HEUR/HTML.Malware Fermé

Question

Bonjour, depuis 3 jrs des que je me connecte sur internet j ai un message d AVIRA qui me dit que j ai se type de virus :HEUR/HTML.Malware type:AHeAD La reconnaissance spéciale heuristique je n arrive pas a m en debarasser et je suis novice niveau informatique donc mes competences st nuls dans le domaine .J espere que quelqu un pourra m aidé !!MERCI!!!!!!!!!voici le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4294

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/07/2010 11:48:00
mbam-log-2010-07-09 (11-48-00).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 120877
Temps écoulé: 17 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\e2be426e.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{caca12e4-05d3-9f10-3ae8-597fcf95071d} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{caca12e4-05d3-9f10-3ae8-597fcf95071d} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{caca12e4-05d3-9f10-3ae8-597fcf95071d} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c09abe18-23b1-0a5b-7273-434de04b8170} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c09abe18-23b1-0a5b-7273-434de04b8170} (Adware.AdRotator) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bawsuhrrygejkfzlt (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\e2be426e.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\drivers\wzkdxu.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\xuisgnesyftjeams.dll (Trojan.Agent) -> Delete on reboot.



Configuration: Windows XP / Internet Explorer 7.0

fred08700 · Answer

bonjour 

Redémarres ton pc et fais ceci

&#9679 Télécharges ZHPDiag ( de Nicolas coolman ).

	&#9679 Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

	&#9679 Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

	&#9679 Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

	&#9679 Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

	&#9679 Rends toi sur www.cjoint.com

	&#9679 Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

	&#9679 Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

	&#9679 Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

aurelied23 · Answer

merci pour ta reactivité et pour ton aide et tes explications st tres clair j espere juste avoir fais ce que tu me demande correctement   !!!!https://www.cjoint.com/?hjrGrRCdij

fred08700 · Answer

re-bonjour Quelques infections et mises à jour à effectuer ● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) Déconnecte toi et ferme toutes les applications en cours ● Double-clique sur l'icône AD-Remover ● Au menu principal, clique sur "Nettoyer" ● Confirme le lancement de l'analyse et laisse l'outil travailler ● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. ********************** * Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement. * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir * Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement * Clique sur "Recherche" * Laisse travailler l'outil * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) Aide en images :Tutoriel "Recherche"

aurelied23 · Answer

rere!!!la j ai eu plus de mal a suivre voici j espere que sa ira ############################## | UsbFix 7.016 | [Recherche]

Utilisateur: la famille (Administrateur) # LA-12A198C118F1 [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 18:13:48 | 09/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Celeron(R) CPU 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 447 Mo 
C:\ (%systemdrive%) -> Disque fixe # 141 Go (27 Go libre(s) - 19%) [] # NTFS
D:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{6b40ae73-5924-11df-b8b6-00115b46692b}
Shell\AutoRun\Command = I:\DPFMate.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

aurelied23 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:01:17 le 09/07/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
la famille@LA-12A198C118F1 ( ) 
 
============== ACTION(S) ==============


3,Fichier supprimé: C:\WINDOWS\system32\47cbe9b0.exe
3,Fichier supprimé: C:\WINDOWS\system32\xehzyddrwoxmvctk.exe
0,Fichier supprimé: C:\WINDOWS\system32\Macromed\Flash\FlashPlayerTrust\UnifiedToolbar.cfg
0,Dossier supprimé: C:\Documents and Settings\la famille\Application Data\Macromedia\Flash Player\
0,Dossier supprimé: C:\Documents and Settings\la famille\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Program Files\Conduit
0,Dossier supprimé: C:\Documents and Settings\la famille\Local Settings\Application Data\Kiwee Toolbar

