Demande d'aide pour éradiquer 1037824,6

Klem125 -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

Je galère déjà depuis une semaine avec un trojan qui se nommerait 1037824,6 et qui se trouverait dans explorer.exe
Je suis dans le cas de certaines autres personnes de ce forum : j'ai tenté 10 fois de lui dire de le supprimer/ de le mettre en quarantaine ou autre mais celui-ci revient sans cesse.
De plus un anti-virus assez bizarre (nommé Sécurity Suite), que je n'ai jamais installé volontairement me bloque de nombreux programmes comme le bloc note, mon gestionnaire internet, le gestionnaire des tâches,...

J'oubliais de préciser que mon ordi est normalement protéger par Avira.

En espérant que vous pourrez m'aider je vous souhaite à toutes et à tous une bonne matinée.

21 réponses

  • 1
  • 2
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Tu es infecté par un rogue un faux anti spyware.
    On va analyser ton PC:
    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Si tu as des soucis avec le lien ci-dessous va sur sur sur ce lien et clique sur le téléchargement en fin de page:
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    1
    1. Klem125
       
      Désolé, mais je n'arrive pas à télécharger ZHPDiag.exe : dès que je lance le téléchargement à partir de tes liens ou de d'autres plateformes trouvées sur Internet je reçois un rapport d'erreur et le téléchargement ne se fait pas...
      0
    2. Klem125
       
      C'est bon j'ai réussi à letélécharger en passant par un autre navigateur, il fait son analyse à présent.
      0
  2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu peux mettre ce rapport d'erreur

    Smart
    0
  3. Klem125
     
    Voilà après ces quelques péripéties, j'ai reçu ce lien :

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijVcolCR3.txt

    Merci de ton aide
    0
  4. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    He bien. On pourrait donner ton PC en exemple à des éléves tellement il y a d'infections.
    Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

    - N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre) - N'hésite pas à poser des questions en cas de besoin ;)
    - Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
    - La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.

    Tout d'abord tu vas faire ceci:
    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
    - Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
    - Déconnecte toi et ferme toutes les applications en cours
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Ensuite tu fais ceci:
    - Télécharge Malwarebytes
    - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
    - Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    - L'analyse peut durer un bon moment.....
    - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Cela fait donc deux rapports à poster

    Smart
    0

  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Klem125
     
    Voilà, après 10 heures de scan j'ai réussi à avoir ces deux rapports :

    Voilà le premier

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:34:40 le 31/08/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    Famille@CHADUC ( )

    ============== ACTION(S) ==============

    0,Dossier supprimé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    0,Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
    0,Dossier supprimé: C:\Program Files\Ask.com
    0,Dossier supprimé: C:\Documents and Settings\Famille.CHADUC\Local Settings\Application Data\AskToolbar
    0,Dossier supprimé: C:\Documents and Settings\Famille.CHADUC\Local Settings\Application Data\Conduit
    0,Dossier supprimé: C:\Program Files\Conduit
    0,Dossier supprimé: C:\Documents and Settings\Famille.CHADUC\Menu Démarrer\Programmes\PlayMP3z
    0,Dossier supprimé: C:\Program Files\PlayMP3z
    3,Fichier supprimé: C:\WINDOWS\Installer\2d02d86.msi

    (!) -- Fichiers temporaires supprimés.

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{457C59FC-4C15-4545-8811-1E9427014ACC}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2439704
    0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    0,Clé supprimée: HKLM\Software\Conduit
    0,Clé supprimée: HKLM\Software\Games-Attack
    0,Clé supprimée: HKCU\Software\Ask.com
    0,Clé supprimée: HKCU\Software\AskToolbar
    0,Clé supprimée: HKCU\Software\Conduit
    0,Clé supprimée: HKCU\Software\Games-Attack
    0,Clé supprimée: HKCU\Software\MediaHoldings
    0,Clé supprimée: HKCU\Software\PlayMP3
    0,Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
    0,Clé supprimée: HKCU\Software\AppDataLow\AskHomePage
    0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
    0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PlayMP3z
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\PlayMP3

