Virus Malware.Trace,Generic.bot.h,Trojan.Agen

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Déjà merci .
Ensuite voici mon rapport
http://www.cijoint.fr/cjlink.php?file=cj201009/cijxgfjMrN.txt
Thibaut

ok

je comprends pas que ca revienne...

1)

poste le rapport USBfix stp . ( C:\UsbFix.txt )

............

2)

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O4 - HKLM\..\Run: [Windows live messenger] . (.WINDOWS - WINDOWS.) -- C:\Users\Tib_Asus\AppData\Roaming\Temps\svchost.exe
O4 - HKLM\..\Wow6432Node\Run: [Windows live messenger] . (.WINDOWS - WINDOWS.) -- C:\Users\Tib_Asus\AppData\Roaming\Temps\svchost.exe
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.WINDOWS - WINDOWS.) -- C:\Users\Tib_Asus\AppData\Roaming\Temps\svchost.exe
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.WINDOWS - WINDOWS.) -- C:\Users\Tib_Asus\AppData\Roaming\Temps\svchost.exe
O40 - ASIC: (no name) - {66UN308C-B7Q1-F54D-F17T-LO6785X11WG2} . (.WINDOWS - WINDOWS.) -- C:\Users\Tib_Asus\AppData\Roaming\Temps\svchost.exe
[HKCU\Software\Zugo]

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

############################## | UsbFix 7.026 | [Suppression]

Utilisateur: Tib_Asus (Administrateur) # TIB_ASUS-PC [ASUSTeK Computer Inc. N61Ja]
Mis à jour le 27/09/10 par El Desaparecido / C_XX
Lancé à 17:56:49 | 27/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM) i5 CPU M 430 @ 2.27GHz
CPU 2: Intel(R) Core(TM) i5 CPU M 430 @ 2.27GHz
Microsoft Windows 7 Professionnel (6.1.7600 64-Bit) #
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 3943 Mo
C:\ (%systemdrive%) -> Disque fixe # 149 Go (43 Go libre(s) - 29%) [OS] # NTFS
D:\ -> Disque fixe # 432 Go (150 Go libre(s) - 35%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque amovible # 497 Mo (185 Mo libre(s) - 37%) [] # FAT
J:\ -> Disque fixe # 149 Go (87 Go libre(s) - 58%) [WD Passport] # FAT32

################## | Éléments infectieux |

Supprimé! C:\Users\Tib_Asus\AppData\Roaming\logs.dat
Supprimé! C:\Users\Tib_Asus\AppData\Local\Temp\UuU.uUu
Supprimé! C:\Users\Tib_Asus\AppData\Local\Temp\XxX.xXx

