redirection sur gomeo (bis) Fermé

Question

Bonjour, il semblerait que j'ai une grosse infection. A chaque fois que je clique sur un lien de recherche google, je suis redirigé sur gomeo.fr. Quelqu'un pourrait prendre cette affaire en main svp ? Je dois sortir ce soir mais j'aurais vos réponses a mon retour, help me pleaaaaase !!!!!!!!!!



Configuration: Windows XP / Internet Explorer 8.0

jlpjlp · Answer

slt,

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic) 

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) 

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

papatd · Answer

Salut, merci d'avoir répondu si vite, voici le rapport ZHP 
J'ai d'ailleurs un nouveau truc suspect, une alerte de sécurité qui me parait suspecte au démarrage, je dois être bien infecté !

http://www.cijoint.fr/cjlink.php?file=cj201011/cijpaaEji9.txt

jlpjlp · Answer

colle un rapport de nettoyage avec le logiciel ad remover

http://www.teamxscript.org/adremover.html

papatd · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:11:11 le 30/11/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
patrice d@ADMIN ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.



============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 30/11/2010 (482 Octet(s)) 

Fin à: 18:13:00, 30/11/2010 
 
============== E.O.F ==============

papatd · Answer

Par contre je n'ai pas fait de nettoyage avec ZHP, j'aurais du ?

jlpjlp · Answer

analyse ces 6 fichiers sur virus total et colle nous les rapport  
http://www.virustotal.com/index.html  
C:\Windows\explorer.exe  
C:\Windows\system32\winlogon.exe  
C:\Windows\system32\wininit.exe 
C:\Program Files\cacaoweb\cacaoweb.exe
C:\WINDOWS\wiadebug.log 
C:\WINDOWS\WindowsUpdate.log

papatd · Answer

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5214

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/11/2010 18:28:28
mbam-log-2010-11-30 (18-28-24).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 196870
Temps écoulé: 4 minute(s), 40 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\documents and settings\patrice d\menu démarrer\programmes\antimalware doctor (Rogue.AntiMalwareDoctor) -> No action taken.

Fichier(s) infecté(s):
c:\zrpt.xml (Malware.Trace) -> No action taken.
c:\documents and settings\all users.windows\documents\Server\admin.txt (Malware.Trace) -> No action taken.
c:\documents and settings\patrice d\menu démarrer\programmes\antimalware doctor\antimalware doctor.lnk (Rogue.AntiMalwareDoctor) -> No action taken.
c:\documents and settings\patrice d\menu démarrer\programmes\antimalware doctor\uninstall.lnk (Rogue.AntiMalwareDoctor) -> No action taken.

Est-que je supprime la séléction ?

jlpjlp · Answer

oui

puis fais mon précedent message

papatd · Answer

File name: explorer.exe
Submission date: 2010-11-30 17:32:36 (UTC)
Current status: queued (#8) queued (#8) analysing finished


Result: 24/ 43 (55.8%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.11.30.01 2010.11.30 - 
AntiVir 7.10.14.143 2010.11.30 - 
Antiy-AVL 2.0.3.7 2010.11.30 - 
Avast 4.8.1351.0 2010.11.30 Win32:Bamital-AO 
Avast5 5.0.677.0 2010.11.30 Win32:Bamital-AO 
AVG 9.0.0.851 2010.11.30 Win32/Patched 
BitDefender 7.2 2010.11.30 Trojan.Patched.GR 
CAT-QuickHeal 11.00 2010.11.30 Trojan.Patched.JW 
ClamAV 0.96.4.0 2010.11.30 - 
Command 5.2.11.5 2010.11.30 W32/Bamital.F 
Comodo 6904 2010.11.30 TrojWare.Win32.Patched.kl 
DrWeb 5.0.2.03300 2010.11.30 Win32.Dat.14 
Emsisoft 5.0.0.50 2010.11.30 - 
eSafe 7.0.17.0 2010.11.29 - 
eTrust-Vet 36.1.8008 2010.11.30 Win32/Bamital.AP 
F-Prot 4.6.2.117 2010.11.30 W32/Bamital.F 
F-Secure 9.0.16160.0 2010.11.30 Trojan.Patched.GR 
Fortinet 4.2.254.0 2010.11.30 W32/Pached.KL!tr 
GData 21 2010.11.30 Win32:Bamital-AO 
Ikarus T3.1.1.90.0 2010.11.30 - 
Jiangmin 13.0.900 2010.11.30 - 
K7AntiVirus 9.69.3126 2010.11.30 Virus 
Kaspersky 7.0.0.125 2010.11.30 Trojan.Win32.Patched.kl 
McAfee 5.400.0.1158 2010.11.30 - 
McAfee-GW-Edition 2010.1C 2010.11.30 - 
Microsoft 1.6402 2010.11.30 Virus:Win32/Bamital.I 
NOD32 5661 2010.11.30 Win32/Bamital.EV 
Norman 6.06.10 2010.11.30 - 
nProtect 2010-11-30.01 2010.11.30 Trojan.Patched.GR 
Panda 10.0.2.7 2010.11.30 W32/Patched.AC 
PCTools 7.0.3.5 2010.11.30 Trojan.Bamital 
Prevx 3.0 2010.11.30 - 
Rising 22.76.01.04 2010.11.30 - 
Sophos 4.60.0 2010.11.30 Troj/Patched-O 
SUPERAntiSpyware 4.40.0.1006 2010.11.30 - 
Symantec 20101.2.0.161 2010.11.30 Trojan.Bamital!inf 
TheHacker 6.7.0.1.093 2010.11.30 - 
TrendMicro 9.120.0.1004 2010.11.30 PE_PATCHED.SMC 
TrendMicro-HouseCall 9.120.0.1004 2010.11.30 PE_PATCHED.SMC 
VBA32 3.12.14.2 2010.11.30 - 
VIPRE 7454 2010.11.30 - 
ViRobot 2010.11.30.4177 2010.11.30 - 
VirusBuster 13.6.66.0 2010.11.29 - 
Additional informationShow all  
MD5   : fb7c3e1fb0e273f8a041ee0af27be807 
SHA1  : 312712e4574a6bc039e89d8ac23eaa32ed371de3 
SHA256: f47847cc247396cb9c35fdad409c6e4016e34544207b53961ecf5dbb617b8982

