Cheval de Troie Backdoor.Win32.Hupigon.kzad
Résolu/Fermé
A voir également:
- Cheval de Troie Backdoor.Win32.Hupigon.kzad
- Comment supprimer cheval de troie gratuitement - Télécharger - Antivirus & Antimalwares
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Cheval de troie virus - Accueil - Virus
- Message cheval de troie - Forum Virus
- Skyrim cheval perdu - Forum Jeux PC
37 réponses
Je viens de faire une analyse par ZHPFix (en suivant la méthode proposée ici https://forums.commentcamarche.net/forum/affich-19838893-ordinateur-tres-lent-surement-infecte
Le rapport de ZHPFix est disponible ici :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijecoGrer.txt
Merci de votre aide,
Tom
Le rapport de ZHPFix est disponible ici :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijecoGrer.txt
Merci de votre aide,
Tom
Utilisateur anonyme
15 nov. 2010 à 22:12
15 nov. 2010 à 22:12
Bonsoir
J'ai regardé le rapport de ZHPDiag, il y a un détournement DNS déjà
Je regarde la suite, et je donnerai les procédures à faire
J'ai regardé le rapport de ZHPDiag, il y a un détournement DNS déjà
Je regarde la suite, et je donnerai les procédures à faire
Utilisateur anonyme
15 nov. 2010 à 22:33
15 nov. 2010 à 22:33
Il faudrai déjà éviter de télécharger des cracks, car c'est une grosse source
d'infection
Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier
O17 - HKLM\System\CS1\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108
O17 - HKLM\System\CS2\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108
O17 - HKLM\System\CS3\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108
O17 - HKLM\System\CS3\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
O60 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
* Clique sur l'icône représentant la lettre H, cela collera les lignes que tu
as mis en mémoire
* Clique sur OK, sur Tous, puis sur Nettoyer
* Copie/colle la totalité du rapport dans ta prochaine réponse
Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller
d'infection
Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier
O17 - HKLM\System\CS1\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108
O17 - HKLM\System\CS2\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108
O17 - HKLM\System\CS3\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108
O17 - HKLM\System\CS3\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
O60 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108
* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
* Clique sur l'icône représentant la lettre H, cela collera les lignes que tu
as mis en mémoire
* Clique sur OK, sur Tous, puis sur Nettoyer
* Copie/colle la totalité du rapport dans ta prochaine réponse
Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Déjà MERCI de me répondre, alors pour ZHPFix c'est fait voilà le rapport, je continue avec malwarebyte
Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : C:\ZHPExportRegistry-15-11-2010-22-37-25.txt
Run by Tom at 15/11/2010 22:37:25
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CS1\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O60 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
========== Récapitulatif ==========
10 : Elément(s) de donnée du Registre
End of the scan
Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : C:\ZHPExportRegistry-15-11-2010-22-37-25.txt
Run by Tom at 15/11/2010 22:37:25
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CS1\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O60 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108 => Donnée supprimée avec succès
========== Récapitulatif ==========
10 : Elément(s) de donnée du Registre
End of the scan
Utilisateur anonyme
15 nov. 2010 à 22:47
15 nov. 2010 à 22:47
D'accord
Tes problèmes que tu as décrit proviennent de ces détournements DNS que
provoque le Trojan DNS Changer
Un conseil, tu ne devrais pas garder des logiciels crackés, car tu as plus de risques à attraper des cochonneries, voir même des virus informatiques assez
dangereux qui pourraient t'obliger à formater ton PC
Il existe des faux cracks qui sont en fait un ver informatique appelé bagle qui
peut corrompre des logiciels
Il faut aussi bannir les logiciels P2P qui sont une vraie source de danger
Si tu télécharges par le P2P tu peux attraper Virut, ou Sality, ou Vitro/Virtob,
virus informatiques très dangereux qui endommagent les fichiers vitaux du
système, et infectent les fichiers exécutables assez rapidement
Tes problèmes que tu as décrit proviennent de ces détournements DNS que
provoque le Trojan DNS Changer
Un conseil, tu ne devrais pas garder des logiciels crackés, car tu as plus de risques à attraper des cochonneries, voir même des virus informatiques assez
dangereux qui pourraient t'obliger à formater ton PC
Il existe des faux cracks qui sont en fait un ver informatique appelé bagle qui
peut corrompre des logiciels
Il faut aussi bannir les logiciels P2P qui sont une vraie source de danger
Si tu télécharges par le P2P tu peux attraper Virut, ou Sality, ou Vitro/Virtob,
virus informatiques très dangereux qui endommagent les fichiers vitaux du
système, et infectent les fichiers exécutables assez rapidement
Merci pour tes solutions, j'ai déjà une partie du problème en moins : j'ai pu mettre à jour windows etc... : c'est top !