################## | Registre |

################## | Mountpoints2 |

################## | Listing |

[03/05/2010 - 22:53:05 | SHD ] C:\$Recycle.Bin
[27/09/2010 - 17:41:35 | HD ] C:\ASUS.DAT
[08/04/2010 - 16:44:16 | HD ] C:\ASUS.SYS
[27/09/2010 - 17:38:41 | RASHD ] C:\Autorun.inf
[29/07/2009 - 08:03:34 | SHD ] C:\Boot
[14/07/2009 - 03:38:58 | RASH | 383562] C:\bootmgr
[29/07/2009 - 08:03:37 | RASH | 8192] C:\BOOTSECT.BAK
[26/09/2010 - 12:13:10 | SHD ] C:\Config.Msi
[14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings
[08/04/2010 - 16:43:03 | D ] C:\eSupport
[27/09/2010 - 17:40:23 | ASH | 3100512256] C:\hiberfil.sys
[08/04/2010 - 16:31:40 | D ] C:\Intel
[08/04/2010 - 15:26:47 | RHD ] C:\MSOCache
[27/09/2010 - 17:40:25 | ASH | 4134019072] C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] C:\PerfLogs
[27/09/2010 - 16:45:20 | RD ] C:\Program Files
[27/09/2010 - 16:49:20 | RD ] C:\Program Files (x86)
[26/09/2010 - 23:52:08 | HD ] C:\ProgramData
[30/04/2010 - 00:06:55 | SHD ] C:\Recovery
[26/09/2010 - 17:13:53 | SHD ] C:\System Volume Information
[27/09/2010 - 17:57:35 | D ] C:\UsbFix
[27/09/2010 - 17:56:49 | A | 2238] C:\UsbFix.txt
[27/09/2010 - 17:38:43 | A | 3230418] C:\UsbFix_Upload_Me_TIB_ASUS-PC.zip
[12/08/2010 - 15:54:58 | RD ] C:\Users
[27/09/2010 - 17:40:30 | D ] C:\Windows
[14/09/2010 - 23:10:39 | SHD ] D:\$RECYCLE.BIN
[27/09/2010 - 17:38:41 | RASHD ] D:\Autorun.inf
[11/08/2010 - 03:27:01 | D ] D:\Films&Séries
[10/08/2010 - 21:25:03 | D ] D:\Games
[21/09/2010 - 18:20:40 | D ] D:\Logiciels
[26/09/2010 - 23:12:50 | SHD ] D:\System Volume Information
[12/12/2009 - 16:21:56 | RSHD ] H:\storage
[14/09/2010 - 14:08:26 | D ] H:\Cours
[16/09/2010 - 17:23:56 | D ] H:\Matlab
[16/09/2010 - 17:24:30 | D ] H:\Cs
[20/09/2010 - 22:46:00 | D ] H:\A tester
[22/09/2010 - 16:13:48 | A | 231701] H:\Canevas_Complet.rtf
[24/09/2010 - 17:28:08 | A | 1811] H:\randiiiiii.asv
[26/09/2010 - 23:13:24 | RSHD ] H:\RECYCLER
[27/09/2010 - 17:38:44 | RASHD ] H:\Autorun.inf
[25/09/2010 - 21:57:20 | D ] J:\Film
[26/09/2010 - 18:12:48 | RSHD ] J:\RECYCLER
[27/09/2010 - 17:38:44 | RASHD ] J:\Autorun.inf
[31/01/2007 - 01:55:30 | D ] J:\WD_Windows_tools
[08/03/2007 - 21:05:32 | SHD ] J:\System Volume Information
[08/03/2007 - 21:05:38 | HD ] J:\WD Sync Data
[22/06/2007 - 16:28:18 | A | 4215518] J:\WDSync.zip
[08/03/2007 - 22:45:58 | SHD ] J:\Recycled
[21/04/2007 - 19:27:36 | SH | 4608] J:\Thumbs.db
[14/06/2007 - 09:39:40 | A | 4907520] J:\WDSync_v6_3_130.exe
[10/07/2007 - 22:09:24 | SHD ] J:\$RECYCLE.BIN
[29/07/2007 - 21:45:44 | D ] J:\Logiciels&Jeux
[26/09/2009 - 20:44:10 | D ] J:\Doc&Zic

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_TIB_ASUS-PC.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

je fais le 2)

Rapport ZHPFix
Rapport de ZHPFix 1.12.3202 par Nicolas Coolman, Update du 26/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-28-09-2010-14-57-06.txt
Run by Tib_Asus at 28/09/2010 14:57:06
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O40 - ASIC: (no name) - {66UN308C-B7Q1-F54D-F17T-LO6785X11WG2} . (.WINDOWS - WINDOWS.) -- C:\Users\Tib_Asus\AppData\Roaming\Temps\svchost.exe => Clé supprimée avec succès
HKCU\Software\Zugo => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Windows live messenger] . (.WINDOWS - WINDOWS.) -- C:\Users\Tib_Asus\AppData\Roaming\Temps\svchost.exe => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [Windows live messenger] . (.WINDOWS - WINDOWS.) -- C:\Users\Tib_Asus\AppData\Roaming\Temps\svchost.exe => Valeur supprimée avec succès
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.WINDOWS - WINDOWS.) -- C:\Users\Tib_Asus\AppData\Roaming\Temps\svchost.exe => Valeur supprimée avec succès
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.WINDOWS - WINDOWS.) -- C:\Users\Tib_Asus\AppData\Roaming\Temps\svchost.exe => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\users\tib_asus\appdata\roaming\temps\svchost.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
2 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Fichier(s)

End of the scan

ok


DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Fais de même avec more.txt qui se trouve sur ton bureau

Fichier 1
http://www.cijoint.fr/cjlink.php?file=cj201009/cijzf299Z0.txt
Fichier More
http://www.cijoint.fr/cjlink.php?file=cj201009/cijvZByrAk.txt

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis l'option CLEAN

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

colle le contenu dans ta reponse

Re ,
C'est bien ce rapport que tu veux : http://www.cijoint.fr/cjlink.php?file=cj201009/cijBwPcq1D.txt
J'en ai tout un tas là je me perds un peu...