    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
    0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 22 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 31/08/2010 (1149 Octet(s))

    Fin à: 11:37:55, 31/08/2010

    ============== E.O.F ==============

    Et voilà le second

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4513

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    31/08/2010 22:21:49
    mbam-log-2010-08-31 (22-21-49).txt

    Type d'examen: Examen complet (C:\|F:\|J:\|)
    Elément(s) analysé(s): 312789
    Temps écoulé: 10 heure(s), 17 minute(s), 0 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 10
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 8

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\cooperativeadvertiser.cooperativeadvertiser (Adware.CooperativeAdvertiser) -> No action taken.
    HKEY_CLASSES_ROOT\cooperativeadvertiser.cooperativeadvertiser.1 (Adware.CooperativeAdvertiser) -> No action taken.
    HKEY_CLASSES_ROOT\AppID\{418d86be-7386-4f1a-83e0-53604adbda74} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1bd2970f-9db9-f23a-1aef-71a27de17caf} (Adware.CooperativeAdvertiser) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1bd2970f-9db9-f23a-1aef-71a27de17caf} (Adware.CooperativeAdvertiser) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1bd2970f-9db9-f23a-1aef-71a27de17caf} (Adware.CooperativeAdvertiser) -> No action taken.
    HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\CooperativeAdvertiser (Adware.CooperativeAdvertiser) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CooperativeAdvertiser (Adware.CooperativeAdvertiser) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lramumjq (Rogue.SecuritySuite) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lramumjq (Rogue.SecuritySuite) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

    Dossier(s) infecté(s):
    C:\Program Files\CooperativeAdvertiser (Adware.CooperativeAdvertiser) -> No action taken.

    Fichier(s) infecté(s):
    C:\Documents and Settings\Famille.CHADUC\Local Settings\Application Data\rpsseaing\eaomoeqshdw.exe (Rogue.SecuritySuite) -> No action taken.
    C:\Program Files\Ad-Remover\Quarantine\C\Program Files\PlayMP3z\PlayMP3.exe.vir (Adware.BHO) -> No action taken.
    C:\System Volume Information\_restore{6332E066-DD9D-4C8D-A03E-5E169F9475FD}\RP2\A0008229.exe (Malware.Packer.Gen) -> No action taken.
    C:\System Volume Information\_restore{6332E066-DD9D-4C8D-A03E-5E169F9475FD}\RP2\A0012439.exe (Adware.BHO) -> No action taken.
    C:\Program Files\CooperativeAdvertiser\uninstall.exe (Adware.CooperativeAdvertiser) -> No action taken.
    C:\Documents and Settings\Famille.CHADUC\Menu Démarrer\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
    C:\Documents and Settings\Famille.CHADUC\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> No action taken.
    C:\Documents and Settings\Famille.CHADUC\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> No action taken.

    J'oubliais de dire que tout s'est très bien passé et que je t'en remercie. Tout en te souhaitant bon courage pour "examiner" tout cela...

    Bonne soirée
    0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Je t'avais bien dit que ton PC était bien infecté mais le problème c'est que tu n'as pas bien suivi mes instructions au niveau de MBAM et tu n'as pas fait ceci:
    "Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"

    Je le vois par cette indication dans ton rapport MBAM ==> No action taken.

    Donc il faut que tu relances MBAM (Désolé le scan va encore durer longtemps, car tu es bien infecté), mais n'oublie pas de vérifier que tout bien est coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    Et poste le rapport

    Smart
    0
    1. Klem125
       
      Oh la grosse bourde....

      Désolé de cette erreur, je viens de relancer le scan...
      Par contre je vois déjà une nette amélioration : le rogue ne m'embête plus et il ne parle plus de mon trojan, tant mieux.

      Merci de ton aide
      0
  8. Klem125
     
    Le scan vient de se terminer en un temps record (moins de 3 heures) et l'antivirus a pu supprimer un rogue : voilà le second rapport :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4513

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    01/09/2010 10:39:34
    mbam-log-2010-09-01 (10-39-34).txt

    Type d'examen: Examen complet (C:\|F:\|)
    Elément(s) analysé(s): 306129
    Temps écoulé: 2 heure(s), 41 minute(s), 49 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{6332E066-DD9D-4C8D-A03E-5E169F9475FD}\RP2\A0012454.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.

