Antilmalware doctor

talina -  
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai suivi téléchargé zhpdiag et envoyé mon fichier sur cijoint.fr
Que dois-je faire à présent

8 réponses

  1. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    Poste le lien du rapport stp

    ++
    0
    1. talina
       
      Je vous poste le rapport complet du bloc note ?

      j'ai un peu de mal
      0
  2. talina
     
    Merci.

    Je vous poste le rapport complet du bloc note ?
    0
    1. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
       
      Quand vous avez mit le rapport ZHPdiag sur ci-joint il vous a donner un lien. C'est ce lien qu'il faut me copier/coller dans votre prochaine réponse.

      @+
      0
    2. talina
       
      http://www.cijoint.fr/cjlink.php?file=cj201008/cijnhpBFEc.txt
      0
  3. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    Poua ! Y'en a du monde dedans, il faudrait à l'avenir être plus vigilent !

    Tu est infecté par plusieurs toolbars : Ask, pdfforge mais aussi par Search Settings. Ces logiciels retransmettent à des serveurs tiers tes habitudes de surf. Ils s'installent par l'intermédiaire de programme que toi même tu installe, il faut être attentif à l'installation et décocher l'ajout de toolbars.

    ▶ Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/

    ▶ Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.

    ▶ Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

    ▶ Double clique sur AD-R

    * Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"

    ▶ Au menu principal clic sur [ NETTOYER ].

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin.

    ( le rapport est sauvegardé aussi sous C:\Ad-report.log )

    Ensuite tu est aussi infecté par deux rogues !
    1/ Anti malware doctor
    2/ AVSecuritySuite


    Ces logiciels te font croire que tu a des infections, modifie ton fond d'écran, et te demande de payer pour sois disant supprimer les malwares qui n'existent pas !

    1/

    ▶ Télécharge Rkill de Grinler.com

    ▶ Double-cliquez dessus pour le lancer, le logiciel peut prendre du temps !

    Note : Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

    2/

    ▶ Télécharge malwarebyte's anti-malware

    ▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

    Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    ▶ Lance une analyse complète en cliquant sur "<gras>Exécuter un examen complet
    "

    ▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

    ▶ L'analyse peut durer un bon moment.....

    ▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

    ▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

    ▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

    Déjà, avec sa de fait on y verra beaucouuuup plus clair.

    @+
    0
    1. talina
       
      ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

      Mis à jour par C_XX le 26/07/10 à 12:00
      Contact: AdRemover.contact[AT]gmail.com
      Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

      C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:12:32 le 12/08/2010, Mode normal

      Microsoft Windows XP Édition familiale Service Pack 2 (X86)
      Propriétaire@PC ( )

      ============== ACTION(S) ==============

      Service: "BarDiscover Service" Stoppé et supprimé

      0,Dossier supprimé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
      0,Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
      0,Dossier supprimé: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\AskSearch
      0,Fichier supprimé: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ASKSUTBLOG
      0,Dossier supprimé: C:\Program Files\Ask.com
      0,Dossier supprimé: C:\Documents and Settings\Propriétaire\Local Settings\Application Data\AskToolbar
      0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\bardiscover
      0,Dossier supprimé: C:\Program Files\bardiscover
      3,Fichier supprimé: C:\WINDOWS\Installer\1c40860.msi
      0,Fichier supprimé: C:\Documents and Settings\Propriétaire\Local Settings\Application Data\fewphib_nav.dat
      2,Fichier supprimé: C:\Documents and Settings\Propriétaire\Local Settings\Application Data\fewphib.dat
      0,Fichier supprimé: C:\Documents and Settings\Propriétaire\Local Settings\Application Data\fewphib_navps.dat

      (!) -- Fichiers temporaires supprimés.


      1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
      1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
      1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
      1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
      1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
      1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
      1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
      1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
      1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
      1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
      3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fewphib
      0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
      0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
      0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
      1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
      0,Clé supprimée: HKLM\Software\bardiscover
      0,Clé supprimée: HKLM\Software\Games-Attack
      0,Clé supprimée: HKCU\Software\Ask.com
      0,Clé supprimée: HKCU\Software\AskToolbar
      0,Clé supprimée: HKCU\Software\fcn
      0,Clé supprimée: HKCU\Software\Games-Attack
      0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
      3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
      3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
      3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
      0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
      0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\BarDiscover

      3,Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|fewphib
      0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
      0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
      0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


      ============== SCAN ADDITIONNEL ==============

      ** Internet Explorer Version [8.0.6001.18702] **

      [HKCU\Software\Microsoft\Internet Explorer\Main]
      AutoHide: yes
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Do404Search: 0x01000000
      Enable Browser Extensions: yes
      Local Page: C:\WINDOWS\system32\blank.htm
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Show_ToolBar: yes
      Start Page: hxxp://fr.msn.com/
      Use Custom Search URL: 1

      [HKLM\Software\Microsoft\Internet Explorer\Main]
      Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Delete_Temp_Files_On_Exit: yes
      Local Page: C:\WINDOWS\system32\blank.htm
      Search bar: hxxp://search.msn.com/spbasic.htm
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start Page: hxxp://fr.msn.com/

      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm

      ========================================

      C:\Program Files\Ad-Remover\Quarantine: 28 Fichier(s)
      C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

      C:\Ad-Report-CLEAN[1].txt - 12/08/2010 (1500 Octet(s))

      Fin à: 00:17:06, 12/08/2010

      ============== E.O.F ==============
      0
    2. talina
       
      voici le rapport de malwarebyte's anti-malware
      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4420

