Sujet Précédent Sujet Suivant

Security Tool

Résolu/Fermé
chachacharlie Messages postés 6 Date d'inscription dimanche 12 septembre 2010 Statut Membre Dernière intervention 12 septembre 2010 - 12 sept. 2010 à 11:35
 Utilisateur anonyme - 12 sept. 2010 à 18:12
Avant tout je dois vous dire que je suis bien médiocre en informatique
Mon antivirus avast était perimé :s je vous l ai dit ... bien médiocre en informatique
J ai attrapé le rogue : Security Tool
j ai donc repris une nouvelle clé pour avast
je suis passé en mode sans echec suite a la lecture des forums
la avast n est plus activé et je n arrive pas à le faire
j ai telechargé Malwarebytes' Anti-Malware
fait une recherche supprimé les fichier infectés
redémarré et ... Securtity Toll est toujours là
J ai essaye de faire des scan virus sur internet ... un seul marche (quickscan) il est a la fin du post
Je pense a reformater mon ordi mais mes cd sont en france et je ne rentre que dans une semaine. Que se passe t il si j éteins mon pc d ici la ? Qu est ce que je risque avec ce virus?
Une autre suggestion ?
J espère que vous pourrez aider la bleu que je suis ... merci d avance :)
Voila mon scan internet qui vient de https://www.bitdefender.com/toolbox/
QuickScan Beta 32-bit v0.9.9.22
-------------------------------
Date de l'analyse : Sun Sep 12 10:32:39 2010
ID de la machine : DC853A8E



Détection de 3 fichiers infectés!
---------------------------------

C:\Users\Charlotte VUARCHEX\AppData\Local\41506856.exe --> Gen:Variant.Kazy.331
--> HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\"41506856"

C:\windows\system32\wininit.exe --> Gen:Trojan.Heur.TP.fq0@b4q1@ch
--> Processus wininit.exe (408)

C:\Users\Charlotte VUARCHEX\AppData\Local\277495886.exe --> Gen:Variant.Kazy.331
--> HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\"277495886"



Processus
---------
<non signé> Système d'exploitation Microsoft® Windo 1444 C:\windows\Explorer.EXE
<non signé> Système d'exploitation Microsoft® Windo 408 C:\windows\system32\wininit.exe

<verifié> avast! Antivirus 1440 C:\Program Files\Alwil Software\Avast5\AvastUI.exe
<verifié> Firefox 1900 C:\Program Files\Mozilla Firefox\firefox.exe
<verifié> Malwarebytes' Anti-Malware 308 C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
<verifié> Microsoft® Windows® Operating System 504 C:\windows\system32\lsass.exe
<verifié> Système d'exploitation Microsoft® Windo 372 C:\windows\system32\csrss.exe
<verifié> Système d'exploitation Microsoft® Windo 416 C:\windows\system32\csrss.exe
<verifié> Système d'exploitation Microsoft® Windo 1504 C:\windows\system32\ctfmon.exe
<verifié> Système d'exploitation Microsoft® Windo 512 C:\windows\system32\lsm.exe
<verifié> Système d'exploitation Microsoft® Windo 488 C:\windows\system32\services.exe
<verifié> Système d'exploitation Microsoft® Windo 284 C:\windows\System32\smss.exe
<verifié> Système d'exploitation Microsoft® Windo 632 C:\windows\system32\svchost.exe
<verifié> Système d'exploitation Microsoft® Windo 708 C:\windows\system32\svchost.exe
<verifié> Système d'exploitation Microsoft® Windo 764 C:\windows\System32\svchost.exe
<verifié> Système d'exploitation Microsoft® Windo 828 C:\windows\system32\svchost.exe
<verifié> Système d'exploitation Microsoft® Windo 876 C:\windows\system32\svchost.exe
<verifié> Système d'exploitation Microsoft® Windo 956 C:\windows\system32\svchost.exe
<verifié> Système d'exploitation Microsoft® Windo 992 C:\windows\system32\svchost.exe
<verifié> Système d'exploitation Microsoft® Windo 1080 C:\windows\system32\svchost.exe
<verifié> Système d'exploitation Microsoft® Windo 1204 C:\windows\System32\svchost.exe
<verifié> Système d'exploitation Microsoft® Windo 1532 C:\windows\system32\svchost.exe
<verifié> Système d'exploitation Microsoft® Windo 468 C:\windows\system32\winlogon.exe


Activité du réseau
------------------
Processus firefox.exe (1900) connecté sur le port 80 (HTTP) --> 91.103.142.129
Processus firefox.exe (1900) connecté sur le port 80 (HTTP) --> 208.81.234.1
Processus firefox.exe (1900) connecté sur le port 80 (HTTP) --> 74.125.43.102
Processus firefox.exe (1900) connecté sur le port 80 (HTTP) --> 88.221.77.115
Processus firefox.exe (1900) connecté sur le port 80 (HTTP) --> 91.103.142.129
Processus firefox.exe (1900) connecté sur le port 80 (HTTP) --> 84.53.146.125