    Par contre le trojan me casse les pieds pour tant il n'a pas était trouvé par le scan...
    Encore merci pour ta patience
    0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Relance MBAM et vide la quarantaine.
    Lance AD-R et choisis désinstaller
    Retélélecharge le toute dernière version de ZHPDiag (il y a des nouvelles versions tous les jours en ce moment) et réinstalle la. Elle se réinstallera par dessus l'ancienne ==>
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Refais un scan ZHPdiag et poste le rapport via cijoint

    Smart
    0
  10. Klem125
     
    Voilà le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201009/cij83S4ZVr.txt
    0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Maintenantt tu vas faire ceci:
    - Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    -Clique sur "Recherche"
    - Laisse travailler l'outil
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : Tutoriel "Recherche"

    Smart
    0
  12. Klem 125
     
    Après l'analyse j'ai eu ce rapport :

    ############################## | UsbFix 7.022 | [Recherche]

    Utilisateur: Famille (Administrateur) # CHADUC [ ]
    Mis à jour le 29/08/10 par El Desaparecido / C_XX
    Lancé à 20:15:22 | 01/09/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
    CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Activé
    RAM -> 1022 Mo
    C:\ (%systemdrive%) -> Disque fixe # 98 Go (25 Go libre(s) - 26%) [system] # NTFS
    D:\ -> CD-ROM
    E:\ -> CD-ROM
    F:\ -> Disque fixe # 200 Go (166 Go libre(s) - 83%) [Data] # NTFS
    G:\ -> Disque amovible # 15 Go (4 Go libre(s) - 26%) [USB] # FAT32
    H:\ -> CD-ROM
    I:\ -> CD-ROM
    J:\ -> Disque amovible # 4 Go (10 Mo libre(s) - 0%) [] # FAT32
    K:\ -> Disque amovible # 4 Go (2 Go libre(s) - 61%) [CLÉMENT] # FAT32

    ################## | Éléments infectieux |

    Présent! I:\Autorun.inf
    Présent! G:\explorer.exe

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{3fadbb5a-ebcd-11dd-b525-4d6564696130}
    Shell\AutoRun\Command = I:\LaunchU3.exe -a

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va faire le nettoyage et la vaccination:
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau
    - Clique sur "Suppression"
    - Laisse travailler l'outil
    - Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    /!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Aide en images : "Nettoyage"

    Smart
    0
  14. Klem 125
     
    Voilà, j'ai envoyer le rapport pour contribuer à l'amélioration de USB Fix : voici le même pour toi :

    ############################## | UsbFix 7.022 | [Suppression]

    Utilisateur: Famille (Administrateur) # CHADUC [ ]
    Mis à jour le 29/08/10 par El Desaparecido / C_XX
    Lancé à 21:30:28 | 01/09/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
    CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Activé
    RAM -> 1022 Mo
    C:\ (%systemdrive%) -> Disque fixe # 98 Go (25 Go libre(s) - 25%) [system] # NTFS
    D:\ -> CD-ROM
    E:\ -> CD-ROM
    F:\ -> Disque fixe # 200 Go (166 Go libre(s) - 83%) [Data] # NTFS
    G:\ -> Disque amovible # 15 Go (4 Go libre(s) - 26%) [USB] # FAT32
    H:\ -> CD-ROM
    I:\ -> CD-ROM
    J:\ -> Disque amovible # 4 Go (10 Mo libre(s) - 0%) [] # FAT32
    K:\ -> Disque amovible # 4 Go (2 Go libre(s) - 61%) [CLÉMENT] # FAT32

