Infecté par Malware-gen et MBRCheckRésolu/Fermé

Question

Bonjour à tous !

Hier, avast! m'a détecté un Malware-Gen. Le problème, c'est que je ne l'ai mis ni en quarantaine, ni supprimé ni rien (je n'y ai pas touché), et qu'après un nouveau scan, il ne détecte rien.
J'appelle donc ici (ayant l'habitude de venir ici et en plus m'intéressant à la désinfection) à l'aide pour supprimé ces vermines :)
Aussi, il est apparu sur mon bureau, une icône MBRCheck, ça m'inquiète beaucoup !


Connaissant un peu, pour gagner du temps, voici un lien d'un ZhpDiag : http://cjoint.com/data/kesbJ5jhZR.htm

Le plus "marrant", c'est que MBAM à jour de trouvait même pas l'infection...

Voilà bonne journée, bon courage et merci d'avance de m'aider :)

@+





Configuration: Windows XP / Firefox 3.6.10

kalimusic · Accepted Answer

Salut 

Petite incrust' 

MBRCheck n'est pas un virus, il a été installé par l'outil de diagnostic ZHPDiag pour effectuer une recherche complémentaire dans le MBR. 

Attends la suite des instructions de benurrr (que je salut au passage) 

Bonne continuation  

«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

benurrr · Answer

Gmer est un détecteur de rootkits puissant.

* Rendez-vous sur cette page

http://www.gmer.net/

et cliquez sur "Download EXE" pour télécharger Gmer sous un nom aléatoire (Pour tromper le Rootkit).
* Lancez Gmer
* Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
* Des lignes rouges doivent apparaître en cas d'infection :
o Sur ces lignes rouges:
+ Services: Clic-droit puis delete service
+ Process: Clic-droit puis kill process
+ Adl, file: Clic-droit puis delete files


Comment savoir s'il s'agit d'un rootkit ?

Quand Gmer trouve un rootkit ou un fichier caché (hidden) cette ligne devient rouge.

A la fin des lignes vous devriez voir (en cas d'infections) les extensions suivantes

* .dat
* .exe
* _nav.dat
* _navps.dat
* .sys
poste le rapport a la fin du scan

ne supprime rien tant qu'on a pas analyser le rapport

benurrr · Answer

salut kalimusic

tout a fait sa pour MBRCheck 

Bzoindaide comme tu peut le voir içi sur le rapport ZHPDiag 

---\ Recherche Master Boot Record Infection (MBRCheck)(O80)
MBRCheck, version 1.2.3 by ad13, http://ad13.geekstog
Run by Utilisateur1 at 04/10/2010 18:00:45
    465 GB  \.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: 8637A6CD1F8DC55758E12C0B860CDE1133CA5719
Dump file Name : C:\Program Files\ZHPDiag\MBRDump_10-04-10_18-00-46_PhysicalDrive0.bin

benurrr · Answer

DÉSACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRÉSENTS !!!!!(car il est détecte a tort comme infection) 

Télécharge ici :List_Kill'em de gen-hackman  

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe 

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

? Exécuter List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par télécharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

??? NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier C:\List'em.txt

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

Bzoindaide · Answer

Voilà le List'em : http://www.cijoint.fr/cj201010/cijh8mZlpX.txt
et le More.txt http://www.cijoint.fr/cj201010/cijQghJLxL.txt

Tu veux un Gmer ???

benurrr · Answer

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN 

laisse travailler l'outil. 

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau

benurrr · Answer

c'est la quarantaine et des FP

Telecharge combofix :
Faire un clic droit sur le lien
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Choisir : "Enregistrer la cible du lien sous..."
    * Choisir le Bureau comme destination.
    * Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
    * Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace. 

 Note importante :tu est sous Vista

la désactivation du Contrôle des comptes utilisateurs est obligatoire

Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac

pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) 

-> Double clique combofix.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

-Attention  Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet) 

::Si combofix detecte quelque chose et de demande a redémarrer tu accepte

Bzoindaide · Answer

Salut !
ComboFix a été assez rapide (l'ayant déjà utilisé plusieurs fois, sur demande d'un Helper, je le connaissais plus lent).
En 4 minutes, c'était fini ! Même pas de redémarrage !
Bizarre, non ?

