Virus besoin analyse rapport hijack

c-de-lard-ou-du-cochon Messages postés 91 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Je suis infecté voici un rapport hijack merci par avance aux helpers voulant bien me venir en aide.

http://www.cijoint.fr/cjlink.php?file=cj201011/cijMr53E4g.txt

13 réponses

  1. Utilisateur anonyme
     
    Bonsoir,

    Bienvenue sur CCM


    Hijackthis est peu efficace fais donc ceci :

    >>>>Télécharger ZHPdiag https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    * Cliquer sur le Lien, et Sélectionner ==> Enregistrer le Fichier sous ==> Vers le bureau
    /! Il est très important de l'enregistrer sur le bureau !\
    * Une fois téléchargé, Une icône apparaitra alors sur votre bureau.......

    * Ouvrez alors ce fichier,, (clique droit exécuter en tant qu'administrateur pour Vista/7)

    * Installer le avec ces paramètres par défaut,, Sans oublier de cocher la case "Créer une icône sur le bureau"

    * Une fois installer si le logiciel ne se lance pas tous seul, Double clic sur le raccourci qui se sera crée sur le bureau (clique droit, exécuter en tant qu'administrateur pour VISTA/7)

    * cliquez alors sur la loupe pour lancer le diagnostic

    * Une fois le diagnostic terminé, Normalement le rapport s'enregistre automatiquement sur votre Bureau
    * Si la sauvegarde du rapport ne ce fait pas automatiquement, cliquer alors sur la Disquette
    * Enregistrez votre rapport sur votre bureau affin de le retrouver plus facilement

    >>>>>puis Héberger le comme suit :

    Rendez vous sur ce lien : ==> http://www.cijoint.fr

    * Cliquez sur Parcourir dans la partie Sélectionnez le fichier que vous souhaitez déposer
    * Sélectionnez le rapport ZHPdiag.txt qui se trouve sur ton bureau
    *Cliquez ensuite sur " Cliquez ici pour déposer le fichier ", Un lien va se former,

    * Il ne vous restera plus que a Copier le lien ici
    0
  2. c-de-lard-ou-du-cochon Messages postés 91 Statut Membre 3
     
    Voici mon rapport ZHP

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijyUaVYxk.txt
    0
  3. Utilisateur anonyme
     
    bonsoir,

    ->>Télécharge ici : USBFIX sur ton bureau

    Branche tous tes périphériques sans les ouvrir

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    ->>>choisi l option Suppression

    ->>>UsbFix scannera ton pc , laisse travailler l outil.

    ->>>Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ? Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    @PuissancePC
    0
  4. c-de-lard-ou-du-cochon Messages postés 91 Statut Membre 3
     
    Bonjour,

    Merci pour les manips à faire je ferai ça ce soir, là je dois partir au travail... Merci beaucoup encore une fois !
    0
    1. Utilisateur anonyme
       
      Aucun problèmes faites à votre rythmes. :)
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. c-de-lard-ou-du-cochon Messages postés 91 Statut Membre 3
     
    Bonsoir,

    Désolé pour le retard voici mon rapport USBFIX :

    ############################## | UsbFix 7.035 | [Suppression]

    Utilisateur: Constance (Administrateur) # PC-DE-CONSTANCE [Packard Bell BV EASYNOTE SL65]
    Mis à jour le 22/11/10 par El Desaparecido / C_XX
    Lancé à 21:43:12 | 24/11/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Pentium(R) Dual CPU T3200 @ 2.00GHz
    CPU 2: Intel(R) Pentium(R) Dual CPU T3200 @ 2.00GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000

    Pare-feu Windows: Activé
    RAM -> 3066 Mo
    C:\ (%systemdrive%) -> Disque fixe # 221 Go (23 Go libre(s) - 11%) [HDD] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque amovible # 15 Go (14 Go libre(s) - 88%) [A2 VISION] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\Users\Constance\Documents - Raccourci.lnk
    Supprimé! C:\$RECYCLE.BIN\S-1-5-18
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2691311370-2533348029-1936547111-500
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-269432115-2520980388-1485019777-1000

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1d1ac529-0a43-11df-a51d-00238b08e278}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8921ca88-f643-11de-9bac-00238b08e278}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d0014368-0c3a-11df-8df5-00238b08e278}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e45daf11-0972-11de-9298-00238b08e278}

    ################## | Listing |

    [24/11/2010 - 21:46:19 | SHD ] C:\$Recycle.Bin
    [16/09/2010 - 21:45:51 | D ] C:\AMD
    [16/09/2010 - 22:36:11 | D ] C:\ATI
    [18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
    [22/05/2008 - 21:37:27 | D ] C:\boot
    [21/01/2008 - 03:24:42 | RASH | 333203] C:\bootmgr
    [22/05/2008 - 21:37:29 | N | 8192] C:\BOOTSECT.BAK
    [20/11/2010 - 07:25:47 | D ] C:\Config.Msi
    [18/09/2006 - 22:43:37 | N | 10] C:\config.sys
    [02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
    [22/05/2008 - 21:30:47 | D ] C:\drivers
    [23/04/2008 - 16:10:04 | N | 2916] C:\files.crc
    [22/11/2010 - 19:14:59 | ASH | 3215556608] C:\hiberfil.sys
    [22/05/2008 - 12:19:10 | D ] C:\Intel
    [29/01/2009 - 13:03:29 | N | 0] C:\IO.SYS
    [14/09/2009 - 10:33:30 | D ] C:\MAGIX
    [29/01/2009 - 13:03:29 | N | 0] C:\MSDOS.SYS
    [22/05/2008 - 12:45:48 | RHD ] C:\MSOCache
    [22/11/2010 - 19:14:58 | ASH | 3529371648] C:\pagefile.sys
    [21/01/2008 - 03:32:31 | D ] C:\PerfLogs
    [22/11/2010 - 21:11:02 | D ] C:\Program Files
    [18/11/2010 - 09:27:53 | HD ] C:\ProgramData
    [08/11/2010 - 08:09:56 | N | 20628] C:\RectorDecryptor.2.3.0.0_08.11.2010_08.06.57_log.txt
    [18/11/2010 - 12:54:02 | N | 22514] C:\RectorDecryptor.2.3.1.0_18.11.2010_12.46.04_log.txt
    [22/05/2008 - 12:22:56 | N | 650] C:\RHDSetup.log
    [23/11/2010 - 07:36:02 | SHD ] C:\System Volume Information
    [06/11/2010 - 21:05:04 | D ] C:\TDSSKiller_Quarantine
    [24/11/2010 - 21:46:19 | D ] C:\UsbFix
    [24/11/2010 - 21:43:13 | A | 2943] C:\UsbFix.txt
    [02/12/2008 - 17:53:34 | D ] C:\Users
    [19/11/2010 - 08:54:05 | D ] C:\Windows