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
1,Clé supprimée: HKLM\Software\Classes\Interface\{3E16A203-C0AA-4D44-ACC5-38A70A8C76DA}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{C7403C30-3644-43D8-A82F-4BD84B9682D9}
3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\47cbe9b0
3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xehzyddrwoxmvctk
3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xzfrxfdsxlcsiaxr
0,Clé supprimée: HKLM\Software\Classes\AG.MediaPlayerCOM
0,Clé supprimée: HKLM\Software\AGI
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKLM\Software\SweetIM
0,Clé supprimée: HKCU\Software\AGI
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\SweetIM
0,Clé supprimée: HKU\.DEFAULT\Software\Conduit
0,Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Sweetim
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0BC6E3FA-78EF-4886-842C-5A1258C4455A}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0BC6E3FA-78EF-4886-842C-5A1258C4455A}
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
0,Clé supprimée: HKLM\Software\Microsoft\Code Store Database\Distribution Units\CabBuilder

0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{EEE6C35B-6118-11DC-9C72-001320C79847}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
SearchAssistant: 
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 15 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 09/07/2010 (1013 Octet(s)) 

Fin à: 18:03:06, 09/07/2010 
 
============== E.O.F ==============

fred08700 · Answer

ok , fais dans cet ordre

* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Double clique sur le raccourci UsbFix sur ton Bureau
* Clique sur "Suppression"
* Laisse travailler l'outil
* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)/list

:!: UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : Tutoriel "Nettoyage"

***************************

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes en gras suivantes et place les dans ZHPFix :

----------------------------------------------------------

O64 - Services: CurCS - (.not file.) - wzkdxu (wzkdxu)  .(.Pas de propriétaire - Pas de description.) - LEGACY_WZKDXU
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified    
O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} . (.SimplyGen - AutocompletePro - Helps you search the web.) -- C:\Program Files\AutocompletePro\AutocompletePro.dll 
O16 - DPF: CabBuilder (CabBuilder) - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab   
----------------------------------------------------------

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse 

***************************

refais un scan avec ZHPdiag et poste le nouveau rapport

Si quelque chose t'échappe , n'hésites pas

aurelied23 · Answer

Il me semble que mon pc va mieu je n aie plus de message je te remercie pour tes competences et pour le temps que tu as pris pour m aidé !!juste une derniere question les rapports ainsi que ts ce que j ai telechargé dois je les supprimés????????Merci encore pour ton aide

fred08700 · Answer

Aurélie

la désinfection n'est pas terminée. Si on arrête maintenant , cela n'aura servi à rien.
Fait ce que je te prescris si tu veux vraiment enlever tout les nuisibles dans ton pc.
Sinon , comme tu es la seule juge , je te dirais comment supprimer les outils de désinfection

dans l'attente , fred

aurelied23 · Answer

ok , fred je te fais entierement confiance si tu pense qu il faut aller plus loin allons y !!!!

aurelied23 · Answer

qu est ce usb fix g pas sa sur mon bureau et pour la 2eme partie j e t aie deja envoyé le rapport

fred08700 · Answer

* Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. 
Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
* Clique sur "Suppression"
* Laisse travailler l'outil
* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)/list

:!: UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : Tutoriel "Nettoyage"

**************************

ensuite , il me faut le rapport ZHPfix et un nouveau scan ZHPdiag

https://forums.commentcamarche.net/forum/affich-18434096-heur-html-malware#7

aurelied23 · Answer

Rapport de ZHPFix v1.12.3118 par Nicolas Coolman, Update du 07/07/2010
Fichier d'export Registre : 
Run by la famille at 09/07/2010 19:00:15
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé du Registre ==========
O64 - Services: CurCS - (.not file.) - wzkdxu (wzkdxu) .(.Pas de propriétaire - Pas de description.) - LEGACY_WZKDXU  => Clé supprimée avec succès
O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} . (.SimplyGen - AutocompletePro - Helps you search the web.) -- C:\Program Files\AutocompletePro\AutocompletePro.dll  => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]  => Clé supprimée avec succès
[HKCR\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]  => Clé supprimée avec succès
O16 - DPF: CabBuilder (CabBuilder) - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab  => Clé supprimée avec succès

========== Elément de données du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès

========== Fichier ==========
c:\program files\autocompletepro\autocompletepro.dll  => Supprimé et mis en quarantaine

========== Autre ==========
----------------------------------------------------------  => Format Non supporté


========== Récapitulatif ==========
5 : Clé du Registre
1 : Elément de données du Registre
1 : Fichier
1 : Autre


End of the scan
VOILA C BON POUR TOI

fred08700 · Answer

re

il manque toujours le rapport de suppression de USBfix

et le nouveau scan ZHPdiag

Une chose : Quand on écrit comme ceci : VOILA C BON POUR TOI en majuscules dans un forum , cela exprime la colère.