Processus wininit.exe (408) écoute sur les ports: 49152 (RPC)
Processus services.exe (488) écoute sur les ports: 49154 (RPC)
Processus lsass.exe (504) écoute sur les ports: 49155 (RPC)
Processus svchost.exe (708) écoute sur les ports: 135 (RPC)
Processus svchost.exe (764) écoute sur les ports: 49153 (RPC)


Fichiers critiques et Autorun
-----------------------------
<non signé> 277495886.exe C:\Users\Charlotte VUARCHEX\AppData\Local\277495886.exe
<non signé> 41506856.exe C:\Users\Charlotte VUARCHEX\AppData\Local\41506856.exe

<verifié> DAEMON Tools Lite C:\Program Files\DAEMON Tools Lite\DTLite.exe
<verifié> Google Update C:\Program Files\Google\Update\GoogleUpdate.exe
<verifié> GoogleToolbarNotifier C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
<verifié> Intel(R) Common User Interface C:\windows\system32\igfxdev.dll
<verifié> Standalone Scanner Components C:\Program Files\Norton Security Scan\Norton Security Scan\Engine\2.7.3.34\Nss.exe
<verifié> Système d'exploitation Microsoft® Windo c:\windows\system32\userinit.exe
<verifié> Windows Live Messenger C:\Program Files\Windows Live\Messenger\msnmsgr.exe


Plugins du navigateur
---------------------
<non signé> Bonjour C:\Program Files\Bonjour\mdnsNSP.dll
<non signé> nppdf32.DEU C:\Program Files\Mozilla Firefox\plugins\nppdf32.DEU
<non signé> nppdf32.FRA C:\Program Files\Internet Explorer\plugins\nppdf32.FRA
<non signé> nppdf32.FRA C:\Program Files\Mozilla Firefox\plugins\nppdf32.FRA
<non signé> QuickTime Plug-in 7.6.5 C:\Program Files\Internet Explorer\plugins\npqtplugin.dll
<non signé> QuickTime Plug-in 7.6.5 C:\Program Files\Internet Explorer\plugins\npqtplugin2.dll
<non signé> QuickTime Plug-in 7.6.5 C:\Program Files\Internet Explorer\plugins\npqtplugin3.dll
<non signé> QuickTime Plug-in 7.6.5 C:\Program Files\Internet Explorer\plugins\npqtplugin4.dll
<non signé> QuickTime Plug-in 7.6.5 C:\Program Files\Internet Explorer\plugins\npqtplugin5.dll
<non signé> QuickTime Plug-in 7.6.5 C:\Program Files\Internet Explorer\plugins\npqtplugin6.dll
<non signé> QuickTime Plug-in 7.6.5 C:\Program Files\Internet Explorer\plugins\npqtplugin7.dll
<non signé> Silverlight Plug-In C:\Program Files\Microsoft Silverlight\4.0.50524.0\npctrl.dll

<verifié> AcroIEHelperShim Library c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
<verifié> Adobe Acrobat C:\Program Files\Internet Explorer\plugins\nppdf32.dll
<verifié> Adobe Acrobat C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll
<verifié> Adobe PDF Toolbar for IE c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll
<verifié> BitDefender QuickScan C:\Users\Charlotte VUARCHEX\AppData\Roaming\Mozilla\Firefox\Profiles\cg9drvf9.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
<verifié> BitDefender QuickScan C:\Users\Charlotte VUARCHEX\AppData\Roaming\Mozilla\Firefox\Profiles\cg9drvf9.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
<verifié> Download PDF Files C:\Program Files\PlotSoft\PDFill\DownloadPDF.exe
<verifié> Google Toolbar for Internet Explorer c:\program files\google\google toolbar\googletoolbar_32.dll
<verifié> Google Update C:\Program Files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
<verifié> GoogleToolbarNotifier c:\program files\google\googletoolbarnotifier\5.5.5126.1836\swg.dll
<verifié> Java Deployment Toolkit 6.0.180.7 C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
<verifié> Java(TM) Platform SE 6 U18 c:\program files\java\jre6\bin\jp2ssv.dll
<verifié> Microsoft Office Live Plug-in for Firef C:\Program Files\Microsoft\Office Live\npOLW.dll
<verifié> Microsoft® Windows Live Login Helper c:\program files\common files\microsoft shared\windows live\windowslivelogin.dll
<verifié> Microsoft® Windows® Operating System C:\Windows\System32\nlaapi.dll
<verifié> Microsoft® Windows® Operating System C:\Windows\System32\winrnr.dll
<verifié> Microsoft® Windows® Operating System C:\Windows\System32\wshbth.dll
<verifié> Mozilla Default Plug-in C:\Program Files\Mozilla Firefox\plugins\npnul32.dll
<verifié> NPSWF32.dll C:\Windows\System32\Macromed\Flash\NPSWF32.dll
<verifié> Skype add-on for IE c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
<verifié> Système d'exploitation Microsoft® Windo C:\Windows\System32\mswsock.dll
<verifié> Système d'exploitation Microsoft® Windo C:\Windows\System32\NapiNSP.dll
<verifié> Système d'exploitation Microsoft® Windo C:\Windows\System32\pnrpnsp.dll
<verifié> Windows Live® Photo Gallery C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll
<verifié> Windows® Internet Explorer C:\Windows\System32\ieframe.dll