Pour les logiciels crackés... je vais virer les quelques inutiles mais j'ai pas les moyens de me payer photoshop ou solidworks alors...
Enfin, pour Malwarebytes j'avais essayé tout a l'heure pendant ta premiere réponse (en naviguant sur les posts de la soirée sur les virus etc..) et après installation, malwarebytes ne se lance pas !
Que je double clique ou que j'ouvre en administrateur, rien ni change cela ne s'ouvre pas.... tu aurai une idée ?
Tom
Pour les logiciels crackés... je vais virer les quelques inutiles mais j'ai pas les moyens de me payer photoshop ou solidworks alors...
Enfin, pour Malwarebytes j'avais essayé tout a l'heure pendant ta premiere réponse (en naviguant sur les posts de la soirée sur les virus etc..) et après installation, malwarebytes ne se lance pas !
Que je double clique ou que j'ouvre en administrateur, rien ni change cela ne s'ouvre pas.... tu aurai une idée ?
Tom
Utilisateur anonyme
Modifié par Jawaryinti le 15/11/2010 à 23:00
Modifié par Jawaryinti le 15/11/2010 à 23:00
Essaye en mode sans échec
Redémarre ton PC, et lorsque le BIOS démarre, et avant que Windows se charge
presse la touche f8, ensuite, tu sélectionnes mode sans échec avec prise en
charge de réseau, et presse la touche entrée
Met à jour Malwarebytes
Puis essaye de lancer Malwarebytes
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
Redémarre ton PC, et lorsque le BIOS démarre, et avant que Windows se charge
presse la touche f8, ensuite, tu sélectionnes mode sans échec avec prise en
charge de réseau, et presse la touche entrée
Met à jour Malwarebytes
Puis essaye de lancer Malwarebytes
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
C'est la même chose, rien ne se passe en mode sans échec, avec la dernière version issue de leur site...
Utilisateur anonyme
15 nov. 2010 à 23:31
15 nov. 2010 à 23:31
Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified
* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
* Clique sur l'icône représentant la lettre H, cela collera les lignes que tu
as mis en mémoire
* Clique sur le bouton MBRFix
* Clique sur OK, sur Tous, puis sur Nettoyer
* Copie/colle la totalité du rapport dans ta prochaine réponse
Ensuite
# Clic droit sur UsbFix présent sur ton bureau, et clique sur
exécuter en tant qu'administrateur
# Clique sur Suppression
# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK
# La suppression est lancée. Le bureau va disparaitre, c'est normal
# Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
demandant d'envoyer le fichier UsbFix_Upload_Me
# Clique sur Parcourir pour aller chercher le fichier
compressé qui se trouve à la racine du disque
# Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
le fichier
# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified
* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
* Clique sur l'icône représentant la lettre H, cela collera les lignes que tu
as mis en mémoire
* Clique sur le bouton MBRFix
* Clique sur OK, sur Tous, puis sur Nettoyer
* Copie/colle la totalité du rapport dans ta prochaine réponse
Ensuite
# Clic droit sur UsbFix présent sur ton bureau, et clique sur
exécuter en tant qu'administrateur
# Clique sur Suppression
# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK
# La suppression est lancée. Le bureau va disparaitre, c'est normal
# Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
demandant d'envoyer le fichier UsbFix_Upload_Me
# Clique sur Parcourir pour aller chercher le fichier
compressé qui se trouve à la racine du disque
# Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
le fichier
# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Je te remercie beaucoup pour ton soutien en tout cas ! Je fais dès que possible, je viens de lancer un diagnostic ZHPDiag donc je commence dès qu'il est fini.