papatd · Answer

File name: winlogon.exe
Submission date: 2010-11-30 17:36:36 (UTC)
Current status: queued (#11) queued (#1) analysing finished


Result: 24/ 42 (57.1%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.11.30.01 2010.11.30 - 
AntiVir 7.10.14.143 2010.11.30 - 
Antiy-AVL 2.0.3.7 2010.11.30 - 
Avast 4.8.1351.0 2010.11.30 Win32:Bamital-AO 
Avast5 5.0.677.0 2010.11.30 Win32:Bamital-AO 
AVG 9.0.0.851 2010.11.30 Win32/Patched 
BitDefender 7.2 2010.11.30 Trojan.Patched.GR 
CAT-QuickHeal 11.00 2010.11.30 Trojan.Patched.JW 
ClamAV 0.96.4.0 2010.11.30 - 
Command 5.2.11.5 2010.11.30 W32/Bamital.F 
Comodo 6904 2010.11.30 TrojWare.Win32.Patched.kl 
DrWeb 5.0.2.03300 2010.11.30 Win32.Dat.14 
Emsisoft 5.0.0.50 2010.11.30 - 
eTrust-Vet 36.1.8008 2010.11.30 Win32/Bamital.AP 
F-Prot 4.6.2.117 2010.11.30 W32/Bamital.F 
F-Secure 9.0.16160.0 2010.11.30 Trojan.Patched.GR 
Fortinet 4.2.254.0 2010.11.30 W32/Pached.KL!tr 
GData 21 2010.11.30 Win32:Bamital-AO 
Ikarus T3.1.1.90.0 2010.11.30 - 
Jiangmin 13.0.900 2010.11.30 - 
K7AntiVirus 9.69.3126 2010.11.30 Virus 
Kaspersky 7.0.0.125 2010.11.30 Trojan.Win32.Patched.kl 
McAfee 5.400.0.1158 2010.11.30 - 
McAfee-GW-Edition 2010.1C 2010.11.30 - 
Microsoft 1.6402 2010.11.30 Virus:Win32/Bamital.I 
NOD32 5661 2010.11.30 Win32/Bamital.EV 
Norman 6.06.10 2010.11.30 - 
nProtect 2010-11-30.01 2010.11.30 Trojan.Patched.GR 
Panda 10.0.2.7 2010.11.30 W32/Patched.AC 
PCTools 7.0.3.5 2010.11.30 Trojan.Bamital 
Prevx 3.0 2010.11.30 - 
Rising 22.76.01.04 2010.11.30 - 
Sophos 4.60.0 2010.11.30 Troj/Patched-O 
SUPERAntiSpyware 4.40.0.1006 2010.11.30 - 
Symantec 20101.2.0.161 2010.11.30 Trojan.Bamital!inf 
TheHacker 6.7.0.1.093 2010.11.30 - 
TrendMicro 9.120.0.1004 2010.11.30 PE_PATCHED.SMC 
TrendMicro-HouseCall 9.120.0.1004 2010.11.30 PE_PATCHED.SMC 
VBA32 3.12.14.2 2010.11.30 - 
VIPRE 7454 2010.11.30 - 
ViRobot 2010.11.30.4177 2010.11.30 - 
VirusBuster 13.6.66.0 2010.11.29 - 
Additional informationShow all  
MD5   : e6f19e5cf57b7fa9debebc3bbf4f3c6a 
SHA1  : 874dbc77a25d6e913779d7a9e097960ab652bbd0 
SHA256: 65487260bce59b407da602b019831fed5a3d3187dd4d35bbefc0286aa726cc18

papatd · Answer

File name: cacaoweb.exe
Submission date: 2010-11-30 17:39:06 (UTC)
Current status: queued queued analysing finished