Fichiers manquants
------------------
Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\avp.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejloc"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\avp32.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlo+"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\dy7ooh.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlcd"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\gdi32.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlk+"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\hy3zevu50n.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlcyA"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\iexplarer.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlora"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\p2wfy7.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejldRmd.com/dw/dw.php?id=%s&ver=d01"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\services.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlppf"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\spoolsv.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlrxc"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\taskmgr.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlpsc"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\user.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlqf"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\wininst.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlqvc"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\winlogon.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlqse"

Fichier non trouvé : C:\Users\CHARLO~1\AppData\Local\Temp\y3jned.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvKaPiejlcZ"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\avp.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgme"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\avp32.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgmSc"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\dy7ooh.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgnjc"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\gdi32.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgoMc"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\hy3zevu50n.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgoiUe"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\iexplarer.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgouqc"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\p2wfy7.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgqiQ"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\services.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgrta"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\spoolsv.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgruf"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\taskmgr.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgrrb"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\user.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgre"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\wininst.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgsre"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\winlogon.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgssc"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\Temp\y3jned.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"LvawTKQZkfgscb"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\ovikcnbmr\vtthxstuqiw.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"opsbxlmd"

Fichier non trouvé : C:\Users\Charlotte VUARCHEX\AppData\Local\wwvjcxcww\vkdelqnuqiw.exe
référencé dans : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"ccetsgdv"

Fichier non trouvé : disabled
référencé dans : HLKM\Software\MozillaPlugins\@microsoft.com/GENUINE\"Path"