Voilà le rapport ZHPFix :
Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre :
Run by Tom at 15/11/2010 23:38:56
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: ST3500320AS rev.SD15 -> \Device\Ide\IdePort0
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85E20EC5]<<
1 ntkrnlpa!IofCallDriver[0x8250D05F] -> \Device\Harddisk0\DR0[0x85F647C8]
3 CLASSPNP[0x8AD9F745] -> ntkrnlpa!IofCallDriver[0x8250D05F] -> [0x85D85228]
5 acpi[0x82BB56A0] -> ntkrnlpa!IofCallDriver[0x8250D05F] -> [0x85DA99C0]
[0x8621E660] -> IRP_MJ_CREATE -> 0x85E20EC5
kernel: MBR read successfully
detected hooks:
\Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskST3500320AS_____________________________SD15____#5&163e592b&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
\Driver\atapi DriverStartIo -> 0x85E20AEA
\Driver\atapi -> 0x853901e8
user & kernel MBR OK
sectors 976773166 (+255): user != kernel
Warning: possible TDL3 rootkit infection !
Resultat après le fix :
Master Boot Record non infecté
========== Récapitulatif ==========
1 : Master Boot Record
End of the scan
Je continue.
Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre :
Run by Tom at 15/11/2010 23:38:56
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: ST3500320AS rev.SD15 -> \Device\Ide\IdePort0
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85E20EC5]<<
1 ntkrnlpa!IofCallDriver[0x8250D05F] -> \Device\Harddisk0\DR0[0x85F647C8]
3 CLASSPNP[0x8AD9F745] -> ntkrnlpa!IofCallDriver[0x8250D05F] -> [0x85D85228]
5 acpi[0x82BB56A0] -> ntkrnlpa!IofCallDriver[0x8250D05F] -> [0x85DA99C0]
[0x8621E660] -> IRP_MJ_CREATE -> 0x85E20EC5
kernel: MBR read successfully
detected hooks:
\Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskST3500320AS_____________________________SD15____#5&163e592b&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
\Driver\atapi DriverStartIo -> 0x85E20AEA
\Driver\atapi -> 0x853901e8
user & kernel MBR OK
sectors 976773166 (+255): user != kernel
Warning: possible TDL3 rootkit infection !
Resultat après le fix :
Master Boot Record non infecté
========== Récapitulatif ==========
1 : Master Boot Record
End of the scan
Je continue.
Voilà le rapport de UsbFix :
############################## | UsbFix 7.035 | [Suppression]
Utilisateur: Tom (Administrateur) # PC-DE-TOM [Dell Inc. Inspiron 530s]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 23:40:56 | 15/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 8.0.6001.18943
Pare-feu Windows: Activé
RAM -> 3069 Mo
C:\ (%systemdrive%) -> Disque fixe # 466 Go (202 Go libre(s) - 43%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (3 Go libre(s) - 82%) [SD CARD TL] # FAT32
I:\ -> Disque fixe # 466 Go (20 Go libre(s) - 4%) [Save] # NTFS
K:\ -> CD-ROM
################## | Éléments infectieux |
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-54700829-2094487613-126614958-1000
Supprimé! C:\Recycler\S-1-5-21-4855241671-0066449629-782549517-4732
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-2913509547-2207933144-4024826561-1000
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-298941653-824622453-3325850243-1000
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-54700829-2094487613-126614958-1000
################## | Registre |
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
################## | Mountpoints2 |
################## | Listing |
[15/11/2010 - 23:41:19 | SHD ] C:\$Recycle.Bin
[27/06/2010 - 18:50:30 | D ] C:\ATI
[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
[15/11/2010 - 21:14:13 | AD ] C:\autorun.inf
[28/06/2010 - 00:32:40 | D ] C:\Boot