Je ne fais pas tout ça pour t'em***der , ce n'est pas mon pc qui est infecté. Si tu veux arrêter , libre à toi.

Ce que je demande est écrit chronologiquement , il n'y a qu'à lire et suivre les instructions

aurelied23 · Answer

bjrs , tres etonné de ton message je ne suis pas en colere du tout je te demande juste si ce que j ai envoyé c est bon pour toi (au cas ou jme serais tromper)

je m absente toute la journee , jespere que tu accepteras encore de m aider .Mon frere ainé qui est flic a un college tres calé en informatique le soucis c es qu il est en vacance je n aie donc personne pour m aidé j essaie de t envoyé se que tu me demande!!!

aurelied23 · Answer

voici le rapport usb fix############################## | UsbFix 7.016 | [Suppression]

Utilisateur: la famille (Administrateur) # LA-12A198C118F1 [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 07:50:37 | 10/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Celeron(R) CPU 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 447 Mo 
C:\ (%systemdrive%) -> Disque fixe # 141 Go (27 Go libre(s) - 19%) [] # NTFS
D:\ -> CD-ROM
I:\ -> Disque amovible # 7 Go (6 Go libre(s) - 82%) [PATRIOT] # FAT32

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[08/03/2010 - 16:35:12 | DC ] 	C:\849db13fe14e0f22e03b847a75
[09/07/2010 - 18:03:07 | AC | 4435] 	C:\Ad-Report-CLEAN[1].txt
[07/03/2010 - 17:08:17 | AC | 0] 	C:\AUTOEXEC.BAT
[09/07/2010 - 20:11:21 | RASHDC ] 	C:\Autorun.inf
[07/03/2010 - 21:38:13 | SHC | 212] 	C:\boot.ini
[28/08/2001 - 16:00:00 | RASHC | 4952] 	C:\Bootfont.bin
[26/04/2010 - 19:35:28 | HD ] 	C:\CanoScan
[09/07/2010 - 13:38:38 | SHDC ] 	C:\Config.Msi
[07/03/2010 - 17:08:17 | AC | 0] 	C:\CONFIG.SYS
[20/03/2010 - 14:12:43 | HD ] 	C:\C_DILLA
[07/03/2010 - 17:16:06 | D ] 	C:\Documents and Settings
[07/03/2010 - 17:08:17 | RASHC | 0] 	C:\IO.SYS
[07/03/2010 - 17:08:17 | RASHC | 0] 	C:\MSDOS.SYS
[13/04/2008 - 09:43:04 | RASH | 47564] 	C:\NTDETECT.COM
[13/04/2008 - 11:31:52 | RASH | 252240] 	C:
tldr
[10/07/2010 - 07:39:42 | ASH | 704643072] 	C:\pagefile.sys
[07/03/2010 - 17:41:42 | D ] 	C:\Pilotes-pciv92v4v4l
[09/07/2010 - 18:04:16 | RD ] 	C:\Program Files
[10/07/2010 - 07:52:15 | SHD ] 	C:\RECYCLER
[07/03/2010 - 17:14:38 | SHD ] 	C:\System Volume Information
[10/07/2010 - 07:52:15 | DC ] 	C:\UsbFix
[10/07/2010 - 07:52:16 | AC | 804] 	C:\UsbFix.txt
[09/07/2010 - 18:04:55 | D ] 	C:\WINDOWS
[09/07/2010 - 19:00:15 | AC | 23356] 	C:\ZHPExportRegistry-09-07-2010-19-00-15.txt

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

fred08700 · Answer

bonjour

pas de souci , ne t'inquiète pas.

relances ZHPdiag (message 1 ) et refais un nouveau scan , puis poste le nouveau rapport

HEUR/HTML.Malware

16 réponses

Discussions similaires