Result: 1/ 43 (2.3%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.11.30.01 2010.11.30 - 
AntiVir 7.10.14.143 2010.11.30 - 
Antiy-AVL 2.0.3.7 2010.11.30 - 
Avast 4.8.1351.0 2010.11.30 - 
Avast5 5.0.677.0 2010.11.30 - 
AVG 9.0.0.851 2010.11.30 - 
BitDefender 7.2 2010.11.30 - 
CAT-QuickHeal 11.00 2010.11.30 - 
ClamAV 0.96.4.0 2010.11.30 - 
Command 5.2.11.5 2010.11.30 - 
Comodo 6904 2010.11.30 - 
DrWeb 5.0.2.03300 2010.11.30 - 
Emsisoft 5.0.0.50 2010.11.30 - 
eSafe 7.0.17.0 2010.11.29 - 
eTrust-Vet 36.1.8008 2010.11.30 - 
F-Prot 4.6.2.117 2010.11.30 - 
F-Secure 9.0.16160.0 2010.11.30 - 
Fortinet 4.2.254.0 2010.11.30 - 
GData 21 2010.11.30 - 
Ikarus T3.1.1.90.0 2010.11.30 - 
Jiangmin 13.0.900 2010.11.30 - 
K7AntiVirus 9.69.3126 2010.11.30 - 
Kaspersky 7.0.0.125 2010.11.30 - 
McAfee 5.400.0.1158 2010.11.30 - 
McAfee-GW-Edition 2010.1C 2010.11.30 - 
Microsoft 1.6402 2010.11.30 - 
NOD32 5661 2010.11.30 - 
Norman 6.06.10 2010.11.30 - 
nProtect 2010-11-30.01 2010.11.30 - 
Panda 10.0.2.7 2010.11.30 - 
PCTools 7.0.3.5 2010.11.30 - 
Prevx 3.0 2010.11.30 High Risk Cloaked Malware 
Rising 22.76.01.04 2010.11.30 - 
Sophos 4.60.0 2010.11.30 - 
SUPERAntiSpyware 4.40.0.1006 2010.11.30 - 
Symantec 20101.2.0.161 2010.11.30 - 
TheHacker 6.7.0.1.093 2010.11.30 - 
TrendMicro 9.120.0.1004 2010.11.30 - 
TrendMicro-HouseCall 9.120.0.1004 2010.11.30 - 
VBA32 3.12.14.2 2010.11.30 - 
VIPRE 7455 2010.11.30 - 
ViRobot 2010.11.30.4177 2010.11.30 - 
VirusBuster 13.6.66.0 2010.11.29 - 
Additional informationShow all  
MD5   : a5d74788eccf79ec560e47075d06d969 
SHA1  : 9e33f69752579885798616c52d715da5487a51e8 
SHA256: 18963e22d5d999ab83d82b876afaa52acc1512ebf65edb13cc1af3dabdb277e1

jlpjlp · Answer

ok fais les fichiers suivants

et vire ZHPDIAG que tu as !!! c'est pour cela que l'on ne voit pas tout : tu a une version ancienne ...


télécharge la dernière et remets un rapport

a plus

papatd · Answer

File name: wiadebug.log
Submission date: 2010-11-30 17:43:42 (UTC)
Current status: queued (#6) queued (#6) analysing finished


Result: 0/ 43 (0.0%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.11.30.01 2010.11.30 - 
AntiVir 7.10.14.143 2010.11.30 - 
Antiy-AVL 2.0.3.7 2010.11.30 - 
Avast 4.8.1351.0 2010.11.30 - 
Avast5 5.0.677.0 2010.11.30 - 
AVG 9.0.0.851 2010.11.30 - 
BitDefender 7.2 2010.11.30 - 
CAT-QuickHeal 11.00 2010.11.30 - 
ClamAV 0.96.4.0 2010.11.30 - 
Command 5.2.11.5 2010.11.30 - 
Comodo 6904 2010.11.30 - 
DrWeb 5.0.2.03300 2010.11.30 - 
Emsisoft 5.0.0.50 2010.11.30 - 
eSafe 7.0.17.0 2010.11.29 - 
eTrust-Vet 36.1.8008 2010.11.30 - 
F-Prot 4.6.2.117 2010.11.30 - 
F-Secure 9.0.16160.0 2010.11.30 - 
Fortinet 4.2.254.0 2010.11.30 - 
GData 21 2010.11.30 - 
Ikarus T3.1.1.90.0 2010.11.30 - 
Jiangmin 13.0.900 2010.11.30 - 
K7AntiVirus 9.69.3126 2010.11.30 - 
Kaspersky 7.0.0.125 2010.11.30 - 
McAfee 5.400.0.1158 2010.11.30 - 
McAfee-GW-Edition 2010.1C 2010.11.30 - 
Microsoft 1.6402 2010.11.30 - 
NOD32 5661 2010.11.30 - 
Norman 6.06.10 2010.11.30 - 
nProtect 2010-11-30.01 2010.11.30 - 
Panda 10.0.2.7 2010.11.30 - 
PCTools 7.0.3.5 2010.11.30 - 
Prevx 3.0 2010.11.30 - 
Rising 22.76.01.04 2010.11.30 - 
Sophos 4.60.0 2010.11.30 - 
SUPERAntiSpyware 4.40.0.1006 2010.11.30 - 
Symantec 20101.2.0.161 2010.11.30 - 
TheHacker 6.7.0.1.093 2010.11.30 - 
TrendMicro 9.120.0.1004 2010.11.30 - 
TrendMicro-HouseCall 9.120.0.1004 2010.11.30 - 
VBA32 3.12.14.2 2010.11.30 - 
VIPRE 7455 2010.11.30 - 
ViRobot 2010.11.30.4177 2010.11.30 - 
VirusBuster 13.6.66.0 2010.11.29 - 
Additional informationShow all  
MD5   : 27535012b0aad867eb70586ed72d362c 
SHA1  : 40169983c5b139a10bd3599dbe696eafd3226a7f 
SHA256: 28542706470a98df4eeaf24e54f5d3743ed0a79f93fd2e445756da80f6c5b00f

jlpjlp · Answer

ok   vire ZHPDIAG que tu as !!! c'est pour cela que l'on ne voit pas tout : tu as une version ancienne ...  