[21/01/2008 - 03:24:42 | RASH | 333203] C:\bootmgr
[28/06/2010 - 00:32:41 | N | 8192] C:\BOOTSECT.BAK
[15/11/2010 - 22:42:47 | D ] C:\Config.Msi
[18/09/2006 - 22:43:37 | N | 10] C:\config.sys
[02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
[01/08/2010 - 00:11:41 | D ] C:\f58a8bb2cd4113d481a44a6805d5
[28/07/2010 - 02:32:51 | D ] C:\Fraps
[22/09/2010 - 14:24:47 | D ] C:\GTR2
[27/06/2010 - 18:54:43 | D ] C:\Intel
[14/09/2010 - 16:26:57 | D ] C:\IntelEmbedded6.0
[28/07/2010 - 03:42:45 | N | 0] C:\IO.SYS
[28/07/2010 - 03:42:45 | N | 0] C:\MSDOS.SYS
[27/06/2010 - 16:01:49 | RHD ] C:\MSOCache
[15/11/2010 - 23:06:13 | ASH | 3533127680] C:\pagefile.sys
[21/01/2008 - 03:32:31 | D ] C:\PerfLogs
[15/11/2010 - 22:24:39 | D ] C:\Program Files
[15/11/2010 - 22:47:15 | HD ] C:\ProgramData
[12/10/2010 - 13:16:11 | RSHD ] C:\RECYCLER
[05/07/2010 - 14:53:17 | D ] C:\SolidWorks Data
[10/11/2010 - 18:13:09 | SHD ] C:\System Volume Information
[15/11/2010 - 23:41:19 | D ] C:\UsbFix
[15/11/2010 - 23:40:57 | A | 867] C:\UsbFix.txt
[27/06/2010 - 15:50:32 | D ] C:\Users
[15/11/2010 - 21:16:11 | N | 290] C:\Win32.Worm.Downladup.Gen.log
[15/11/2010 - 23:06:16 | D ] C:\Windows
[15/11/2010 - 22:37:25 | N | 41698] C:\ZHPExportRegistry-15-11-2010-22-37-25.txt
[15/11/2010 - 23:38:31 | N | 2446] C:\ZHPRegY0.zhp
[11/11/2010 - 19:01:16 | D ] F:\MISC
[17/10/2010 - 13:21:50 | D ] F:\var
[11/11/2010 - 19:01:16 | D ] F:\DCIM
[18/10/2010 - 14:15:10 | N | 145546] F:\bookmarksportable.html
[12/10/2010 - 23:30:06 | N | 290558] F:\T.LECLERE CV v1.pdf
[12/10/2010 - 18:34:00 | N | 219472] F:\bbbb.jpg
[05/11/2010 - 18:46:56 | N | 24673] F:\English CV test 1.docx
[10/11/2010 - 14:18:46 | N | 1444357] F:\Cambridge Exam.pdf
[03/07/2008 - 09:56:50 | N | 728670208] F:\99 F..avi
[15/11/2010 - 23:41:19 | SHD ] I:\$RECYCLE.BIN
[15/11/2010 - 21:14:14 | AD ] I:\autorun.inf
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.1028.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.1031.txt
[07/11/2007 - 07:00:40 | N | 10134] I:\eula.1033.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.1036.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.1040.txt
[07/11/2007 - 07:00:40 | N | 118] I:\eula.1041.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.1042.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.2052.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.3082.txt
[07/11/2007 - 07:00:40 | N | 1110] I:\globdata.ini
[07/11/2007 - 07:03:18 | N | 562688] I:\install.exe
[07/11/2007 - 07:00:40 | N | 843] I:\install.ini
[07/11/2007 - 07:03:18 | N | 76304] I:\install.res.1028.dll
[07/11/2007 - 07:03:18 | N | 96272] I:\install.res.1031.dll
[07/11/2007 - 07:03:18 | N | 91152] I:\install.res.1033.dll
[07/11/2007 - 07:03:18 | N | 97296] I:\install.res.1036.dll
[07/11/2007 - 07:03:18 | N | 95248] I:\install.res.1040.dll
[07/11/2007 - 07:03:18 | N | 81424] I:\install.res.1041.dll
[07/11/2007 - 07:03:18 | N | 79888] I:\install.res.1042.dll
[07/11/2007 - 07:03:18 | N | 75792] I:\install.res.2052.dll
[07/11/2007 - 07:03:18 | N | 96272] I:\install.res.3082.dll
[07/04/2010 - 12:08:23 | D ] I:\Mes docs
[19/03/2009 - 18:55:17 | SHD ] I:\System Volume Information
[24/10/2010 - 10:53:30 | D ] I:\var
[07/11/2007 - 07:00:40 | N | 5686] I:\vcredist.bmp
[07/11/2007 - 07:09:22 | N | 1442522] I:\VC_RED.cab
[07/11/2007 - 07:12:28 | N | 232960] I:\VC_RED.MSI
[06/11/2010 - 18:58:44 | D ] I:\Vidéos
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-TOM.zip
http://www.teamxscript.org/Sample/Upload.php
Merci de votre contribution.