Quoiqu'il en soit, voilà le rapport : 

ComboFix 10-10-05.06 - Utilisateur1 06/10/2010  21:29:29.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.3326.2416 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur1\Bureau\CCM.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
 * Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-06 au 2010-10-06  ))))))))))))))))))))))))))))))))))))
.

2010-10-05 16:15 . 2010-10-06 10:13	--------	d-----w-	C:\Kill'em
2010-10-05 16:14 . 2010-10-06 10:24	--------	d-----w-	c:\program files\List_Kill'em
2010-10-04 16:00 . 2010-10-04 16:00	--------	d-----w-	c:\program files\ZHPDiag
2010-09-25 11:32 . 2010-09-25 11:32	--------	d-----w-	c:\documents and settings\Utilisateur1\Application Data\Dofus-5.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
2010-09-17 16:45 . 2010-09-17 16:45	--------	d-----w-	c:\documents and settings\Utilisateur1\DoctorWeb
2010-09-11 15:37 . 2010-09-11 15:37	0	----a-w-	c:\documents and settings\Utilisateur1\jagex__preferences3.dat
2010-09-11 11:51 . 2010-09-13 16:25	99	----a-w-	c:\documents and settings\Utilisateur1\jagex_runescape_preferences2.dat
2010-09-11 11:49 . 2010-09-13 16:11	46	----a-w-	c:\documents and settings\Utilisateur1\jagex_runescape_preferences.dat
2010-09-11 11:49 . 2010-09-12 21:21	--------	d-----w-	c:\windows\.jagex_cache_32