Analyse
-------
<non signé> MD5: e2757aa6024b99d07b90a3ac8a1c7002 C:\Program Files\Alwil Software\Avast5\1036\Base.dll
<non signé> MD5: 8f281f63e9d416a062fb3a53c170240e C:\Program Files\Alwil Software\Avast5\1036\uiLangRes.dll
<non signé> MD5: b9c3606cc100851ab518360b3b143b56 C:\Program Files\Alwil Software\Avast5\Aavm4h.dll
<non signé> MD5: 9c2de8cc604ca0b9b3159bc1f1f37897 C:\Program Files\Alwil Software\Avast5\AavmRpch.dll
<non signé> MD5: 2e84f62700e169063eb7d7d2141f8c7e C:\Program Files\Alwil Software\Avast5\ashBase.dll
<non signé> MD5: ac954e4d33cd7e7e6d6f73798d4576c3 C:\Program Files\Alwil Software\Avast5\ashTask.dll
<non signé> MD5: 5231300f5e0a59a50eac3f93d2b4c95a C:\Program Files\Alwil Software\Avast5\ashTaskEx.dll
<non signé> MD5: e9ad62f2cda825b7e1b22169d028c4f8 C:\Program Files\Alwil Software\Avast5\aswAux.dll
<non signé> MD5: 73b999eb4fcf3f0b0951cb2c7398548d C:\Program Files\Alwil Software\Avast5\aswCmnBS.dll
<non signé> MD5: 76d0ef658394a209eb5e2dfb248f9df6 C:\Program Files\Alwil Software\Avast5\aswCmnIS.dll
<non signé> MD5: 7573c4352b667e7da363cf4242ad8329 C:\Program Files\Alwil Software\Avast5\aswCmnOS.dll
<non signé> MD5: 4be4d03253a962ca71e69885eaac839b C:\Program Files\Alwil Software\Avast5\aswData.dll
<non signé> MD5: 2dd10103b434f7287ec5714839730f03 C:\Program Files\Alwil Software\Avast5\aswEngLdr.dll
<non signé> MD5: 292e1d9c2f36fd93a5247bef8109c8e2 C:\Program Files\Alwil Software\Avast5\aswLog.dll
<non signé> MD5: 8b21dda956cd984c0e524cd718af9e27 C:\Program Files\Alwil Software\Avast5\aswProperty.dll
<non signé> MD5: 41a27def802426f74137b7e38e7229ac C:\Program Files\Alwil Software\Avast5\aswSqLt.dll
<non signé> MD5: 535c946b02fa300ca8c8ef363e154e65 C:\Program Files\Alwil Software\Avast5\aswUtil.dll
<non signé> MD5: 1a1afd43645750a8966459be45c9a732 C:\Program Files\Alwil Software\Avast5\CommonRes.dll
<non signé> MD5: 8191b615a4927589f7fa954374e79c99 C:\Program Files\Alwil Software\Avast5\defs\10091101\algo.dll
<non signé> MD5: 292f92469efb2fd402e00742c06d539d C:\Program Files\Bonjour\mdnsNSP.dll
<non signé> MD5: f81ca5091c26a92e6b464381b8694e5a C:\Program Files\Internet Explorer\plugins\nppdf32.FRA
<non signé> MD5: f3c81a83d2332cbe12f519e53a7e413c C:\Program Files\Internet Explorer\plugins\npqtplugin.dll
<non signé> MD5: f3c81a83d2332cbe12f519e53a7e413c C:\Program Files\Internet Explorer\plugins\npqtplugin2.dll
<non signé> MD5: f3c81a83d2332cbe12f519e53a7e413c C:\Program Files\Internet Explorer\plugins\npqtplugin3.dll
<non signé> MD5: f3c81a83d2332cbe12f519e53a7e413c C:\Program Files\Internet Explorer\plugins\npqtplugin4.dll
<non signé> MD5: f3c81a83d2332cbe12f519e53a7e413c C:\Program Files\Internet Explorer\plugins\npqtplugin5.dll
<non signé> MD5: f3c81a83d2332cbe12f519e53a7e413c C:\Program Files\Internet Explorer\plugins\npqtplugin6.dll
<non signé> MD5: f3c81a83d2332cbe12f519e53a7e413c C:\Program Files\Internet Explorer\plugins\npqtplugin7.dll
<non signé> MD5: 2cb7c019a1ab8ea3d281c9606d097331 C:\Program Files\Microsoft Silverlight\4.0.50524.0\npctrl.dll
<non signé> MD5: 26b018758226a5dc06de45496c394d40 C:\Program Files\Mozilla Firefox\freebl3.dll
<non signé> MD5: 9dfb30f203999a3ae0f258a33fa598f9 C:\Program Files\Mozilla Firefox\nssdbm3.dll
<non signé> MD5: 8d9d6896ae583b4025e810342b50257e C:\Program Files\Mozilla Firefox\plugins\nppdf32.DEU
<non signé> MD5: f81ca5091c26a92e6b464381b8694e5a C:\Program Files\Mozilla Firefox\plugins\nppdf32.FRA
<non signé> MD5: 1fd6c03c0001a5e1eaf61596c2502f0c C:\Program Files\Mozilla Firefox\softokn3.dll
<non signé> MD5: c70e5284f890e569e5956be055bf76dd C:\Users\Charlotte VUARCHEX\AppData\Local\277495886.exe
<non signé> MD5: 54dfd859662437fd1d3cfb62a575e81a C:\Users\Charlotte VUARCHEX\AppData\Local\41506856.exe
<non signé> MD5: 7744d19ae744b27aa413d24d460a51a7 C:\windows\Explorer.EXE
<non signé> MD5: 0c8705b658beb932cc829c557dfeb23f C:\windows\system32\wininit.exe

Le(s) fichier(s) suivant(s) doit/doivent être téléchargé(s) pour une analyse côté serveur:
C:\windows\system32\wininit.exe
C:\Users\Charlotte VUARCHEX\AppData\Local\277495886.exe

Le téléchargement vers le serveur a démarré - 2 fichier(s)
wininit.exe (96256)
277495886.exe (954880)
Vitesse de téléchargement vers le serveur - 40 KB/s
Téléchargement vers le serveur terminé - 2 téléchargés vers le serveur, 0 ont échoué

Analyse terminée - la communication a duré 28 secondes
Trafic total - 1.12 Mo envoyés, 3.16 Ko reçus
1183 fichiers et modules analysés - 212 seconds

==============================================================================
A voir également:

17 réponses

Réponse 1 / 17
Utilisateur anonyme
12 sept. 2010 à 11:52
bonjour,
* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


2
Réponse 2 / 17
chachacharlie Messages postés 6 Date d'inscription dimanche 12 septembre 2010 Statut Membre Dernière intervention 12 septembre 2010
12 sept. 2010 à 13:01
Merci beaucoup de me répondre déjà ... j espère que j ai fait comme il faut

http://www.cijoint.fr/cjlink.php?file=cj201009/cijjhji7PR.txt
0
Réponse 3 / 17
Utilisateur anonyme
Modifié par Electricien 69 le 12/09/2010 à 13:19
tu es sous seven 32 bit,

encore pas mal d'infections sur ton pc !

* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux!


? Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :

? ferme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
0
chachacharlie Messages postés 6 Date d'inscription dimanche 12 septembre 2010 Statut Membre Dernière intervention 12 septembre 2010
12 sept. 2010 à 13:23
http://www.cijoint.fr/cjlink.php?file=cj201009/cijjhji7PR.txt

merci de m aider ;)
0
Utilisateur anonyme
12 sept. 2010 à 13:24
lis bien ce qui est noté ici :

https://forums.commentcamarche.net/forum/affich-19160118-security-tool#4
0
chachacharlie Messages postés 6 Date d'inscription dimanche 12 septembre 2010 Statut Membre Dernière intervention 12 septembre 2010
12 sept. 2010 à 14:37
pas trop compris ce que j a fait ... (et mal suivi les instructions)
mais si semble que je n a plus de problème ...


ComboFix 10-09-11.03 - Charlotte VUARCHEX 12/09/2010 13:37:53.1.2 - x86 NETWORK
Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.3005.2437 [GMT 2:00]
Lancé depuis: c:\users\Charlotte VUARCHEX\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\FullRemove.exe
c:\users\Charlotte VUARCHEX\.COMMgr
c:\users\Charlotte VUARCHEX\.COMMgr\complmgr.exe
c:\users\Charlotte VUARCHEX\AppData\Local\277495886.exe
c:\users\Charlotte VUARCHEX\AppData\Local\41506856.exe
c:\users\Charlotte VUARCHEX\AppData\Local\ovikcnbmr
c:\users\Charlotte VUARCHEX\AppData\Local\ovikcnbmr\vtthxstuqiw.exe
c:\users\Charlotte VUARCHEX\AppData\Local\wwvjcxcww
c:\users\Charlotte VUARCHEX\AppData\Local\wwvjcxcww\vkdelqnuqiw.exe
c:\users\Charlotte VUARCHEX\AppData\Roaming\5EDDEA81B926AEBE23DAD31B0C13F31B
c:\users\Charlotte VUARCHEX\AppData\Roaming\5EDDEA81B926AEBE23DAD31B0C13F31B\enemies-names.txt
c:\users\Charlotte VUARCHEX\AppData\Roaming\5EDDEA81B926AEBE23DAD31B0C13F31B\local.ini
c:\users\Charlotte VUARCHEX\AppData\Roaming\5EDDEA81B926AEBE23DAD31B0C13F31B\mediafix70700en02.exe
c:\users\Charlotte VUARCHEX\AppData\Roaming\5EDDEA81B926AEBE23DAD31B0C13F31B\upd_debug.exe
c:\users\Charlotte VUARCHEX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
c:\users\Charlotte VUARCHEX\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk
c:\users\Charlotte VUARCHEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor
c:\users\Charlotte VUARCHEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Antimalware Doctor.lnk
c:\users\Charlotte VUARCHEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Uninstall.lnk
c:\users\Charlotte VUARCHEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.lnk
c:\users\Charlotte VUARCHEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk
c:\users\Charlotte VUARCHEX\Desktop\Antimalware Doctor.lnk
c:\windows\SEC
c:\windows\SEC\172100logo.bmp
c:\windows\SEC\banner.png
c:\windows\SEC\Computer.png
c:\windows\SEC\Media _S_ Logo.png
c:\windows\SEC\Samsung.png
c:\windows\SEC\Samsung2.png
c:\windows\SEC\SamsungLogo.png
c:\windows\SEC\Thumbs.db
c:\windows\SEC\Wallpapers\Thumbs.db
c:\windows\SEC\Wallpapers\wallpaper.jpg
c:\windows\SEC\Wallpapers\wallpaper1.jpg
c:\windows\SEC\Wallpapers\Wallpaper2.jpg
c:\windows\system32\cryptnet32.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe

Une copie infectée de c:\windows\System32\wininit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-12 au 2010-09-12 ))))))))))))))))))))))))))))))))))))
.