################## | E.O.F |
############################## | UsbFix 7.035 | [Suppression]
Utilisateur: Tom (Administrateur) # PC-DE-TOM [Dell Inc. Inspiron 530s]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 23:40:56 | 15/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 8.0.6001.18943
Pare-feu Windows: Activé
RAM -> 3069 Mo
C:\ (%systemdrive%) -> Disque fixe # 466 Go (202 Go libre(s) - 43%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (3 Go libre(s) - 82%) [SD CARD TL] # FAT32
I:\ -> Disque fixe # 466 Go (20 Go libre(s) - 4%) [Save] # NTFS
K:\ -> CD-ROM
################## | Éléments infectieux |
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-54700829-2094487613-126614958-1000
Supprimé! C:\Recycler\S-1-5-21-4855241671-0066449629-782549517-4732
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-2913509547-2207933144-4024826561-1000
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-298941653-824622453-3325850243-1000
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-54700829-2094487613-126614958-1000
################## | Registre |
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
################## | Mountpoints2 |
################## | Listing |
[15/11/2010 - 23:41:19 | SHD ] C:\$Recycle.Bin
[27/06/2010 - 18:50:30 | D ] C:\ATI
[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
[15/11/2010 - 21:14:13 | AD ] C:\autorun.inf
[28/06/2010 - 00:32:40 | D ] C:\Boot
[21/01/2008 - 03:24:42 | RASH | 333203] C:\bootmgr
[28/06/2010 - 00:32:41 | N | 8192] C:\BOOTSECT.BAK
[15/11/2010 - 22:42:47 | D ] C:\Config.Msi
[18/09/2006 - 22:43:37 | N | 10] C:\config.sys
[02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
[01/08/2010 - 00:11:41 | D ] C:\f58a8bb2cd4113d481a44a6805d5
[28/07/2010 - 02:32:51 | D ] C:\Fraps
[22/09/2010 - 14:24:47 | D ] C:\GTR2
[27/06/2010 - 18:54:43 | D ] C:\Intel
[14/09/2010 - 16:26:57 | D ] C:\IntelEmbedded6.0
[28/07/2010 - 03:42:45 | N | 0] C:\IO.SYS
[28/07/2010 - 03:42:45 | N | 0] C:\MSDOS.SYS
[27/06/2010 - 16:01:49 | RHD ] C:\MSOCache
[15/11/2010 - 23:06:13 | ASH | 3533127680] C:\pagefile.sys
[21/01/2008 - 03:32:31 | D ] C:\PerfLogs
[15/11/2010 - 22:24:39 | D ] C:\Program Files
[15/11/2010 - 22:47:15 | HD ] C:\ProgramData
[12/10/2010 - 13:16:11 | RSHD ] C:\RECYCLER
[05/07/2010 - 14:53:17 | D ] C:\SolidWorks Data
[10/11/2010 - 18:13:09 | SHD ] C:\System Volume Information
[15/11/2010 - 23:41:19 | D ] C:\UsbFix
[15/11/2010 - 23:40:57 | A | 867] C:\UsbFix.txt
[27/06/2010 - 15:50:32 | D ] C:\Users
[15/11/2010 - 21:16:11 | N | 290] C:\Win32.Worm.Downladup.Gen.log
[15/11/2010 - 23:06:16 | D ] C:\Windows
[15/11/2010 - 22:37:25 | N | 41698] C:\ZHPExportRegistry-15-11-2010-22-37-25.txt
[15/11/2010 - 23:38:31 | N | 2446] C:\ZHPRegY0.zhp
[11/11/2010 - 19:01:16 | D ] F:\MISC
[17/10/2010 - 13:21:50 | D ] F:\var
[11/11/2010 - 19:01:16 | D ] F:\DCIM
[18/10/2010 - 14:15:10 | N | 145546] F:\bookmarksportable.html
[12/10/2010 - 23:30:06 | N | 290558] F:\T.LECLERE CV v1.pdf
[12/10/2010 - 18:34:00 | N | 219472] F:\bbbb.jpg
[05/11/2010 - 18:46:56 | N | 24673] F:\English CV test 1.docx
[10/11/2010 - 14:18:46 | N | 1444357] F:\Cambridge Exam.pdf
[03/07/2008 - 09:56:50 | N | 728670208] F:\99 F..avi
[15/11/2010 - 23:41:19 | SHD ] I:\$RECYCLE.BIN
[15/11/2010 - 21:14:14 | AD ] I:\autorun.inf
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.1028.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.1031.txt
[07/11/2007 - 07:00:40 | N | 10134] I:\eula.1033.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.1036.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.1040.txt
[07/11/2007 - 07:00:40 | N | 118] I:\eula.1041.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.1042.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.2052.txt
[07/11/2007 - 07:00:40 | N | 17734] I:\eula.3082.txt
[07/11/2007 - 07:00:40 | N | 1110] I:\globdata.ini
[07/11/2007 - 07:03:18 | N | 562688] I:\install.exe
