51 - MPSK:{992af24e-2577-11df-aee7-00110970ec2d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- H:\Toshiba\more4you.exe (.not file.) => Toshiba more4you => Clé supprimée avec succès
O51 - MPSK:{b8c2bd56-1c88-11de-aea4-00110970ec2d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\InstallTomTomHOME.exe (.not file.) => TomTomHOME Installation => Clé supprimée avec succès
O51 - MPSK:{cce0ef48-d166-11de-aec0-00110970ec2d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\laucher.exe (.not file.) => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
h:\laucher.exe => Fichier absent
h:\toshiba\more4you.exe => Fichier absent
f:\installtomtomhome.exe => Fichier absent
j:\laucher.exe => Fichier absent
c:\windows\system32\:myspacce => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x895C9AC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x896cf578
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 4
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 5
Logiciel : 0
Master Boot Record : 19
Autre : 0
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 19:25
Pendant que cela tourne et pour me coucher moin con ce soir c'est quoi ça:

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x895C9AC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x896cf578
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
13 mai 2010 à 16:01
Formate et achète une version légale, saine et stable de Windows :

https://www.commentcamarche.net/faq/4550-windows-legaliser-windows

http://emea.microsoftstore.com/fr/fr-FR/Microsoft/Mise-a-jour-Windows-7-Edition-Familiale-Premium


Je place le sujet en résolu.

1
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
13 mai 2010 à 16:10
Merci de tes conseil moralisateurs...

Apres avoir aciver la console de récupération de ma version non-légale, j'ai pu supprimer mon fameux : jkycrzky.dll.
depuis MBAM ne me renvoie plus rien.
Tu peux effectivement placer le sujet en résolu.

MERCI encore pour ton temps, ta patience et ta grande morale ;)
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 1/05/2010 à 15:47
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.



Tu as attrapé Zbot : c'est une infection qui collecte des informations personnelles (adresse email, numéro de carte bancaire, code d'accès à tes comptes bancaires en ligne, numéro de téléphone...) afin de les revendre
==> Surveille tes comptes bancaires... Il faudra changer tes codes bancaires à la fin de la désinfection !


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
1 mai 2010 à 16:46
Merci de t'occuper de mon cas. pour information complémentaire, j'ai le service iexplorer.exe qui s'ouvre en plusieurs exemplaires des le gestionnaire de processus puis qui se referme. Le tout sans auune fenêtre à l'écran. j'ai bien entendu déconneté mon PC de la toile... et jattends tes conseils après la lecture du rapport ci-dessous.

PS : J'espère que les informations contenu dans ce rapport ne peuvent pas être utilisé à mauvais escient...

Encore merci de ton aide!

http://www.cijoint.fr/cjlink.php?file=cj201005/cijDXOtRxA.txt
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
Modifié par Toffe31 le 1/05/2010 à 19:06
En attendant ta réponse et en surfant sur quelques forum, j'ai supprimé les jobs contenus dans:
C:\windows\task
ci joint le rapport de HSPFix :