télécharge la dernière et remets un rapport  

a plus

papatd · Answer

File name: WindowsUpdate.log
Submission date: 2010-11-30 17:49:05 (UTC)
Current status: queued (#5) queued (#5) analysing finished


Result: 0/ 42 (0.0%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.11.30.01 2010.11.30 - 
AntiVir 7.10.14.155 2010.11.30 - 
Antiy-AVL 2.0.3.7 2010.11.30 - 
Avast 4.8.1351.0 2010.11.30 - 
Avast5 5.0.677.0 2010.11.30 - 
AVG 9.0.0.851 2010.11.30 - 
BitDefender 7.2 2010.11.30 - 
CAT-QuickHeal 11.00 2010.11.30 - 
ClamAV 0.96.4.0 2010.11.30 - 
Command 5.2.11.5 2010.11.30 - 
Comodo 6904 2010.11.30 - 
DrWeb 5.0.2.03300 2010.11.30 - 
Emsisoft 5.0.0.50 2010.11.30 - 
eSafe 7.0.17.0 2010.11.29 - 
eTrust-Vet 36.1.8008 2010.11.30 - 
F-Prot 4.6.2.117 2010.11.30 - 
F-Secure 9.0.16160.0 2010.11.30 - 
Fortinet 4.2.254.0 2010.11.30 - 
GData 21 2010.11.30 - 
Ikarus T3.1.1.90.0 2010.11.30 - 
Jiangmin 13.0.900 2010.11.30 - 
K7AntiVirus 9.69.3126 2010.11.30 - 
Kaspersky 7.0.0.125 2010.11.30 - 
McAfee 5.400.0.1158 2010.11.30 - 
McAfee-GW-Edition 2010.1C 2010.11.30 - 
Microsoft 1.6402 2010.11.30 - 
NOD32 5661 2010.11.30 - 
Norman 6.06.10 2010.11.30 - 
nProtect 2010-11-30.01 2010.11.30 - 
Panda 10.0.2.7 2010.11.30 - 
PCTools 7.0.3.5 2010.11.30 - 
Prevx 3.0 2010.11.30 - 
Rising 22.76.01.04 2010.11.30 - 
Sophos 4.60.0 2010.11.30 - 
SUPERAntiSpyware 4.40.0.1006 2010.11.30 - 
Symantec 20101.2.0.161 2010.11.30 - 
TheHacker 6.7.0.1.093 2010.11.30 - 
TrendMicro 9.120.0.1004 2010.11.30 - 
TrendMicro-HouseCall 9.120.0.1004 2010.11.30 - 
VBA32 3.12.14.2 2010.11.30 - 
VIPRE 7455 2010.11.30 - 
ViRobot 2010.11.30.4177 2010.11.30 - 
Additional informationShow all  
MD5   : f924693f40500b8730697bbf8491761f 
SHA1  : 3722c3ba1962adc37a87b3a8bccd45590441a56b 
SHA256: 1aecb09b29b8840db006647d59ca3b0a82fddb685fc45060a5cceee2013d5d8b 

Je ne trouve pas wininit.exe dans mon dossier system32

papatd · Answer

le dernier rapport ZHP
http://www.cijoint.fr/cjlink.php?file=cj201011/cijp8THLDB.txt

jlpjlp · Answer

ok relance ZHPDIAG

puis clique sur les jumelles en haut pour lancer ZHPSEARCH

puis en bas à droite sélectionnes dans la liste déroulante bamital et lance la recherche


puis 
télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

papattd · Answer

euh... j'ai fait ce que tu m'as dit et mon ordi n'a plus de connection internet depuis le passage de combofix ! Je passe par mon portable pour t'envoyer le rapport, j'espere récuperer ma connection !? 
http://www.cijoint.fr/cjlink.php?file=cj201011/cijfimsoGV.txt

papatd · Answer

j'ai récupéré ma connection comme expliqué dans le tuto, dsl d'avoir parlé trop vite

jlpjlp · Answer

le rapport de ZHPSAEARCH ?

papatd · Answer

oops, dsl je l'ai perdu en route, je viens de refaire un scan, voici le rapport


Rapport de ZHPSearch 1.23.09 par Nicolas Coolman, Update du 27/11/2010
Run by patrice d at 01/12/2010 16:18:50
Windows XP Professional Service Pack 3 (Build 2600)