2010-09-12 11:44 . 2010-09-12 11:50 -------- d-----w- c:\users\Charlotte VUARCHEX\AppData\Local\temp
2010-09-12 11:44 . 2010-09-12 11:44 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-09-12 10:52 . 2010-09-12 10:54 -------- d-----w- c:\program files\ZHPDiag
2010-09-12 08:32 . 2010-09-12 09:43 -------- d-----w- c:\users\Charlotte VUARCHEX\AppData\Roaming\QuickScan
2010-09-12 08:20 . 2010-09-12 08:20 -------- d-----w- c:\windows\Sun
2010-09-11 19:28 . 2010-09-11 19:28 -------- d-----w- c:\users\Charlotte VUARCHEX\AppData\Roaming\Malwarebytes
2010-09-11 19:28 . 2010-09-12 20:32 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-11 19:28 . 2010-09-11 19:28 -------- d-----w- c:\programdata\Malwarebytes
2010-09-11 14:39 . 2010-09-12 11:43 -------- d-----w- c:\users\Charlotte VUARCHEX\AppData\Roaming\5EDDEA81B926AEBE23DAD31B0C13F31B
2010-08-25 09:31 . 2010-04-07 07:10 571904 ----a-w- c:\windows\system32\oleaut32.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-12 20:32 . 2009-09-22 23:17 -------- d-----w- c:\programdata\WinClon
2010-09-12 11:49 . 2010-01-10 15:03 -------- d-----w- c:\program files\Common Files\Akamai
2010-09-12 11:43 . 2010-09-12 11:43 155648 ----a-w- c:\users\Charlotte VUARCHEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\autocatfat.exe
2010-09-11 18:25 . 2010-09-11 18:25 245248 ----a-w- c:\programdata\Microsoft\Windows Defender\LocalCopy\{32C47E2B-1E5F-DA53-3A8F-2608588B2CE3}-vkdelqnuqiw.exe
2010-09-11 14:48 . 2010-01-09 13:25 -------- d-----w- c:\users\Charlotte VUARCHEX\AppData\Roaming\Skype
2010-09-11 14:01 . 2010-01-09 13:28 -------- d-----w- c:\users\Charlotte VUARCHEX\AppData\Roaming\skypePM
2010-09-09 06:08 . 2010-03-28 17:37 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-08-31 11:48 . 2009-09-23 15:31 749490 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-31 11:48 . 2009-09-23 15:31 150526 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-25 14:25 . 2010-09-12 08:32 314816 ----a-w- c:\users\Charlotte VUARCHEX\AppData\Roaming\Mozilla\Firefox\Profiles\cg9drvf9.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2010-08-12 06:17 . 2009-12-20 17:59 -------- d-----w- c:\programdata\Microsoft Help
2010-07-29 06:30 . 2010-08-10 22:04 197632 ----a-w- c:\windows\system32\ir32_32.dll
2010-07-29 06:30 . 2010-08-10 22:04 82944 ----a-w- c:\windows\system32\iccvid.dll
2010-07-18 15:33 . 2010-01-07 21:09 -------- d-----w- c:\users\Charlotte VUARCHEX\AppData\Roaming\vlc
2010-06-30 06:25 . 2010-08-10 22:03 978432 ----a-w- c:\windows\system32\wininet.dll
2010-06-22 02:47 . 2010-08-10 22:03 310784 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-22 02:47 . 2010-08-10 22:03 307200 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-06-22 02:47 . 2010-08-10 22:03 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-06-21 19:00 . 2010-07-11 11:59 501936 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbAC89.tmp.exe
2010-06-19 10:41 . 2010-06-19 10:41 50354 ----a-w- c:\users\Charlotte VUARCHEX\AppData\Roaming\Facebook\uninstall.exe
2010-06-19 06:33 . 2010-08-10 22:03 3955080 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-06-19 06:33 . 2010-08-10 22:03 3899784 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-06-19 06:23 . 2010-08-10 22:03 37376 ----a-w- c:\windows\system32\rtutils.dll
2010-06-19 04:07 . 2010-08-10 22:03 2326016 ----a-w- c:\windows\system32\win32k.sys
2010-06-16 05:48 . 2010-08-10 22:03 224256 ----a-w- c:\windows\system32\schannel.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-05 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*autocatfat.exe"="c:\users\Charlotte VUARCHEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\autocatfat.exe" [2010-09-12 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-03 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-03 174104]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-03 151064]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-19 7711264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-07-14 1541416]
"fsi"="c:\program files\Phoenix Technologies Ltd\FailSafe\FailSafeLauncher.exe" [2009-08-10 9728]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-02-25 218408]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*autocatfat.exe"="c:\users\Charlotte VUARCHEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\autocatfat.exe" [2010-09-12 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

R2 gupdate1ca912f411680cf;Service Google Update (gupdate1ca912f411680cf);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-09 133104]
R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [2010-03-10 25112]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-04 1343400]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-05-15 691696]
S1 aswSP;aswSP; [x]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [2009-05-28 10752]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-04-14 51792]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 122880]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-31 187392]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'

2010-09-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-09 13:25]

2010-09-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-09 13:25]