ZHPFix v1.12.3094 by Nicolas Coolman - Rapport de suppression du 01/05/2010 18:52:07
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\tasks\at1.job => Supprimé et mis en quarantaine
c:\windows\tasks\at10.job => Supprimé et mis en quarantaine
c:\windows\tasks\at100.job => Supprimé et mis en quarantaine
c:\windows\tasks\at101.job => Supprimé et mis en quarantaine
c:\windows\tasks\at102.job => Supprimé et mis en quarantaine
c:\windows\tasks\at103.job => Supprimé et mis en quarantaine
c:\windows\tasks\at104.job => Supprimé et mis en quarantaine
c:\windows\tasks\at105.job => Supprimé et mis en quarantaine
c:\windows\tasks\at106.job => Supprimé et mis en quarantaine
c:\windows\tasks\at107.job => Supprimé et mis en quarantaine
c:\windows\tasks\at108.job => Supprimé et mis en quarantaine
c:\windows\tasks\at109.job => Supprimé et mis en quarantaine
c:\windows\tasks\at11.job => Supprimé et mis en quarantaine
c:\windows\tasks\at110.job => Supprimé et mis en quarantaine
c:\windows\tasks\at111.job => Supprimé et mis en quarantaine
c:\windows\tasks\at112.job => Supprimé et mis en quarantaine
c:\windows\tasks\at113.job => Supprimé et mis en quarantaine
c:\windows\tasks\at114.job => Supprimé et mis en quarantaine
c:\windows\tasks\at115.job => Supprimé et mis en quarantaine
c:\windows\tasks\at116.job => Supprimé et mis en quarantaine
c:\windows\tasks\at117.job => Supprimé et mis en quarantaine
c:\windows\tasks\at118.job => Supprimé et mis en quarantaine
c:\windows\tasks\at119.job => Supprimé et mis en quarantaine
c:\windows\tasks\at12.job => Supprimé et mis en quarantaine
c:\windows\tasks\at120.job => Supprimé et mis en quarantaine
c:\windows\tasks\at121.job => Supprimé et mis en quarantaine
c:\windows\tasks\at122.job => Supprimé et mis en quarantaine
c:\windows\tasks\at123.job => Supprimé et mis en quarantaine
c:\windows\tasks\at124.job => Supprimé et mis en quarantaine
c:\windows\tasks\at125.job => Supprimé et mis en quarantaine
c:\windows\tasks\at126.job => Supprimé et mis en quarantaine
c:\windows\tasks\at127.job => Supprimé et mis en quarantaine
c:\windows\tasks\at128.job => Supprimé et mis en quarantaine
c:\windows\tasks\at129.job => Supprimé et mis en quarantaine
c:\windows\tasks\at13.job => Supprimé et mis en quarantaine
c:\windows\tasks\at130.job => Supprimé et mis en quarantaine
c:\windows\tasks\at131.job => Supprimé et mis en quarantaine
c:\windows\tasks\at132.job => Supprimé et mis en quarantaine
c:\windows\tasks\at133.job => Supprimé et mis en quarantaine
c:\windows\tasks\at134.job => Supprimé et mis en quarantaine
c:\windows\tasks\at135.job => Supprimé et mis en quarantaine
c:\windows\tasks\at136.job => Supprimé et mis en quarantaine
c:\windows\tasks\at137.job => Supprimé et mis en quarantaine
c:\windows\tasks\at138.job => Supprimé et mis en quarantaine
c:\windows\tasks\at139.job => Supprimé et mis en quarantaine
c:\windows\tasks\at14.job => Supprimé et mis en quarantaine
c:\windows\tasks\at140.job => Supprimé et mis en quarantaine
c:\windows\tasks\at141.job => Supprimé et mis en quarantaine
c:\windows\tasks\at142.job => Supprimé et mis en quarantaine
c:\windows\tasks\at143.job => Supprimé et mis en quarantaine
c:\windows\tasks\at144.job => Supprimé et mis en quarantaine
c:\windows\tasks\at145.job => Supprimé et mis en quarantaine
c:\windows\tasks\at146.job => Supprimé et mis en quarantaine
c:\windows\tasks\at147.job => Supprimé et mis en quarantaine
c:\windows\tasks\at148.job => Supprimé et mis en quarantaine
c:\windows\tasks\at149.job => Supprimé et mis en quarantaine
c:\windows\tasks\at15.job => Supprimé et mis en quarantaine
c:\windows\tasks\at150.job => Supprimé et mis en quarantaine
c:\windows\tasks\at151.job => Supprimé et mis en quarantaine
c:\windows\tasks\at152.job => Supprimé et mis en quarantaine
c:\windows\tasks\at153.job => Supprimé et mis en quarantaine
c:\windows\tasks\at154.job => Supprimé et mis en quarantaine
c:\windows\tasks\at155.job => Supprimé et mis en quarantaine
c:\windows\tasks\at156.job => Supprimé et mis en quarantaine
c:\windows\tasks\at157.job => Supprimé et mis en quarantaine
c:\windows\tasks\at158.job => Supprimé et mis en quarantaine
c:\windows\tasks\at159.job => Supprimé et mis en quarantaine
c:\windows\tasks\at16.job => Supprimé et mis en quarantaine
c:\windows\tasks\at160.job => Supprimé et mis en quarantaine
c:\windows\tasks\at161.job => Supprimé et mis en quarantaine
c:\windows\tasks\at162.job => Supprimé et mis en quarantaine
c:\windows\tasks\at163.job => Supprimé et mis en quarantaine
c:\windows\tasks\at164.job => Supprimé et mis en quarantaine
c:\windows\tasks\at165.job => Supprimé et mis en quarantaine
c:\windows\tasks\at166.job => Supprimé et mis en quarantaine
c:\windows\tasks\at167.job => Supprimé et mis en quarantaine
c:\windows\tasks\at168.job => Supprimé et mis en quarantaine
c:\windows\tasks\at169.job => Supprimé et mis en quarantaine
c:\windows\tasks\at17.job => Supprimé et mis en quarantaine
c:\windows\tasks\at170.job => Supprimé et mis en quarantaine
c:\windows\tasks\at171.job => Supprimé et mis en quarantaine
c:\windows\tasks\at172.job => Supprimé et mis en quarantaine
c:\windows\tasks\at173.job => Supprimé et mis en quarantaine
c:\windows\tasks\at174.job => Supprimé et mis en quarantaine
c:\windows\tasks\at175.job => Supprimé et mis en quarantaine
c:\windows\tasks\at176.job => Supprimé et mis en quarantaine
c:\windows\tasks\at177.job => Supprimé et mis en quarantaine
c:\windows\tasks\at178.job => Supprimé et mis en quarantaine
c:\windows\tasks\at179.job => Supprimé et mis en quarantaine
c:\windows\tasks\at18.job => Supprimé et mis en quarantaine
c:\windows\tasks\at180.job => Supprimé et mis en quarantaine
c:\windows\tasks\at181.job => Supprimé et mis en quarantaine
c:\windows\tasks\at182.job => Supprimé et mis en quarantaine
c:\windows\tasks\at183.job => Supprimé et mis en quarantaine
c:\windows\tasks\at184.job => Supprimé et mis en quarantaine
c:\windows\tasks\at185.job => Supprimé et mis en quarantaine
c:\windows\tasks\at186.job => Supprimé et mis en quarantaine
c:\windows\tasks\at187.job => Supprimé et mis en quarantaine
c:\windows\tasks\at188.job => Supprimé et mis en quarantaine
c:\windows\tasks\at189.job => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)