---\ Elément(s) de recherche
- Trojan.Batimal

---\ Liste des Fichiers & Dossiers:
[MD5.FB7C3E1FB0E273F8A041EE0AF27BE807] - (.Microsoft Corporation.) 03/07/2008 17:16:53 | ---A- | -- C:\Windows\explorer.exe [1037824]   => Fichier inconnu
[MD5.C3FD6FD5C67D91455C246C2A703D7280] 30/11/2010 23:47:50 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf [73992]
[MD5.FB7C3E1FB0E273F8A041EE0AF27BE807] - (.Microsoft Corporation.) 03/07/2008 17:16:53 | ---A- | -- C:\Windows\system32\dllcache\explorer.exe [1037824]   => Fichier inconnu
[MD5.E6F19E5CF57B7FA9DEBEBC3BBF4F3C6A] - (.Microsoft Corporation.) 02/04/2009 16:17:53 | ---A- | -- C:\Windows\system32\dllcache\winlogon.exe [513536]   => Fichier inconnu
[MD5.E6F19E5CF57B7FA9DEBEBC3BBF4F3C6A] - (.Microsoft Corporation.) 02/04/2009 16:17:53 | ---A- | -- C:\Windows\system32\winlogon.exe [513536]   => Fichier inconnu
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\dllcache\ws2_32.dll [82432]   => Fichier inconnu
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432]   => Fichier inconnu
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\dllcache\ws2help.dll [19968]
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]

---\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 9
Nombre de fichiers analysés : 82719
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 31s)

jlpjlp · Answer

puis clique sur les jumelles en haut pour lancer ZHPSEARCH 

puis en bas à droite sélectionnes dans la liste déroulante bamital et lance la recherche 
infos ici: http://rue-du-montceau.pagesperso-orange.fr/outils_zhpsearch.html

papatd · Answer

ok, je n'avais pas inclus le registre a la recherche, mais c'est bien ce rapport que je dois te poster ensuite ?

papatd · Answer

Rapport de ZHPSearch 1.23.09 par Nicolas Coolman, Update du 27/11/2010
Run by patrice d at 01/12/2010 16:57:12
Windows XP Professional Service Pack 3 (Build 2600)

---\ Elément(s) de recherche
- Trojan.Batimal

---\ Liste des Fichiers & Dossiers:
[MD5.FB7C3E1FB0E273F8A041EE0AF27BE807] - (.Microsoft Corporation.) 03/07/2008 17:16:53 | ---A- | -- C:\Windows\explorer.exe [1037824]   => Fichier inconnu
[MD5.C3FD6FD5C67D91455C246C2A703D7280] 30/11/2010 23:47:50 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf [73992]
[MD5.FB7C3E1FB0E273F8A041EE0AF27BE807] - (.Microsoft Corporation.) 03/07/2008 17:16:53 | ---A- | -- C:\Windows\system32\dllcache\explorer.exe [1037824]   => Fichier inconnu
[MD5.E6F19E5CF57B7FA9DEBEBC3BBF4F3C6A] - (.Microsoft Corporation.) 02/04/2009 16:17:53 | ---A- | -- C:\Windows\system32\dllcache\winlogon.exe [513536]   => Fichier inconnu
[MD5.E6F19E5CF57B7FA9DEBEBC3BBF4F3C6A] - (.Microsoft Corporation.) 02/04/2009 16:17:53 | ---A- | -- C:\Windows\system32\winlogon.exe [513536]   => Fichier inconnu
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\dllcache\ws2_32.dll [82432]   => Fichier inconnu
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432]   => Fichier inconnu
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\dllcache\ws2help.dll [19968]
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]

---\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers, Registre
Elément(s) trouvé(s) : 9
Nombre de fichiers analysés : 82716
Nombre de clés, valeurs ou données analysées : 159050
Mode : Recherche complète
End of the scan (01mn 51s)

ça a l'air d'etre le meme...

jlpjlp · Answer

le souci c'est effectivement ceci: l'infection Batimal ici: 

c:\windows\system32\winlogon.exe . . . est infecté!!
c:\windows\explorer.exe . . . est infecté!!

bon il faut trouver des fichiers de remplacement...



___________________

analyse ceci sur virus total et colle nous les rapports:

C:\Windows\system32\dllcache\explorer.exe
C:\Windows\System32\ws2help.dll
C:\Windows\System32\ws2_32.dll





___________________


copier/coller le texte suivant en gras dans un fichier.txt que tu enregistres au format .bat (par exemple recherche.bat) puis lance le fichier et postes nous le rapport log.txt obtenu 



@echo 
dir %systemdrive%\winlogon.exe /s >> log.txt 
notepad log.txt 
pause 
del log.txt 



puis refaire de même avec ceci:



@echo 
dir %systemdrive%\explorer.exe /s >> log.txt 
notepad log.txt 
pause 
del log.txt

papatd · Answer

je ne trouve pas de dossier dll cache dans system32, il peut etre ailleurs ?
 voici les autres en attendant

File name: ws2help.dll
Submission date: 2010-12-01 16:14:02 (UTC)
Current status: queued (#3) queued (#3) analysing finished