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-06 18:27 . 2010-06-09 16:08	--------	d-----w-	c:\documents and settings\Utilisateur1\Application Data\Skype
2010-10-06 16:28 . 2010-06-09 16:36	--------	d-----w-	c:\documents and settings\Utilisateur1\Application Data\skypePM
2010-10-03 07:40 . 2008-04-14 12:00	80508	----a-w-	c:\windows\system32\perfc00C.dat
2010-10-03 07:40 . 2008-04-14 12:00	500482	----a-w-	c:\windows\system32\perfh00C.dat
2010-10-03 07:36 . 2010-06-08 16:17	24920	----a-w-	c:\documents and settings\Utilisateur1\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-10-01 11:14 . 2010-07-27 14:46	--------	d-----w-	c:\program files\World of Warcraft
2010-09-29 13:31 . 2010-06-08 16:13	--------	d-----w-	c:\program files\CCleaner
2010-09-27 11:17 . 2010-06-11 05:18	--------	d-----w-	c:\documents and settings\Utilisateur1\Application Data\Dofus 2
2010-09-27 10:01 . 2010-06-08 16:17	1	----a-w-	c:\documents and settings\Utilisateur1\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-24 18:02 . 2010-08-06 19:21	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-09-10 10:46 . 2010-08-02 21:01	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2010-09-07 15:12 . 2010-06-29 08:30	38848	----a-w-	c:\windows\avastSS.scr
2010-09-07 15:11 . 2010-06-08 16:12	167592	----a-w-	c:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2010-06-08 16:12	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2010-06-08 16:12	165584	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2010-06-08 16:12	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2010-06-08 16:12	100176	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-09-07 14:47 . 2010-06-08 16:12	94544	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-09-07 14:47 . 2010-06-08 16:12	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-09-07 14:46 . 2010-06-08 16:12	28880	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-09-05 20:03 . 2010-06-10 05:02	--------	d-----w-	c:\program files\Radio Fr Solo
2010-08-30 12:34 . 2010-09-02 13:00	1496064	----a-w-	c:\documents and settings\Utilisateur1\Application Data\Mozilla\Firefox\Profiles\zo8090rq.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-08-30 12:33 . 2010-09-02 13:00	43008	----a-w-	c:\documents and settings\Utilisateur1\Application Data\Mozilla\Firefox\Profiles\zo8090rq.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-08-30 12:33 . 2010-09-02 13:00	338944	----a-w-	c:\documents and settings\Utilisateur1\Application Data\Mozilla\Firefox\Profiles\zo8090rq.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-08-30 12:33 . 2010-09-02 13:00	346112	----a-w-	c:\documents and settings\Utilisateur1\Application Data\Mozilla\Firefox\Profiles\zo8090rq.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-08-22 20:56 . 2010-08-17 15:37	75040	----a-w-	c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-08-17 13:17 . 2008-04-14 12:00	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-16 10:00 . 2010-08-16 10:00	--------	d-----w-	c:\program files\MSBuild
2010-08-16 09:40 . 2010-08-16 09:40	--------	d-----w-	c:\documents and settings\Utilisateur1\Application Data\Creative
2010-08-15 10:57 . 2010-08-15 10:57	--------	d-----w-	c:\program files\Reference Assemblies
2010-08-13 15:23 . 2010-06-11 04:21	--------	d-----w-	c:\program files\Fichiers communs\Adobe AIR
2010-08-13 15:23 . 2010-08-13 15:23	53632	----a-w-	c:\documents and settings\Utilisateur1\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-08-03 14:45 . 2010-08-03 14:45	503808	----a-w-	c:\documents and settings\Utilisateur1\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-59846607-n\msvcp71.dll
2010-08-03 14:45 . 2010-08-03 14:45	499712	----a-w-	c:\documents and settings\Utilisateur1\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-59846607-n\jmc.dll
2010-08-03 14:45 . 2010-08-03 14:45	348160	----a-w-	c:\documents and settings\Utilisateur1\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-59846607-n\msvcr71.dll
2010-08-03 14:45 . 2010-08-03 14:45	61440	----a-w-	c:\documents and settings\Utilisateur1\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1e479ea8-n\decora-sse.dll
2010-08-03 14:45 . 2010-08-03 14:45	12800	----a-w-	c:\documents and settings\Utilisateur1\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1e479ea8-n\decora-d3d.dll
2010-08-02 21:01 . 2010-08-02 21:01	2605008	----a-w-	c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player_ax.exe
2010-07-22 15:48 . 2008-04-14 12:00	590848	----a-w-	c:\windows\system32pcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-08-03 14:45	423656	----a-w-	c:\windows\system32\deployJava1.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Live! Cam Manager"="c:\program files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2007-06-07 155648]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-08-03 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="=" [X]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-03 13672448]
"nwiz"="nwiz.exe" [2008-12-03 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-03 86016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2008-07-14 570664]
"V0420Mon.exe"="c:\windows\V0420Mon.exe" [2007-04-30 32768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Utilisateur1\Menu D'marrer\Programmes\D'marrage\
CurseClientStartup.ccip [2010-8-15 0]
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2010-6-9 950272]

[HKLM\~\startupfolder\C:^Documents and Settings^Utilisateur1^Menu Démarrer^Programmes^Démarrage^LimeWire On Startup.lnk]
path=c:\documents and settings\Utilisateur1\Menu Démarrer\Programmes\Démarrage\LimeWire On Startup.lnk
backup=c:\windows\pss\LimeWire On Startup.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\World of Warcraft\WoW-3.2.0-frFR-downloader.exe"=
"c:\Program Files\World of Warcraft\Launcher.exe"=
"c:\Program Files\World of Warcraft\WoW-3.3.2.11403-to-3.3.3.11685-frFR-downloader.exe"=
"c:\Documents and Settings\Utilisateur1\Local Settings\Apps\2.0\VWCGRH14.ZO1\D13VH594.5B1\curs..tion_eee711038731a406_0004.0000_1829574f2226d088\CurseClient.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [08/06/2010 18:12 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [08/06/2010 18:12 17744]
R3 V0420VID;Live! Cam Vista IM (VF0420);c:\windows\system32\drivers\V0420Vid.sys [09/06/2010 18:37 99648]
S2 gupdate1cb07ec35710d0e;Service Google Update (gupdate1cb07ec35710d0e);c:\program files\Google\Update\GoogleUpdate.exe [09/06/2010 17:55 133104]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [09/06/2010 17:24 450560]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - Dwsh0000604C
.
Contenu du dossier 'Tâches planifiées'