    ################## | Éléments infectieux |

    Non supprimé ! I:\Autorun.inf
    Supprimé! G:\explorer.exe

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Listing |

    [25/03/2010 - 19:09:24 | D ] C:\ActivDoc
    [25/03/2010 - 19:09:25 | D ] C:\audiograbber
    [11/10/2007 - 18:00:52 | A | 0] C:\AUTOEXEC.BAT
    [19/05/2009 - 12:32:09 | SH | 216] C:\boot.ini
    [05/08/2004 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
    [22/08/2010 - 11:13:59 | SHD ] C:\Config.Msi
    [11/10/2007 - 18:00:52 | A | 0] C:\CONFIG.SYS
    [29/08/2010 - 18:15:48 | D ] C:\Documents and Settings
    [13/05/2010 - 11:58:41 | D ] C:\FC01
    [03/05/2008 - 11:01:55 | D ] C:\FFTemp.$$$
    [11/10/2007 - 18:00:52 | RASH | 0] C:\IO.SYS
    [11/10/2007 - 18:00:52 | RASH | 0] C:\MSDOS.SYS
    [13/11/2009 - 18:55:16 | RHD ] C:\MSOCache
    [05/08/2004 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
    [10/09/2008 - 15:36:32 | RASH | 252240] C:\ntldr
    [01/09/2010 - 14:51:26 | ASH | 1610612736] C:\pagefile.sys
    [01/09/2010 - 13:36:26 | RD ] C:\Program Files
    [17/11/2009 - 21:44:10 | D ] C:\Python26
    [01/09/2010 - 21:59:06 | SHD ] C:\RECYCLER
    [30/08/2010 - 22:55:43 | A | 327] C:\rkill.log
    [07/11/2009 - 10:00:30 | D ] C:\SCOQI
    [20/10/2007 - 18:58:45 | D ] C:\Sierra
    [05/01/2010 - 20:25:18 | D ] C:\SIMULAT
    [17/06/2008 - 15:09:24 | AH | 268] C:\sqmdata00.sqm
    [16/09/2008 - 20:56:33 | AH | 268] C:\sqmdata01.sqm
    [17/09/2008 - 06:03:06 | AH | 268] C:\sqmdata02.sqm
    [02/10/2008 - 06:17:09 | AH | 268] C:\sqmdata03.sqm
    [16/10/2008 - 18:52:38 | AH | 232] C:\sqmdata04.sqm
    [17/10/2008 - 06:16:40 | AH | 268] C:\sqmdata05.sqm
    [31/10/2008 - 09:40:35 | AH | 268] C:\sqmdata06.sqm
    [01/11/2008 - 10:56:14 | AH | 268] C:\sqmdata07.sqm
    [01/11/2008 - 16:45:01 | AH | 232] C:\sqmdata08.sqm
    [16/11/2008 - 09:56:58 | AH | 268] C:\sqmdata09.sqm
    [01/12/2008 - 19:46:12 | AH | 232] C:\sqmdata10.sqm
    [17/12/2008 - 07:07:37 | AH | 268] C:\sqmdata11.sqm
    [31/12/2008 - 11:03:34 | AH | 268] C:\sqmdata12.sqm
    [17/06/2008 - 15:09:24 | AH | 244] C:\sqmnoopt00.sqm
    [16/09/2008 - 20:56:33 | AH | 244] C:\sqmnoopt01.sqm
    [17/09/2008 - 06:03:06 | AH | 244] C:\sqmnoopt02.sqm
    [02/10/2008 - 06:17:09 | AH | 244] C:\sqmnoopt03.sqm
    [16/10/2008 - 18:52:38 | AH | 244] C:\sqmnoopt04.sqm
    [17/10/2008 - 06:16:40 | AH | 244] C:\sqmnoopt05.sqm