2010-09-09 c:\windows\Tasks\Norton Security Scan for Charlotte VUARCHEX.job
- c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-05-12 07:48]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:6092
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Charlotte VUARCHEX\AppData\Roaming\Mozilla\Firefox\Profiles\cg9drvf9.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\Charlotte VUARCHEX\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\users\Charlotte VUARCHEX\AppData\Roaming\Mozilla\Firefox\Profiles\cg9drvf9.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-Locked - (no file)
HKCU-Run-AdobeBridge - (no file)
HKCU-Run-mediafix70700en02.exe - c:\users\Charlotte VUARCHEX\AppData\Roaming\5EDDEA81B926AEBE23DAD31B0C13F31B\mediafix70700en02.exe
HKCU-Run-opsbxlmd - c:\users\Charlotte VUARCHEX\AppData\Local\ovikcnbmr\vtthxstuqiw.exe
HKCU-Run-ccetsgdv - c:\users\Charlotte VUARCHEX\AppData\Local\wwvjcxcww\vkdelqnuqiw.exe
HKCU-Run-COM+ Manager - c:\users\Charlotte VUARCHEX\.COMMgr\complmgr.exe
SafeBoot-mcmscsvc
SafeBoot-MCODS



**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys sppq.sys halmacpi.dll >>UNKNOWN [0x855F6938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
IoDeviceObjectType -> DumpProcedure -> 0xd46a624f

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\taskhost.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\program files\Samsung\Samsung Support Center\SSCKbdHk.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\conhost.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\sppsvc.exe
c:\progra~1\samsung\SAMSUN~2\SUPNOT~1.EXE
c:\program files\Common Files\Java\Java Update\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2010-09-12 13:55:44 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-12 11:55

Avant-CF: 97 714 343 936 octets libres
Après-CF: 99 604 746 240 octets libres

- - End Of File - - 448F996D6213EFA4CA4D6955495BDA54
0
Réponse 4 / 17
Utilisateur anonyme
12 sept. 2010 à 14:53
très bien :-)

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

----------------------------------------------------------

Hostfix

----------------------------------------------------------

- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html


une fois hostfix términé, recommence avec zhpfix avec la commande

MBRFIX



tu as déjà MBAM de son nom complet Malwarebytes' Anti-Malware sur ton pc,

/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »


relance MBAM, vide sa quarantaine
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

0
chachacharlie
12 sept. 2010 à 16:44
voila la copie du bloc note

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4599

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12/09/2010 16:42:44
mbam-log-2010-09-12 (16-42-44).txt

Type d'examen: Examen complet (C:\|D:\|G:\|)
Elément(s) analysé(s): 284205
Temps écoulé: 1 heure(s), 1 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\YXE7DXCQ37 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Users\Charlotte VUARCHEX\AppData\Local\277495886.exe.vir (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Users\Charlotte VUARCHEX\AppData\Local\41506856.exe.vir (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Users\Charlotte VUARCHEX\AppData\Local\ovikcnbmr\vtthxstuqiw.exe.vir (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Users\Charlotte VUARCHEX\AppData\Local\wwvjcxcww\vkdelqnuqiw.exe.vir (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Users\Charlotte VUARCHEX\AppData\Roaming\5EDDEA81B926AEBE23DAD31B0C13F31B\mediafix70700en02.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\Charlotte VUARCHEX\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\3e606f5b-649819fe (Trojan.Downloader) -> Quarantined and deleted successfully.
0
chachacharlie
12 sept. 2010 à 16:57
et dans rapport / log c est ce qui suit mais je pense que c est la même chose que précédemment

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4599

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12/09/2010 16:42:44
mbam-log-2010-09-12 (16-42-44).txt

Type d'examen: Examen complet (C:\|D:\|G:\|)
Elément(s) analysé(s): 284205
Temps écoulé: 1 heure(s), 1 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\YXE7DXCQ37 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Users\Charlotte VUARCHEX\AppData\Local\277495886.exe.vir (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Users\Charlotte VUARCHEX\AppData\Local\41506856.exe.vir (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Users\Charlotte VUARCHEX\AppData\Local\ovikcnbmr\vtthxstuqiw.exe.vir (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Users\Charlotte VUARCHEX\AppData\Local\wwvjcxcww\vkdelqnuqiw.exe.vir (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Users\Charlotte VUARCHEX\AppData\Roaming\5EDDEA81B926AEBE23DAD31B0C13F31B\mediafix70700en02.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\Charlotte VUARCHEX\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\3e606f5b-649819fe (Trojan.Downloader) -> Quarantined and deleted successfully.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
chachacharlie Messages postés 6 Date d'inscription dimanche 12 septembre 2010 Statut Membre Dernière intervention 12 septembre 2010
12 sept. 2010 à 15:12
Rapport de ZHPFix v1.12.3149 par Nicolas Coolman, Update du 11/09/2010
Fichier d'export Registre :
Run by Charlotte VUARCHEX at 9/12/2010 3:10:14 PM
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier HOSTS ==========
Le fichier Hosts est sain