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CONSTANCE.zip
    http://www.teamxscript.org/Sample/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |

    Merci encore pour l'aide, et pour le temps que vous prenez.
    0
  7. Utilisateur anonyme
     
    bonsoir ;)

    * Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    http://www.teamxscript.org/adremoverTelechargement.html

    ! Déconnecte toi et ferme toutes applications en cours !

    * Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7) sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.

    * Double-clique ou clic droit (exécuter en tant que admin...sur Vista et Windows 7) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    * Au menu principal choisis l'option "Nettoyer"
    et sur [entrée] .

    * Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparaît à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Ensuite,

    [*] Télécharge Malwarebytes

    [*] Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    [*] Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    [*] Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"

    [*] L'analyse peut durer un bon moment.....

    [*] Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"

    [*] Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"

    [*] Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
    0
  8. c-de-lard-ou-du-cochon Messages postés 91 Statut Membre 3
     
    Voici le rapport adremover :

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 11/11/10 à 11:40
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:51:18 le 24/11/2010, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
    Constance@PC-DE-CONSTANCE (Packard Bell BV EASYNOTE SL65)

    ============== ACTION(S) ==============

    Fichier supprimé: C:\Users\Constance\AppData\Roaming\Mozilla\FireFox\Profiles\upkpa59x.default\prefs.js.ask.bak
    Fichier supprimé: C:\Users\Constance\AppData\Roaming\Mozilla\FireFox\Profiles\upkpa59x.default\searchplugins\ask.uk.xml
    Dossier supprimé: C:\Users\Constance\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ask Search Assistant
    Dossier supprimé: C:\Program Files\Ask Search Assistant
    Fichier supprimé: C:\Users\Constance\Downloads\Live-Player_setup.exe

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
    Clé supprimée: HKLM\Software\PopCap
    Clé supprimée: HKLM\Software\Winsudate
    Clé supprimée: HKCU\Software\AskSearchAsst
    Clé supprimée: HKCU\Software\PopCap
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\AskSearchAsst.exe

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [Impossible d'obtenir la version] **

    -- C:\Users\Constance\AppData\Roaming\Mozilla\FireFox\Profiles\upkpa59x.default\Prefs.js --
    browser.download.dir, C:\\Users\\Constance\\Downloads
    browser.search.defaultenginename, Google
    browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
    browser.startup.homepage_override.mstone, rv:1.9.1.15
    keyword.URL, hxxp://www.wibeez.com/meteo?search&q=

    ========================================

    ** Internet Explorer Version [7.0.6001.18000] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 8 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 24/11/2010 (3248 Octet(s))

    Fin à: 23:03:51, 24/11/2010

    ============== E.O.F ==============

    Malware est en cours d'execution...
    0
    1. Utilisateur anonyme
       
      OK a demain ;)
      0
  9. c-de-lard-ou-du-cochon Messages postés 91 Statut Membre 3
     
    Bonjour,

    Voici le rapport malwarebyte's :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 5184

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    25/11/2010 08:05:43
    mbam-log-2010-11-25 (08-05-43).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 318617
    Temps écoulé: 2 heure(s), 21 minute(s), 23 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\windows update system (Trojan.Backdoor) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  10. Utilisateur anonyme
     
    Bonjour ;)

    Post Un rapport ZHP comme expliquer plus haut stp ;)
    0
  11. c-de-lard-ou-du-cochon Messages postés 91 Statut Membre 3
     
    Bonsoir,

    Alors lorsque je lance un scan, ZHP le sanc se lance normalement et à 20% environ écran bleu le PC redémarre, j'ai essayé 3 fois...
    0
  12. Utilisateur anonyme
     
    Bonsoir,,

    Démarre en mode sans échec en tapotant la touche F8 et lance un scan en ZHP puis post si joint ici :)

    0
  13. c-de-lard-ou-du-cochon Messages postés 91 Statut Membre 3
     
    Voici le rapport ZHP : http://www.cijoint.fr/cjlink.php?file=cj201011/cijftEFnEH.txt

    Merci du temps consacré à m'aider.
    0
  14. Utilisateur anonyme
     
    Bonsoir,

    Désinstalle ça: Plants vs. Zombies

    dans panneau de configuration / Ajout de suppression de programmes .

    Ensuite fais ceci:

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Ou ici : https://forospyware.com
    >Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
    -> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - Installe le console de récupération comme demandé ;utile en cas de plantage

    - Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)

    ::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

    si besoin aide toi de ce tuto : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    @PuissancePC
    0