      Windows 5.1.2600 Service Pack 2
      Internet Explorer 8.0.6001.18702

      12/08/2010 12:18:03
      mbam-log-2010-08-12 (12-18-03).txt

      Type d'examen: Examen complet (C:\|)
      Elément(s) analysé(s): 185883
      Temps écoulé: 1 heure(s), 55 minute(s), 14 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 2

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{258c9770-1713-4021-8d7e-1f184a2bd754} (Adware.ShoppingReport2) -> No action taken.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bdea95cf-f0e6-41e0-bd3d-b00f39a4e939} (Adware.ShoppingReport2) -> No action taken.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*upd_debug.exe (Trojan.FakeAlert) -> No action taken.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Documents and Settings\Propriétaire\Application Data\F1A85B31EC231291D4F4704B37E02497\upd_debug.exe (Trojan.FakeAlert) -> No action taken.
      C:\Documents and Settings\Propriétaire\Application Data\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
      0
  4. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    No action taken.

    Cela signifie que tu n'a rien fait. Relance MBAM et supprime tout ce qu'il a trouvé.

    Ensuite refait un ZHPdiag stp.

    @++
    0
    1. talina
       
      http://www.cijoint.fr/cjlink.php?file=cj201008/cijNDAa62P.txt

      j'ai refait un ZHPdiag
      0
    2. talina
       
      http://www.cijoint.fr/cjlink.php?file=cj201008/cijqjgAca1.txt

      j'ai également refat un zhpdiag

      http://www.cijoint.fr/cjlink.php?file=cj201008/cijNlKEaem.txt

      voilà. Merci
      0
    3. talina
       
      j'ai bien reçu votre message
      j'ai copié le rapport dans zhpfix
      .
      0
    4. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
       
      Faite répondre au lieu d'ajouter un commentaire. Ensuite pouvait vous me mettre le rapport ZHPfix ?

      ++
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut !

    Peux tu re faire le scan car il manque pas mal de lignes.

    ++
    0
  7. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut !

    Il y a les traces d'une infection USB :

    ▶ Télécharge UsbFix et enregistre-le sur ton bureau

    ▶ tutoriel recherche

    ▶ Double-clique sur UsbFix présent sur ton bureau, l'installation se fera automatiquement

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    ▶ Choisi Rechercher

    ▶ Laisse travailler l'outil

    ▶ Ensuite post le rapport UsbFix.txt qui apparaîtra

    * Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

    * Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

    Ensuite

    -> Lance ZHPfix soit par le raccourci présent sur ton bureau ou via ZHPdiag ( dans ce cas clique sur le bouclier vert ) en faisant clic doirt -> Exécuter en tant qu'administrateur

    -> Copie ceci

    HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    O4 - HKCU\..\Run: [secureapp70700.exe] C:\Documents and Settings\Propriétaire\Application Data\F1A85B31EC231291D4F4704B37E02497\secureapp70700.exe (.not file.)
    O4 - HKUS\S-1-5-19\..\Run: [upd_debug.exe] C:\Documents and Settings\Propriétaire\Application Data\F1A85B31EC231291D4F4704B37E02497\upd_debug.exe (.not file.)
    O4 - HKUS\S-1-5-20\..\Run: [upd_debug.exe] C:\Documents and Settings\Propriétaire\Application Data\F1A85B31EC231291D4F4704B37E02497\upd_debug.exe (.not file.)
    O4 - HKUS\S-1-5-21-329068152-492894223-725345543-1003\..\Run: [secureapp70700.exe] C:\Documents and Settings\Propriétaire\Application Data\F1A85B31EC231291D4F4704B37E02497\secureapp70700.exe (.not file.)


    -> Clique sur le H bleu, normalement les lignes sont inscrites.

    -> Clique sur [ OK ] puis sur [ TOUS ] et enfin sur [ NETTOYER ]

    -> copie et colle le rapport de ZHPfix

    ++
    0
    1. talina
       
      Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010
      Fichier d'export Registre :
      Run by Propriétaire at 12/08/2010 23:19:51
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Clé(s) du Registre ==========
      O63 - Logiciel: Ad-Remover By C_XX => Clé supprimée avec succès
      O63 - Logiciel: Usbfix By C_XX & El Desaparecido => Clé supprimée avec succès
      O63 - Logiciel: ZHPDiag 1.26 => Clé supprimée avec succès

      ========== Dossier(s) ==========
      C:\Program Files\Ad-remover => Supprimé et mis en quarantaine
      C:\UsbFix => Supprimé et mis en quarantaine

      ========== Fichier(s) ==========
      c:\documents and settings\propriétaire\bureau\usbfix.exe => Supprimé et mis en quarantaine

      ========== Logiciel(s) ==========
      O63 - Logiciel: Ad-Remover By C_XX => Logiciel supprimé avec succès
      O63 - Logiciel: Usbfix By C_XX & El Desaparecido => Logiciel supprimé avec succès


      ========== Récapitulatif ==========
      3 : Clé(s) du Registre
      2 : Dossier(s)
      1 : Fichier(s)
      2 : Logiciel(s)


      End of the scan
      0
    2. talina
       
      J'ai refait et effectivement je n'avais pas fait la bonne manip.

      Là se pose un nouveau problème ; Impossible de créer le fichier ; "C:\Program Files\ZHPDiag\ZHPfixQuarantine.txt". Accès refusé
      0
  8. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    Tu n'a pas fait ce que j'avais demandé. Relis bien mes instructions !
    0
  9. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Tu es sur Vista, tu a fait clic droit - exécuter en tant qu'administrateur ?

    ++
    0