2010-09-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-10-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-09 15:55]

2010-10-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-09 15:55]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\Utilisateur1\Application Data\Mozilla\Firefox\Profiles\zo8090rq.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
FF - component: c:\documents and settings\Utilisateur1\Application Data\Mozilla\Firefox\Profiles\zo8090rq.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Update\1.2.183.27
pGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin
ew_plugin
pdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-HijackThis - c:\program files\Trend Micro\HijackThis\HijackThis.exe


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2316)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-10-06  21:32:14
ComboFix-quarantined-files.txt  2010-10-06 19:32

Avant-CF: 212 350 947 328 octets libres
Après-CF: 212 393 684 992 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - DDCC8BD7E9BA45E390D1340001FDAD7A

Bzoindaide · Answer

MBAM à jour.
Je lance le scan complet dans C: ; D: et E:
Aucune infection trouvée. Je n'ai pas touché à l'ordinateur, ni ouvert de programme ni rien du tout pendant qu'il scannait.
En gros, tout c'est bien passé. Ci dessous le rapport.

       Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4765

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07/10/2010 12:33:24
mbam-log-2010-10-07 (12-33-24).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 186441
Temps écoulé: 19 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Alors, qu'en déduis-tu de tous ces scans ?
J'ai été infecté et je ne le suis plus ? Je le suis toujours ? Je ne l'ai jamais été ? Tu sais pourquoi ComboFix n'a duré que 4 minutes ? J'aimerai juste que tu me dises ce que tu penses de l'état de mon pc avant et maintenant :)

Merci encore de m'aider, tu es très sympa ;)
Bonne journée, je reviens vers 15h30 !
A+

benurrr · Answer

en gros je veux mes news lol ^^ 

je sis infecté ?apparemment non

 Je l'ai été ? oui

Tu sais ce qui a provoqué l'infection ? non sa dépend de se que tu effectuer sur le pc au moment de l'alerte

en va vérifier avec un scan en ligne avant en va ôter nos fix pour éviter les FP

Télécharge DelFix sur ton bureau.

http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

3.1 - Option Recherche

Téléchargez DelFix sur votre bureau.
Lancez le, tapez 1 et validez en appuyant sur [Entrée]
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSearch.txt

Bzoindaide · Answer

J'ai cliqué sur Recherche, direct le rapport.
Le voici Rapport DelFix v5.5 - 07/10/2010 à 13:12,22
Mis à jour le 06/10/10 à 14h par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Navigateur : Mozilla Firefox 3.6.10 (fr) [Navigateur par défaut]
Processeur : Pentium(R) Dual-Core  CPU      E5200  @ 2.50GHz
Mémoire vive totale : 3,24 Go
Nom d'utilisateur : Utilisateur1 - POSTE1 (Administrateur)
Exécuté depuis : C:\Documents and Settings\Utilisateur1\Mes documents\Téléchargements\DelFix(2).exe


~~~~~~ Dossiers ~~~~~~

Présent: C:\Qoobox
Présent: C:\Program Files\List_Kill'em
Présent: C:\Program Files\ZHPDiag
Présent: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\List_Kill'em