[07/11/2007 - 07:00:40 | N | 843] I:\install.ini
[07/11/2007 - 07:03:18 | N | 76304] I:\install.res.1028.dll
[07/11/2007 - 07:03:18 | N | 96272] I:\install.res.1031.dll
[07/11/2007 - 07:03:18 | N | 91152] I:\install.res.1033.dll
[07/11/2007 - 07:03:18 | N | 97296] I:\install.res.1036.dll
[07/11/2007 - 07:03:18 | N | 95248] I:\install.res.1040.dll
[07/11/2007 - 07:03:18 | N | 81424] I:\install.res.1041.dll
[07/11/2007 - 07:03:18 | N | 79888] I:\install.res.1042.dll
[07/11/2007 - 07:03:18 | N | 75792] I:\install.res.2052.dll
[07/11/2007 - 07:03:18 | N | 96272] I:\install.res.3082.dll
[07/04/2010 - 12:08:23 | D ] I:\Mes docs
[19/03/2009 - 18:55:17 | SHD ] I:\System Volume Information
[24/10/2010 - 10:53:30 | D ] I:\var
[07/11/2007 - 07:00:40 | N | 5686] I:\vcredist.bmp
[07/11/2007 - 07:09:22 | N | 1442522] I:\VC_RED.cab
[07/11/2007 - 07:12:28 | N | 232960] I:\VC_RED.MSI
[06/11/2010 - 18:58:44 | D ] I:\Vidéos
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-TOM.zip
http://www.teamxscript.org/Sample/Upload.php
Merci de votre contribution.
################## | E.O.F |
Utilisateur anonyme
15 nov. 2010 à 23:56
15 nov. 2010 à 23:56
Essaye de lancer Malwarebytes pour voir si cela marche maintenant
Tu n'as pas collé cette ligne dans ZHPFix ?
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified
Tu n'as pas collé cette ligne dans ZHPFix ?
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified
Malwarebytes ne marche toujour pas malheureusement.
Pour ZHPFix, je l'ai bien collée, mais en cliquant sur MBRFix, il me demande "veuillez consulter la documentation avant d'utiliser cette commande. Quitter ? Oui / Non". Du coup j'ai cliqué sur "Non" et le rapport que j'ai collé au dessus est apparu.
Si je fait "H" puis "ok", "tous", "nettoyer" (donc sans toucher a MBRFix) j'obtiens ceci (dsl si j'ai pas fait la bonne manip du premier coup...) :
Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre :
Run by Tom at 15/11/2010 23:59:20
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Récapitulatif ==========
End of the scan
Après ça, malwarebytes ne marche toujours pas. :(
Pour ZHPFix, je l'ai bien collée, mais en cliquant sur MBRFix, il me demande "veuillez consulter la documentation avant d'utiliser cette commande. Quitter ? Oui / Non". Du coup j'ai cliqué sur "Non" et le rapport que j'ai collé au dessus est apparu.
Si je fait "H" puis "ok", "tous", "nettoyer" (donc sans toucher a MBRFix) j'obtiens ceci (dsl si j'ai pas fait la bonne manip du premier coup...) :
Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre :
Run by Tom at 15/11/2010 23:59:20
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Récapitulatif ==========
End of the scan
Après ça, malwarebytes ne marche toujours pas. :(
Et non...ça n'a pas marché, Malwarebytes ne veut décidément rien entendre...
Merci beaucoup pour ton aide ce soir,
Si je peux avoir la chance de profiter de ton savoir demain ca serait très très sympa !
Tom
Merci beaucoup pour ton aide ce soir,
Si je peux avoir la chance de profiter de ton savoir demain ca serait très très sympa !
Tom
Utilisateur anonyme
16 nov. 2010 à 00:17
16 nov. 2010 à 00:17
* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
* Si le programme demande pour supprimer le proxy, tape 1 si tu es sûr que ce n'est pas toi qui l'a mis, sinon taper 2
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.
Ensuite essaye de relancer Malwatebytes
Si cela ne marche pas, il faudra peut-être aborder la solution du formatage,
mais nous en sommes pas encore là
* Quitte tous tes programmes en cours
* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
* Si le programme demande pour supprimer le proxy, tape 1 si tu es sûr que ce n'est pas toi qui l'a mis, sinon taper 2
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.
Ensuite essaye de relancer Malwatebytes
Si cela ne marche pas, il faudra peut-être aborder la solution du formatage,
mais nous en sommes pas encore là