    [31/10/2008 - 09:40:35 | AH | 244] C:\sqmnoopt06.sqm
    [01/11/2008 - 10:56:14 | AH | 244] C:\sqmnoopt07.sqm
    [01/11/2008 - 16:45:01 | AH | 244] C:\sqmnoopt08.sqm
    [16/11/2008 - 09:56:58 | AH | 244] C:\sqmnoopt09.sqm
    [01/12/2008 - 19:46:12 | AH | 244] C:\sqmnoopt10.sqm
    [17/12/2008 - 07:07:37 | AH | 244] C:\sqmnoopt11.sqm
    [31/12/2008 - 11:03:34 | AH | 244] C:\sqmnoopt12.sqm
    [27/08/2010 - 16:09:49 | SHD ] C:\System Volume Information
    [19/08/2010 - 16:45:05 | A | 3] C:\t.tmp
    [01/09/2010 - 21:59:24 | D ] C:\UsbFix
    [01/09/2010 - 21:59:24 | A | 1098] C:\UsbFix.txt
    [31/08/2010 - 13:29:56 | D ] C:\virus
    [01/09/2010 - 07:40:11 | D ] C:\WINDOWS
    [14/05/2010 - 17:08:15 | D ] C:\xcas
    [31/05/2008 - 22:31:17 | D ] F:\2ed9c2e965353306cca2ac049c98c6
    [09/08/2009 - 03:07:45 | D ] F:\434a5eed386e7807864cbc23
    [29/08/2010 - 21:13:38 | D ] F:\bb22f8f91b3b4260038b6ef7
    [31/05/2008 - 22:30:49 | D ] F:\c23349ea3d66a59143e0c7
    [17/07/2010 - 21:45:27 | RD ] F:\Mes Documents
    [19/08/2010 - 16:45:22 | D ] F:\Programme
    [01/09/2010 - 21:59:06 | SHD ] F:\RECYCLER
    [12/10/2007 - 16:34:19 | SHD ] F:\System Volume Information
    [13/07/2010 - 13:29:38 | D ] F:\temp
    [25/10/2009 - 20:31:48 | D ] F:\tmp
    [06/04/2010 - 22:23:52 | D ] G:\musique
    [06/04/2010 - 22:25:22 | D ] G:\film
    [01/07/2010 - 20:20:38 | D ] G:\photos 1 juillet 2010
    [23/10/2007 - 09:22:58 | R | 283] I:\autorun.inf
    [23/10/2007 - 10:36:30 | R | 5229377] I:\LaunchPad.zip
    [23/10/2007 - 09:45:39 | R | 1336632] I:\LaunchU3.exe
    [26/01/2009 - 18:19:14 | HD ] J:\System
    [23/10/2007 - 09:45:40 | RA | 1336632] J:\LaunchU3.exe
    [06/04/2010 - 14:42:44 | D ] J:\Méca
    [03/04/2010 - 07:45:10 | D ] J:\TPE Sarah, Clément et Florent
    [06/04/2010 - 21:53:04 | A | 57847] J:\consejos español.docx
    [29/04/2010 - 15:50:10 | D ] J:\élec
    [04/05/2010 - 10:59:56 | D ] J:\ECJS
    [06/05/2010 - 15:41:00 | D ] J:\Documents
    [20/05/2010 - 09:47:00 | D ] J:\Cambodge
    [02/06/2010 - 14:45:10 | A | 1626] J:\BOOTEX.LOG
    [15/06/2010 - 06:42:46 | D ] J:\BAC
    [14/07/2010 - 16:06:10 | D ] J:\clé 2
    [01/09/2010 - 07:38:06 | D ] J:\Pro Cycling Manager - Season 2009
    [11/03/2010 - 21:41:28 | D ] K:\Vidéo et photo maquette
    [30/08/2010 - 10:41:40 | A | 3427712] K:\ccsetup235.exe
    [15/03/2010 - 18:16:58 | D ] K:\Clément
    [01/09/2010 - 07:40:32 | D ] K:\Pro Cycling Manager - Season 2009