(sourire)

c'est bon

mets à jour MBAM
refais un examen rapide et poste le rapport stp

(pas trop sourire)
D'après moi c'est pas encore bon =( (j'ai toujours le dossier TEMPS/svchot.exe et je suppose les autres d'après MBAM)...

Rapport
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4700

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28/09/2010 16:46:28
mbam-log-2010-09-28 (16-46-28).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 143722
Temps écoulé: 4 minute(s), 40 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{66un308c-b7q1-f54d-f17t-lo6785x11wg2} (Generic.Bot.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows live messenger (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Tib_Asus\AppData\Roaming\Temps\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Users\Tib_Asus\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\Tib_Asus\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Tib_Asus\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

http://www.cijoint.fr/cjlink.php?file=cj201009/cij2pwktpy.txt

Qu'est ce tu penses de cette solution
https://forums.commentcamarche.net/forum/affich-17053657-malware-uuu-uuu-et-xxx-xxx

Je tente?

le soucis est ton os en 64 bits pas compatible avec les outils utiles à ton infection

oui essaie de restaurer le pc à une date antérieure...si tu le peux, et tiens moi au courant

En faite on m'a conseillé de supprimer les restaurations antérieurs mais moi je pensais plus à ça déjà :
Après 1 journée de recherche, nous avons trouvé la solution, OUF !!
Pour s'en débarrasser, il y a une petite manipulation à faire.
ATTENTION : Il faut toucher aux fichiers système de votre machine ainsi qu'à la base de registre, donc soyez extrêmement prudents !!!

- Démarrez la machine en mode sans échec (appuyez sur F8 ou F5 le cas échéant)

- Tout d'abord, il faut supprimer le répertoire "Windows updat" qui se trouve dans le system32.
Pour pouvoir y accéder, il faut aller dans les options des dossiers et dans l'onglet affichage.
Il faut ensuite "afficher les fichiers et dossiers cachés" puis décocher la case "Masquer les fichiers protégés du système d'exploitation".
Une fois cela fait, il faut aller dans "C:\WINDOWS\System32" et vous verrez apparaitre un dossier nommé "Windows updat" contenant un fichier "Windows.exe". Supprimez ce répertoire puis videz la corbeille.

- Il faut maintenant supprimer la clé de registre.
Elle se trouve dans "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CG56...."
Supprimez cette clé

- On doit maintenant éliminer les fichiers XxX.xXx et UuU.uUu
Ils se trouvent dans "C:\documents and settings\<utilisateur actuel>\local settings\Temp".
Supprimez ces 2 fichiers puis videz la corbeille.

Faites une analyse complète avec Malwarebytes' Anti-Malware pour s'assurer de la suppression du ver.

Reconnectez-vous en mode normal sur votre machine et vérifiez après s'être connecté dans le gestionnaire des tâches que le processus IExplore.exe ou Firefox.exe ne s'est pas lancé.

"Gros gros gros sourire" (j'espère)
En mode sans échec les fichiers , j'ai l'impression , ont définitivement été supprimés avec MBAM !!!

Je fais un troisième et ultime scan avec MBAM et avec Kapersky ...

Tu pense que je dois en faire d'autres? Pareil j'ai des dd et clé USB qui on été branchées , je les scan avec MBAM sa suffira ?

....Attends à l'instant j'ai mon parefeu qui me demande si je veux autorisé la plateforme java depuis java\jre6\bin\java.exe alors que je n'ai ouvert aucune application ? (en plein milieu de la détection par Kapersky) c'est pas louche?

branche tes cles et refais usbfix

pour java, c'est le fichier qui correspond aux mise à jour java...donc normal à priori


CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci

Ok je n'y ai pas accès avant ce soir .

POur l'instant je laisse comme ça? MBAM n'a rien trouvé et l'analyse en ligne de hijackthis ne donne rien nn plus .

ok , merci en tout cas .