PS : bon désolé, mais cela n'a rien produit car les jobs n'ont pas disparus... J'arrête de faire n'importe quoi et j'attends tes conseils.
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
2 mai 2010 à 14:10
A la place de USBFix, essaye ce programme :

* Télécharge Flash Disinfector (de sUBs) sur ton Bureau.
* Double clique dessus pour le lancer
* Une fenêtre "Start Flash Disinfector" va apparaître --> branche tous tes disques amovibles (clés USB, lecteurs mp3, disques durs externes, iPod...) et clique sur OK.
* Tes icônes vont disparaitre, c'est normal, ne touche à rien pendant la désinfection.
* Lorsque le message "Finish" apparaît, clique sur OK.


Tu n'as pas indiqué la ligne "MBRFix" dans le script de ZHPFix ?

0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 16:16
Bon la mauvaise nouvelle c'est que flash disinfector ne se lance pas non plus sur mon PC (petit sablier 2 secondes puis plus rien)

Concernant ta dernière phrase "Tu n'as pas indiqué la ligne "MBRFix" dans le script de ZHPFix ?"
je ne comprends pas car j'ai posté le raport complet de ZHPFix

Peux tu m'éclairer. Pour les périphériques USB est ce que le passage de RAV ne suffit pas?
Encore merci de ta patience.
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 19:53
Voilàmon rapport MBAM:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 5.1.2600 Service Pack 3, v.5657
Internet Explorer 7.0.5730.13

02/05/2010 19:43:01
mbam-log-2010-05-02 (19-43-01).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 203576
Temps écoulé: 27 minute(s), 11 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-789336058-2000478354-1644491937-500\Dc4\License\iexplore.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 19:57
Au fait au démarrage est survenu le message suivant:

OODBS progam not found _ autocheck abort

Depuis rien de spécial si ce n'ai que ma zone de notification (systray) a disparu.
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
2 mai 2010 à 20:13
Fais redémarrer l'ordi et poste encore un nouveau rapport ZHPDiag stp ;)

Pour répondr eà cette question --> ça correspond à une infection qui s'était logé dans le MBR (+ d'infos ici).
La commande MBRFix de ZHPFix a apparamment réglé ce problème ;)

0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
2 mai 2010 à 20:33
Voilà mon dernier rapport.