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_CHADUC.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    ################## | E.O.F |

    Bonne nuit
    0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. Refais un scan ZHPPdiag et poste le rapport via ci-joint, pour faire encore une vérification

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  16. Klem 125
     
    Voilà :

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijLXy7UHJ.txt
    0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il reste encore des traces:
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
    O4 - HKCU\..\Run: [newsecureapp70700.exe] C:\Documents and Settings\Famille.CHADUC\Application Data\AF7E9EEF921C1E7F0BF2CEC1584388B6\newsecureapp70700.exe (.not file.)
    O4 - HKUS\S-1-5-21-1202660629-606747145-839522115-1004\..\Run: [newsecureapp70700.exe] C:\Documents and Settings\Famille.CHADUC\Application Data\AF7E9EEF921C1E7F0BF2CEC1584388B6\newsecureapp70700.exe (.not file.)
    [HKCU\Software\wnxmal]
    [HKLM\Software\ImInstaller]
    O53 - SMSR:HKLM\...\startupreg\MSys32 [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Sectors of Death\Web\morfitwebentrance.exe
    [HKCU\Software\fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf< fAfvfSfP [fVf#f"]
    [HKLM\Software\4da]
    [HKLM\Software\54c]
    [HKLM\Software\5dc]
    [HKLM\Software\5e3]
    [HKCU\Software\sysM32]

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    0
  18. Klem 125
     
    Voici le rapport :

    Rapport de ZHPFix v1.12.3142 par Nicolas Coolman, Update du 31/08/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-03-09-2010-16-05-19.txt
    Run by Famille at 03/09/2010 16:05:17
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKCU\Software\wnxmal => Clé supprimée avec succès
    HKLM\Software\ImInstaller => Clé supprimée avec succès
    O53 - SMSR:HKLM\...\startupreg\MSys32 [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Sectors of Death\Web\morfitwebentrance.exe => Clé supprimée avec succès
    HKCU\Software\fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf< fAfvfSfP [fVf#f" => Clé absente
    HKLM\Software\4da => Clé supprimée avec succès
    HKLM\Software\54c => Clé supprimée avec succès
    HKLM\Software\5dc => Clé supprimée avec succès
    HKLM\Software\5e3 => Clé supprimée avec succès
    HKCU\Software\sysM32 => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O4 - HKCU\..\Run: [newsecureapp70700.exe] C:\Documents and Settings\Famille.CHADUC\Application Data\AF7E9EEF921C1E7F0BF2CEC1584388B6\newsecureapp70700.exe (.not file.) => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-1202660629-606747145-839522115-1004\..\Run: [newsecureapp70700.exe] C:\Documents and Settings\Famille.CHADUC\Application Data\AF7E9EEF921C1E7F0BF2CEC1584388B6\newsecureapp70700.exe (.not file.) => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

    ========== Fichier(s) ==========
    c:\documents and settings\famille.chaduc\application data\af7e9eef921c1e7f0bf2cec1584388b6\newsecureapp70700.exe => Fichier supprimé au reboot
    c:\program files\sectors of death\web\morfitwebentrance.exe => Fichier supprimé au reboot

    ========== Récapitulatif ==========
    9 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    2 : Fichier(s)

    End of the scan

    Maintenant je dois redémarrer windows
    0
    1. Klem 125
       
      Il y a toujours ce trojan qui est détecté au démarrage... J'ai refait un petit scan avec ZHPDiag :

      http://www.cijoint.fr/cjlink.php?file=cj201009/cijHGxfwya.txt
      0
  19. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Est-ce que tu as redémarré le PC avant de faire le scan ZHPDiag ?

    Smart
    0
  20. Klem 125
     
    Oui je l'ai redémarrer avant de faire le scan de ZHPDiag....
    0
  21. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Le rapport ne montre plus rien d'infectieux à priori. On va faire quand même une vérification:
    Relance MBAM,
    - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
    - Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    - L'analyse peut durer un bon moment.....
    - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Smart
    0
  • 1
  • 2

Discussions similaires

Infection par le virus "conficker"
nelly -
anthony5151 -

42 réponses
Comment éradiquer totalav
jack49 -
jack49 -

2 réponses
FBDowloader impossible à éradiquer
Pseudonyme -
chris63 -

30 réponses
eradiquer WPS Office
dobyone -
bazfile -

33 réponses
Pour éradiquer le ver W32/Conficker
Darckiller -
tifa80 -

6 réponses