~~~~~~ Fichiers ~~~~~~

Présent: C:\ComboFix.txt
Présent: C:\List'em.txt
Présent: C:\WINDOWS\grep.exe
Présent: C:\WINDOWS\PEV.exe
Présent: C:\WINDOWS\NIRCMD.exe
Présent: C:\WINDOWS\MBR.exe
Présent: C:\WINDOWS\sed.exe
Présent: C:\WINDOWS\SWREG.exe
Présent: C:\WINDOWS\SWSC.exe
Présent: C:\WINDOWS\SWXCACLS.exe
Présent: C:\WINDOWS\zip.exe
Présent: C:\Documents and Settings\Utilisateur1\Bureau\ZHPDiag.txt
Présent: C:\Documents and Settings\Utilisateur1\Bureau\Kill'em.txt
Présent: C:\Documents and Settings\Utilisateur1\Bureau\More.txt
Présent: C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Présent: C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Présent: C:\Documents and Settings\Utilisateur1\Mes documents\Téléchargements\List_Killem_Install(2).exe
Présent: C:\Documents and Settings\Utilisateur1\Mes documents\Téléchargements\List_Killem_Install.exe
Présent: C:\Documents and Settings\Utilisateur1\Mes documents\Téléchargements\ZHPDiag.exe

~~~~~~ Registre ~~~~~~

Clé Présente: HKLM\Software\swearware
Clé Présente: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Présente: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1


########## EOF - "C:\DelFixSearch.txt" - [2067 octets] ##########

benurrr · Answer

Option Suppression

Téléchargez DelFix sur votre bureau
Lancez le, tapez 2 et validez en appuyant sur [Entrée]
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

Bzoindaide · Answer

Eset a trouvé une menace Dans System Volume Information.
Je sais que j'ai ce problème, j'en avais parlé sur CCM et sur Helper Formation dans la partie entraide. Cette infection n'est pas grave. Je l'avais trouvé avec DrWeb qui à chaque fois en trouvait, et à chaque fois la supprimé. Il en retrouvait toujours une autre...
J'ai même purgé la Restauration Système, en vain.
Voilà ce qu'à trouvé Eset Online Scanner,
ci joint un screen : http://cjoint.com/data/0khrhTPBvQA.htm
ci joint le rapport texte : http://cjoint.com/data/0khrkIsRPoQ.htm

Qu'est-ce qu'on fait maintenant :) ?

benurrr · Answer

je pense que c'est bon tu a d'autre soucie a part Malware-gen  ?

Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C.., 
Mais C.. de penser que ­tu es libre...Merci a australe13

benurrr · Answer

Ok pour finir

tu va télécharger Ccleaner http://dl.commentcamarche.net/www.commentcamarche.net/download/files/ccsetup227_slim.exe

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
 Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
. Tu refais tous ca 4-5 fois (le nettoyage et le registre). 

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage". 

içi mode d'emploi pour ccleaner

https://www.malekal.com/tutoriel-ccleaner/

benurrr · Answer

içi un peu de lecture

https://www.commentcamarche.net/faq/1630-se-premunir-des-virus-et-autres-saletes-pas-si-complique

Bzoindaide · Answer

Pour la sécurité, tu peux me dire ce que tu en panses ?
Je suis cette combine depuis plusieurs mois :

- J'ai Avast!  antivirus version 5 à jour, je fais des scans minutieux régulièrement (1 fois par jour)
- J'ai MalwareBytes' AntiMalware à jour, je fais des scans complets régulièrement (1 fois par jour)
- J'utilise toujours Mozilla Firefox à jour, avec WOT et Adblock Plus en ad-don.
- Je fais régulièrement tous les mise à jour à faire sur mon PC, pour combler les failles de sécurité.
- Je trimballe toujours le PareFeu par défaut de Windows (j'ai honte)
- Je passe CCleaner après chacune de mes ballades sur le net (donc plusieurs fois par jour)

benurrr · Answer

bien a part le pare feu win xp c'est une vrai passoire je te conseille fortement de changer tu a Comodo un des meilleure ou Online Armor   

pour les antivirus moi c'est antivir d'après certain comparatif il est meilleure que avast et certain diront le contraire 

pour le reste c'est tres bien y'a aussi no script
  
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,  
Mais C.. de penser que ­tu es libre...Merci a australe13

Infecté par Malware-gen et MBRCheck

18 réponses

Newsletters