Pour oodbs j'ai un peu regardé. tou le monde conseil de supprimer la clef du registre. Moi pour l'instant je ne suis pas trop chaud.

Encore merci de ton aide

http://www.cijoint.fr/cjlink.php?file=cj201005/cijoVzxvX4.txt
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 mai 2010 à 00:04
Pour l'erreur OODBS, tu l'as à chaque démarrage ?
L'infection dans le MBR est revenue ! Si c'est lié à ta version de Windows, on ne pourra rien y faire...


Essaye de faire fonctionner ce programme (si ça plante, laisse tomber) :


/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection et fermer tous tes programmes pour utiliser Gmer /!\

* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
* Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum



Puis celui-ci :

* Télécharge MBR Rootkit Detector (gmer) et enregistre-le sur le Bureau.
* Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer.
* Un rapport sera généré : mbr.log ==> Copie/colle le résultat de ce rapport dans ta réponse.

0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
3 mai 2010 à 07:27
Pour l'erreur OODBS, oui c'est à chaque démarrage.

Voilà le rapport Gmer (converti en .txt):

http://www.cijoint.fr/cjlink.php?file=cj201005/cijhbNbrM4.txt

et le rapport MBR rootkit :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Par avance merci et à ce soir, car aujourd'hui...boulot.
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 mai 2010 à 15:32
Ok ça a l'air bon.


Regarde si ce fichier est présent sur ton ordinateur (il faudra peut-être afficher les fichier cachés) : c:\windows\system32\autochk.exe

S'il l'est, ouvre le Registre (menu démarrer --> Exécuter --> regedit) et regarde si cette valeur est identique à ce qui est indiqué.

0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
Modifié par Toffe31 le 3/05/2010 à 19:39
Bonsoir et merci pour le travail

OUI le fichier autochk.exe est présent

La clef registre donne la valeur suivante :

autocheck autochk * autocheck OODBS OODBS

Je profite de ce message pour te demande conseil (oui je sais j'abuse) sur plusieurs points:

Que me conseilles tu comme antivirus et firewall sachant que mes habitdes de surf ne sont pas déplacées (site porno ou autres)

Que puis-je faire pour mon systray qui ne se lance plus et qui planques tous les icones (j'ai déjà regardé les paramètres de la barre des tâches)

Par avance merci
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
5 mai 2010 à 18:21
anthoony5151 : J'espère que tu as lu mes dernières information.
puis je réinstaller un antivirus et me reconnecter au web
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
5 mai 2010 à 20:05
Désolé de te faire attendre.
Pour répondre à tes questions :


- Modifie la valeur pour mettre la même chose que sur le lien que je t'ai donné dans mon précédent message.

- Qu'est ce que tu appelles systray ? Toute la barre des tâches ou juste la zone de notification près de l'horloge ?

- Pour la protection, je vais te donner tous les conseils : poste moi un dernier rapport ZHPDiag, une partie de mes conseils se basent là dessus.
Tu peux évidemment remettre un antivirus dès maintenant, te reconnecter (si tu souhaites un gratuit, je te conseille Avast ou AntiVir) et procéder dès maintenant au changement de tes mots de passe importants.

0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
5 mai 2010 à 22:21
Oui cest uniquement la zone de notification. Elle ne se lance plus à louverture de windows et je sui obligé de la lancer manuelle par la commande "exécuter"

Voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201005/cijULMDqT5.txt

Pour la clef registre : c'est fait, plus de bug au démarrage.

Encore merci de ton aide.
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
7 mai 2010 à 01:27
Excuse moi de te faire attendre. Je viendrai te répondre demain en fin de journée, là je vais aller dormir ^^

A demain ;)

0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
7 mai 2010 à 07:36
No problemo :)
Merci de ta patience...
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
7 mai 2010 à 23:14
On va essayer de régler ce problème avant de s'occuper de la sécurisation de l'ordinateur ;)

Si j'ai bien compris, c'est le processus "systray.exe" que tu lances manuellement pour ouvrir la zone de notification ? Si oui, fais ce qui suit stp :