========== Récapitulatif ==========
1 : Fichier HOSTS


End of the scan
0
chachacharlie Messages postés 6 Date d'inscription dimanche 12 septembre 2010 Statut Membre Dernière intervention 12 septembre 2010
12 sept. 2010 à 15:13
Rapport de ZHPFix v1.12.3149 par Nicolas Coolman, Update du 11/09/2010
Fichier d'export Registre :
Run by Charlotte VUARCHEX at 9/12/2010 3:12:43 PM
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys spby.sys halmacpi.dll >>UNKNOWN [0x855F6938]<<
kernel: MBR read successfully
user & kernel MBR OK

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys spby.sys halmacpi.dll >>UNKNOWN [0x855F6938]<<
kernel: MBR read successfully
user & kernel MBR OK




========== Récapitulatif ==========
1 :Master Boot Record


End of the scan
0
Réponse 6 / 17
Utilisateur anonyme
12 sept. 2010 à 15:33
EDIT :

Peux tu trouver ces fichiers ?

il se trouve dans la quarantaine de Combofix qui s'appelle C:\Qoobox :

c:\users\Charlotte VUARCHEX\AppData\Local\277495886.exe.vir
c:\users\Charlotte VUARCHEX\AppData\Local\41506856.exe.vir
c:\users\Charlotte VUARCHEX\AppData\Local\ovikcnbmr\vtthxstuqiw.exe.vir
c:\users\Charlotte VUARCHEX\AppData\Local\wwvjcxcww\vkdelqnuqiw.exe.vir


tu les héberges un par un sur ce site :

http://ww38.toofiles.com/fr/documents-upload.html

puis copie et colle les lien sur ton prochain message

Merci
0
Réponse 7 / 17
chachacharlie
12 sept. 2010 à 16:09
J en ai fait un (41506856.exe.vir)... pouvez vous me dire si ca marche ?
0
Réponse 8 / 17
Utilisateur anonyme
12 sept. 2010 à 16:09
et le lien ?
0
Réponse 9 / 17
chachacharlie
12 sept. 2010 à 16:22
Tout serais plus simple si j apprenais à lire ... Too files ecrit "mauvais types de fichier, envoi impossible"

Voulez vous que j essaye sur http://www.cijoint.fr/ ?
0
Réponse 10 / 17
Utilisateur anonyme
12 sept. 2010 à 16:35
tu peux le faire en changeant leur nom :

supprimer .vir avant de les héberger sur too files

puis remettre leur nom comme c'était avant

ou

il ne passera pas, autant pour moi, il faut trouve les fichiers, puis les compresser, puis les héberger sur cijoint oui too files
0
Réponse 11 / 17
chachacharlie
12 sept. 2010 à 16:41
J ai supprimé le vir

Direct Link:
http://ww38.toofiles.com/fr/oip/documents/exe/41506856.html
Tiny URL:
http://tootiny.net/sw5ia4

c est bon ?
0
Réponse 12 / 17
Utilisateur anonyme
12 sept. 2010 à 16:43
oui,

peux tu le faire pour les trois autres s'il te plait ?

Merci
0
Réponse 13 / 17
Utilisateur anonyme
12 sept. 2010 à 16:50
relance MBAM, vide sa quarantaien, refais une mise à jour et lance un scan rapide,

s'il trouve des choses, mets tout en quarantaien, poste son rapport
0
Réponse 14 / 17
chachacharlie
12 sept. 2010 à 17:15
le scan rapide ne trouve rien ;)

Par contre je voulais t'envoyer les 3 autres fichiers sauf qui n existent plus
il me reste que celui que je t ai envoyé avec la terminaison changé (et le petit logo aussi)
Sais tu ou ils peuvent etre ??
0
Réponse 15 / 17
Utilisateur anonyme
12 sept. 2010 à 17:26
ils sont maintenant, même plus puisque tu as vidé le contenu de la quarantaine de MBAM :-)

pas grave,


essaie de redemarrer ton pc en mode normal et te connecter à internet
0
Réponse 16 / 17
chachacharlie
12 sept. 2010 à 18:00
Désolé de pas avoir envoyer les fichiers avant :s
Tu es formidable !!!! Merci milles fois
0
Réponse 17 / 17
Utilisateur anonyme
Modifié par Electricien 69 le 12/09/2010 à 18:12
tous les outils utilisés ici sont gratuits.
nous, étant contributeurs, travaillons avec les dévolppeurs de tools afin d'améliorer leur dévolppement et leur mise à jour constante (pour cerains tools français), nous les aidons à collcter les informations consernant les infections, d'ou ma demande pour les fichiers infectés :-)

pas de soucis pour les fichiers, il y en auras d'autres :-)

redemarre ton pc en mode normal, puis essaie de te connecter à internet :-)


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
0

Discussions similaires

Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse
Boîte mail piratée ?
mike the llama -
mike the llama -

4 réponses
Service Tool Canon V3400
Arno -
Mi -

1 réponse