Infection malware gen (0) dans système 32 HPZ

Rémi -  
 Rémi -
Bonjour, à vous, j'ai besoin d'aide, s'il vous plait
Avast vient de découvrir un fichier infecté juste après la mise à jour quotidienne de la base de donnée virale.
voila sa localisation
C:\WINDOWS\system32\HPZipm12.exe [L]

J'ai téléchargé ZHP diag sur Zebulon, scanné mon ordinateur avec Zph donc, en prenant toutes les lignes exceptée celle de 45 à 61
J'ai ensuite mi le rapport sur cijoint.fr
http://www.cijoint.fr/cjlink.php?file=cj201010/cijUrC7tq1.txt

En bas du rapport, ZHP inscrit que c'est certainement une infection du à la Ask toolbar, j'ai déjà eu affaire à cette satanée bestiole, mais je l'avais virée, est ce la même chose ou est ce un problème distinct..?

Merci à vous pour votre aide

Cordialement

Rémi

9 réponses

  1. sherred Messages postés 8605 Statut Membre 351
     
    bonjour
    tu a quelques infections

    commence par
    Télécharge Navilog1.exe http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe?thread
    Choisis Enregistrer sous.... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Si, lors du téléchargement, ton Antivirus fais une alerte, ignore-là
    c'est un faux positif, une fausse alerte..
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau
    Au menu principal, choisis 1 et valide.
    ne fais pas le choix 2,3 ou 4
    Analyse Terminée
    Appuie sur une touche , le bloc-note va s'ouvrir.
    Copie/colle l'intégralité du rapport
    0
  2. Rémi
     
    bonjour, merci pour ton aide

    Je colle le rapport de navilog

    Fix Navipromo version 4.0.9 commencé le 07/10/2010 11:23:55,87

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\navilog1

    Mise à jour le 17.09.2010 à 16h00 par IL-MAFIOSO

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU E2140 @ 1.60GHz )
    BIOS : BIOS Date: 08/01/07 10:11:11 Ver: 08.00.10
    USER : Rémi ( Administrator )
    BOOT : Normal boot

    Antivirus : avast! Antivirus 5.0.83886757 (Activated)

    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:232 Go (Free:46 Go)
    D:\ (CD or DVD)

    Recherche executée en mode normal

    [b]Aucune Infection Navipromo/Egdaccess trouvée/b

    *** Scan terminé 07/10/2010 11:24:28,46 ***

    A plus tard
    0
  3. sherred Messages postés 8605 Statut Membre 351
     
    un peu de mal navilog ??
    télécharge Malwarebyte's ici
    http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
    ou ici
    https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
    le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des éléments on été trouvés > click sur supprimer la sélection.

    si il t'es demandé de redémarrer > click sur "yes".

    A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log--
    Quand les bornes sont franchies, il n'y a plus de limite
    Ce que j'ai écrit, je l'ai écrit
    0
  4. Rémi
     
    Hello

    j'ai téléchargé Malwarebytes, j'ai suivi toutes tes instructions, je colle le rapport
    Apparemment, il a détecté deux infections dans les Hkey local

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 7.0.5730.13

    07/10/2010 21:44:49
    mbam-log-2010-10-07 (21-44-49).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 145067
    Temps écoulé: 6 minute(s), 5 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\TOY5KNQ8OC (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    A plus tard
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sherred Messages postés 8605 Statut Membre 351
     
    Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
    http://pagesperso-orange.fr/NosTools/ad_remover.html

    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-remover située sur ton bureau

    au menu principal choisi l'option "nettoyage" .

    --> le programme va travailler ...

    * Postes le rapport qui apparait à la fin
    ( le rapport est sauvegardé aussi sous C:\Ad-report.log ) adreport(clean)

    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\
    ----------------------------

    0
  7. Rémi
     
    bonjour, j'ai téléchargé Ad Remover, et suivi tes instructions

    Voila le rapport

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 16/09/10 à 13:30
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 14:31:04 le 08/10/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 2 (X86)
    Rémi@MANGENOT-76FDC7 ( )

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.10 (fr)] **

    -- C:\Documents and Settings\Rémi\Application Data\Mozilla\FireFox\Profiles\mij1qv69.default\Prefs.js --
    browser.search.defaultenginename, Search the web (Babylon)
    browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542
    browser.search.selectedEngine, Search the web (Babylon)
    browser.startup.homepage, www.google.com
    browser.startup.homepage_override.mstone, rv:1.9.2.10
    privacy.popups.showBrowserMessage, false

    -- C:\Documents and Settings\Mangenot\Application Data\Mozilla\FireFox\Profiles\ak2qe23i.default\Prefs.js --
    browser.download.lastDir, C:\\Documents and Settings\\Mangenot\\Bureau
    browser.search.defaultenginename, Search the web (Babylon)
    browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542
    browser.search.selectedEngine, Search the web (Babylon)
    browser.startup.homepage, hxxp://search.babylon.com/home?AF=14542
    browser.startup.homepage_override.mstone, rv:1.9.2.10
    keyword.URL, hxxp://search.babylon.com/?babsrc=adbartrp&AF=14542&q=

    ========================================

    ** Internet Explorer Version [7.0.5730.13] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes

    A plus tard

    Ps, je ne pourrai pas répondre avant dimanche, je suis en déplacement pour mon boulot.
    Bon week end à toi
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      ok tu me refera un ZHP diag
      0
  8. Rémi
     
    Bonjour, j'ai refait un scan avec ZHP diag, dans les mêmes conditions

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijd4ofJmc.txt

    A plus tard
    0
  9. sherred Messages postés 8605 Statut Membre 351
     
    ok tu a sur ton bureau

    ce log ----> ZHPFix

    * Copie le tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    [HKCU\Software\Official-eMule]
    [HKLM\Software\Official-eMule]


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

    Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) !

    Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

    pourquoi tu cache des lignes du rapport ??
    0
  10. Rémi
     
    Bonjour, j'ai ce que tu m'as dit, voila le rapport

    Rapport de ZHPFix 1.12.3206 par Nicolas Coolman, Update du 04/10/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-11-10-2010-11-10-12.txt
    Run by Rémi at 11/10/2010 11:10:12
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKCU\Software\Official-eMule => Clé supprimée avec succès
    HKLM\Software\Official-eMule => Clé supprimée avec succès

    ========== Elément(s) de donnée du Registre ==========
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    1 : Elément(s) de donnée du Registre

    End of the scan

    Pour ZHP diag, je n'ai pas scannée certaines lignes car j'ai lu précédemment que pour ce genre d'infection il ne fallait surtout pas scanner certaines lignes, ( j'ai lu ça sur commentçamarche.com )
    Est ce que tu souhaites que je fasse un nouveau scann avec ZHP diag ?

    A plus tard
    0