* Télécharge SEAF (de C_XX) sur ton Bureau.
* Lance SEAF
* Dans les options, coche "Chercher également dans le Registre"
* Tape systray.exe dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
* A la fin, poste le rapport dans ta prochaine réponse

0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
7 mai 2010 à 23:27
Voilà le rapport SEAF

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 23:23:17 le 07/05/2010
4.
5. Valeur(s) recherchée(s):
6.
7. systray
8.
9. (!) --- Recherche registre
10.
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12.
13. "c:\WINDOWS\system32\systray.exe" [ ----N---- | 3072 ]
14. TC: 14/04/2008,14:00:00 | TM: 14/04/2008,14:00:00 | DA: 31/10/2008,14:15:03
15.
16. =========================
17.
18. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
19.
20. Aucun dossier trouvé
21.
22.
23. ====== Entrée(s) du registre ======
24.
25.
26.
27. [HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}]
28. ""="SysTray"
29.
30. [HKEY_CLASSES_ROOT\CLSID\{730F6CDC-2C86-11D2-8773-92E220524153}]
31. ""="SysTrayInvoker"
32.
33. [HKEY_CLASSES_ROOT\Interface\{FAEDCF65-31FE-11D1-AAD2-00805FC1270E}]
34. ""="INetConnectionSysTray"
35.
36. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
37. "d"="systray\1"
38.
39. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}]
40. ""="SysTray"
41.
42. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{730F6CDC-2C86-11D2-8773-92E220524153}]
43. ""="SysTrayInvoker"
44.
45. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FAEDCF65-31FE-11D1-AAD2-00805FC1270E}]
46. ""="INetConnectionSysTray"
47.
48. [HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_10\MSI]
49. "SYSTRAY"="1"
50.
51. [HKEY_USERS\S-1-5-21-789336058-2000478354-1644491937-500\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
52. "d"="systray\1"
53.
54. =========================
55.
56. Fin à: 23:25:02 le 07/05/2010 ( E.O.F )

J'ai préféré faire une recherche sur systray plutot que sur systray.exe
A+ et merci
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
10 mai 2010 à 06:50
Fais une sauvegarde du Registre avec Erunt, pour pouvoir revenir en arrière en cas de problème : Tutoriel

Ensuite télécharge ce script sur ton Bureau --> lance le --> accepte la modification du Registre --> Fais redémarrer ton ordinateur et dis moi si le problème est réglé.

0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
10 mai 2010 à 21:39
Chapeau bas!!!!!
non seulement le registre n'a pas planté, mais en plus tu as rêglé le problème.
Le seul hic dans tout cela c'est que MBAM me renvoi encore des clefs infectées que je n'arrive pas à virer.
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
11 mai 2010 à 02:59
Tant mieux :)

Peux-tu me montrer un rapport de MalwareBytes indiquant ces clés de Registre stp ?

0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
11 mai 2010 à 06:58
Le temps que le scan se fasse au complet
je te poste mon dernier rapport ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201005/cijbN2YMIH.txt
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 11/05/2010 à 10:41
Euh par contre, je ne t'aide plus si tu ouvres des sujets dans tous les sens sur le forum... Je t'avais pourtant bien indiqué dès mon premier message d'être patient et de ne pas ouvrir d'autres sujets sur le forum en parallèle à celui là : si je t'ai dit ça, ce n'est pas par égoisme mais parce qu'il est inutile de faire travailler plusieurs personnes sur le même problème (c'est même contre-productif puisqu'on ne peut plus suivre la désinfection convenablement étant donné que tu fais d'autres choses à côté...)

Je sais que je t'ai laissé attendre 2 jours (je cherchais le point de chargement du systray pour régler ton problème), mais ce n'est pas une raison pour faire n'importe quoi.

Et accessoirement, ton ordinateur est à nouveau infecté...


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0
Toffe31 Messages postés 140 Date d'inscription dimanche 26 octobre 2008 Statut Membre Dernière intervention 16 septembre 2013 1
11 mai 2010 à 18:31
Désolé de te faire du tord, mais je voulais juste savoir si quelqu'un avais déjà connu ce probleme. Comme tu as vu l'autre topic, tu as vu qu'on est coincé sur la désinfection alors que tu travaillais sur le systray

Voilà le rapport MBAM:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijnnPeVkd.txt
0