Result: 0/ 43 (0.0%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.12.01.04 2010.12.01 - 
AntiVir 7.10.14.162 2010.12.01 - 
Antiy-AVL 2.0.3.7 2010.12.01 - 
Avast 4.8.1351.0 2010.12.01 - 
Avast5 5.0.677.0 2010.12.01 - 
AVG 9.0.0.851 2010.12.01 - 
BitDefender 7.2 2010.12.01 - 
CAT-QuickHeal 11.00 2010.12.01 - 
ClamAV 0.96.4.0 2010.12.01 - 
Command 5.2.11.5 2010.12.01 - 
Comodo 6913 2010.12.01 - 
DrWeb 5.0.2.03300 2010.12.01 - 
Emsisoft 5.0.0.50 2010.12.01 - 
eSafe 7.0.17.0 2010.12.01 - 
eTrust-Vet 36.1.8011 2010.12.01 - 
F-Prot 4.6.2.117 2010.11.30 - 
F-Secure 9.0.16160.0 2010.12.01 - 
Fortinet 4.2.254.0 2010.12.01 - 
GData 21 2010.12.01 - 
Ikarus T3.1.1.90.0 2010.12.01 - 
Jiangmin 13.0.900 2010.12.01 - 
K7AntiVirus 9.69.3136 2010.12.01 - 
Kaspersky 7.0.0.125 2010.12.01 - 
McAfee 5.400.0.1158 2010.12.01 - 
McAfee-GW-Edition 2010.1C 2010.12.01 - 
Microsoft 1.6402 2010.12.01 - 
NOD32 5664 2010.12.01 - 
Norman 6.06.10 2010.12.01 - 
nProtect 2010-12-01.01 2010.12.01 - 
Panda 10.0.2.7 2010.12.01 - 
PCTools 7.0.3.5 2010.12.01 - 
Prevx 3.0 2010.12.01 - 
Rising 22.76.01.07 2010.12.01 - 
Sophos 4.60.0 2010.12.01 - 
SUPERAntiSpyware 4.40.0.1006 2010.12.01 - 
Symantec 20101.2.0.161 2010.12.01 - 
TheHacker 6.7.0.1.094 2010.12.01 - 
TrendMicro 9.120.0.1004 2010.12.01 - 
TrendMicro-HouseCall 9.120.0.1004 2010.12.01 - 
VBA32 3.12.14.2 2010.12.01 - 
VIPRE 7465 2010.12.01 - 
ViRobot 2010.12.1.4178 2010.12.01 - 
VirusBuster 13.6.69.0 2010.12.01 - 
Additional informationShow all  
MD5   : 36a608bf354fcc64ad6c0f2b5e2b8806 
SHA1  : 461eec7554743dc637997e132689158b35fc12de 
SHA256: e8c98a8e8650b2d142cd78e0fba899cf72e68e5d33cf9bc0aab86f940bef213f

papatd · Answer

File name: ws2_32.dll
Submission date: 2010-12-01 16:16:54 (UTC)
Current status: queued (#3) queued (#5) analysing finished


Result: 0/ 43 (0.0%)
 VT Community

not reviewed
 Safety score: -  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.12.01.04 2010.12.01 - 
AntiVir 7.10.14.162 2010.12.01 - 
Antiy-AVL 2.0.3.7 2010.12.01 - 
Avast 4.8.1351.0 2010.12.01 - 
Avast5 5.0.677.0 2010.12.01 - 
AVG 9.0.0.851 2010.12.01 - 
BitDefender 7.2 2010.12.01 - 
CAT-QuickHeal 11.00 2010.12.01 - 
ClamAV 0.96.4.0 2010.12.01 - 
Command 5.2.11.5 2010.12.01 - 
Comodo 6913 2010.12.01 - 
DrWeb 5.0.2.03300 2010.12.01 - 
Emsisoft 5.0.0.50 2010.12.01 - 
eSafe 7.0.17.0 2010.12.01 - 
eTrust-Vet 36.1.8011 2010.12.01 - 
F-Prot 4.6.2.117 2010.11.30 - 
F-Secure 9.0.16160.0 2010.12.01 - 
Fortinet 4.2.254.0 2010.12.01 - 
GData 21 2010.12.01 - 
Ikarus T3.1.1.90.0 2010.12.01 - 
Jiangmin 13.0.900 2010.12.01 - 
K7AntiVirus 9.69.3136 2010.12.01 - 
Kaspersky 7.0.0.125 2010.12.01 - 
McAfee 5.400.0.1158 2010.12.01 - 
McAfee-GW-Edition 2010.1C 2010.12.01 - 
Microsoft 1.6402 2010.12.01 - 
NOD32 5664 2010.12.01 - 
Norman 6.06.10 2010.12.01 - 
nProtect 2010-12-01.01 2010.12.01 - 
Panda 10.0.2.7 2010.12.01 - 
PCTools 7.0.3.5 2010.12.01 - 
Prevx 3.0 2010.12.01 - 
Rising 22.76.01.07 2010.12.01 - 
Sophos 4.60.0 2010.12.01 - 
SUPERAntiSpyware 4.40.0.1006 2010.12.01 - 
Symantec 20101.2.0.161 2010.12.01 - 
TheHacker 6.7.0.1.094 2010.12.01 - 
TrendMicro 9.120.0.1004 2010.12.01 - 
TrendMicro-HouseCall 9.120.0.1004 2010.12.01 - 
VBA32 3.12.14.2 2010.12.01 - 
VIPRE 7465 2010.12.01 - 
ViRobot 2010.12.1.4178 2010.12.01 - 
VirusBuster 13.6.69.0 2010.12.01 - 
Additional informationShow all  
MD5   : fb836f9e62d82904c983ad21296a5d9c 
SHA1  : e48b1ad1129607452e54c6cbc9414472b91302f3 
SHA256: 63fb7296920eb2313d2430ccf8a5ff439f38784637fc53b8c2889f252e69d9e6

papatd · Answer

le premier log.txt:

 Le volume dans le lecteur C n'a pas de nom.
 Le num'ro de s'rie du volume est 6859-78C9

papatd · Answer

l'autre, meme chose

 Le volume dans le lecteur C n'a pas de nom.
 Le num'ro de s'rie du volume est 6859-78C9

j'ai raté une manip ?

jlpjlp · Answer

Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau. 
Download Mirror:: http://jpshortstuff.247fixes.com/SystemLook.exe 
Download Mirror #2:: http://images.malwareremoval.com/jpshor ... emLook.exe 

* Double-click SystemLook.exe pour le lançer. 
* Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook: 
Code: Tout sélectionner 

:filefind 
winlogon.exe 

Click le bouton Look pour commencer le scan. 
* Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche 

Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt 



puis refaire avec 

:filefind 
explorer.exe


pour info tu as ceci:
https://www.commentcamarche.net/faq/30383-infection-bamital

papatd · Answer

SystemLook 04.09.10 by jpshortstuff
Log created at 18:36 on 01/12/2010 by patrice d
Administrator - Elevation successful

========== filefind ==========

Searching for "winlogon.exe "
C:\WINDOWS\system32\winlogon.exe	--a---- 513536 bytes	[15:17 02/04/2009]	[15:17 02/04/2009] E6F19E5CF57B7FA9DEBEBC3BBF4F3C6A
C:\WINDOWS\system32\dllcache\winlogon.exe	--a---- 513536 bytes	[15:17 02/04/2009]	[15:17 02/04/2009] E6F19E5CF57B7FA9DEBEBC3BBF4F3C6A

-= EOF =-

papatd · Answer

SystemLook 04.09.10 by jpshortstuff
Log created at 18:43 on 01/12/2010 by patrice d
Administrator - Elevation successful

========== filefind ==========

Searching for "explorer.exe"
C:\WINDOWS\explorer.exe	--a---- 1037824 bytes	[16:16 03/07/2008]	[16:16 03/07/2008] FB7C3E1FB0E273F8A041EE0AF27BE807
C:\WINDOWS\system32\dllcache\explorer.exe	--a---- 1037824 bytes	[16:16 03/07/2008]	[16:16 03/07/2008] FB7C3E1FB0E273F8A041EE0AF27BE807

-= EOF =-

papatd · Answer

ah pardon, je viens de voir un truc
Code: tout selectionner
c'était a rajouter dessous ou je devais tout selectionner dans la fenetre systemlook ?

jlpjlp · Answer

ok  

sauvegarde tes données  au cas où


puis  

mets ces deux fichiers sains de explorer.exe  et winlogon.exe à la base de ton disque C  

cela donne en raccourci:  

C:\explorer.exe  
C:\winlogon.exe  

http://sd-1.archive-host.com/membres/up/193094576412487685/explorer.exe  

http://sd-1.archive-host.com/membres/up/193094576412487685/winlogon.exe  



__________________  
ensuite Grave ce CD : https://forum.malekal.com/viewtopic.php?t=23453&start=  

Tu démarre sur le cd OTLPE.  

puis :  

copie et remplace  

C:\explorer.exe                   (que je t'ai donné)  



vers c:\windows\explorer.exe    


puis  
  



copie et remplace   
C:\winlogon.exe                (que je t'ai donné)  



vers C:\Windows\System32\winlogon.exe  
Ensuite tu redémarres.  

Tu scannes à nouveau c:\windows\explorer.exe et C:\Windows\system32\winlogon.exe sur https://www.virustotal.com/gui/ et tu donnes les liens ici.  


merci pour les fichiers à ddbus91  et  Electricien 69

papatd · Answer

dsl, je ne trouve pas les liens sur virus total, je colle 

File name: explorer.exe
Submission date: 2010-12-01 22:10:34 (UTC)
Current status: queued (#6) queued (#6) analysing finished


Result: 0/ 43 (0.0%)
 VT Community

goodware
 Safety score: 100.0%  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.12.01.04 2010.12.01 - 
AntiVir 7.10.14.164 2010.12.01 - 
Antiy-AVL 2.0.3.7 2010.12.01 - 
Avast 4.8.1351.0 2010.12.01 - 
Avast5 5.0.677.0 2010.12.01 - 
AVG 9.0.0.851 2010.12.01 - 
BitDefender 7.2 2010.12.01 - 
CAT-QuickHeal 11.00 2010.12.01 - 
ClamAV 0.96.4.0 2010.12.01 - 
Command 5.2.11.5 2010.12.01 - 
Comodo 6918 2010.12.01 - 
DrWeb 5.0.2.03300 2010.12.01 - 
Emsisoft 5.0.0.50 2010.12.01 - 
eSafe 7.0.17.0 2010.12.01 - 
eTrust-Vet 36.1.8011 2010.12.01 - 
F-Prot 4.6.2.117 2010.12.01 - 
F-Secure 9.0.16160.0 2010.12.01 - 
Fortinet 4.2.254.0 2010.12.01 - 
GData 21 2010.12.01 - 
Ikarus T3.1.1.90.0 2010.12.01 - 
Jiangmin 13.0.900 2010.12.01 - 
K7AntiVirus 9.69.3136 2010.12.01 - 
Kaspersky 7.0.0.125 2010.12.01 - 
McAfee 5.400.0.1158 2010.12.01 - 
McAfee-GW-Edition 2010.1C 2010.12.01 - 
Microsoft 1.6402 2010.12.01 - 
NOD32 5665 2010.12.01 - 
Norman 6.06.10 2010.12.01 - 
nProtect 2010-12-01.01 2010.12.01 - 
Panda 10.0.2.7 2010.12.01 - 
PCTools 7.0.3.5 2010.12.01 - 
Prevx 3.0 2010.12.01 - 
Rising 22.76.01.07 2010.12.01 - 
Sophos 4.60.0 2010.12.01 - 
SUPERAntiSpyware 4.40.0.1006 2010.12.01 - 
Symantec 20101.2.0.161 2010.12.01 - 
TheHacker 6.7.0.1.094 2010.12.01 - 
TrendMicro 9.120.0.1004 2010.12.01 - 
TrendMicro-HouseCall 9.120.0.1004 2010.12.01 - 
VBA32 3.12.14.2 2010.12.01 - 
VIPRE 7469 2010.12.01 - 
ViRobot 2010.12.1.4178 2010.12.01 - 
VirusBuster 13.6.69.0 2010.12.01 - 
Additional informationShow all  
MD5   : f2317622d29f9ff0f88aeecd5f60f0dd 
SHA1  : d54b0b83de6ee5922dd90db1446872bf32062b25 
SHA256: 1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13

papatd · Answer

File name: winlogon.exe
Submission date: 2010-12-01 22:14:36 (UTC)
Current status: queued (#8) queued (#8) analysing finished


Result: 1/ 42 (2.4%)
 VT Community

malware
 Safety score: 0.0%  
Compact Print results Antivirus Version Last Update Result 
AhnLab-V3 2010.12.01.04 2010.12.01 - 
AntiVir 7.10.14.164 2010.12.01 - 
Antiy-AVL 2.0.3.7 2010.12.01 - 
Avast 4.8.1351.0 2010.12.01 - 
Avast5 5.0.677.0 2010.12.01 - 
AVG 9.0.0.851 2010.12.01 - 
BitDefender 7.2 2010.12.01 - 
CAT-QuickHeal 11.00 2010.12.01 - 
ClamAV 0.96.4.0 2010.12.01 - 
Command 5.2.11.5 2010.12.01 - 
Comodo 6918 2010.12.01 - 
DrWeb 5.0.2.03300 2010.12.01 - 
Emsisoft 5.0.0.50 2010.12.01 - 
eSafe 7.0.17.0 2010.12.01 - 
eTrust-Vet 36.1.8011 2010.12.01 - 
F-Prot 4.6.2.117 2010.12.01 - 
F-Secure 9.0.16160.0 2010.12.01 - 
Fortinet 4.2.254.0 2010.12.01 - 
GData 21 2010.12.01 - 
Ikarus T3.1.1.90.0 2010.12.01 - 
Jiangmin 13.0.900 2010.12.01 - 
K7AntiVirus 9.69.3136 2010.12.01 - 
Kaspersky 7.0.0.125 2010.12.01 - 
McAfee 5.400.0.1158 2010.12.01 - 
McAfee-GW-Edition 2010.1C 2010.12.01 - 
Microsoft 1.6402 2010.12.01 - 
NOD32 5665 2010.12.01 - 
Norman 6.06.10 2010.12.01 - 
nProtect 2010-12-01.01 2010.12.01 Trojan-Downloader/W32.Small.512000.B 
PCTools 7.0.3.5 2010.12.01 - 
Prevx 3.0 2010.12.01 - 
Rising 22.76.01.07 2010.12.01 - 
Sophos 4.60.0 2010.12.01 - 
SUPERAntiSpyware 4.40.0.1006 2010.12.01 - 
Symantec 20101.2.0.161 2010.12.01 - 
TheHacker 6.7.0.1.094 2010.12.01 - 
TrendMicro 9.120.0.1004 2010.12.01 - 
TrendMicro-HouseCall 9.120.0.1004 2010.12.01 - 
VBA32 3.12.14.2 2010.12.01 - 
VIPRE 7469 2010.12.01 - 
ViRobot 2010.12.1.4178 2010.12.01 - 
VirusBuster 13.6.69.0 2010.12.01 - 
Additional informationShow all  
MD5   : dd73d6b9f6b4cb630cf35b438b540174 
SHA1  : 2904328b7e27f004042d4f83440c50659d64018b 
SHA256: ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa

jlpjlp · Answer

ok

encore des détournemùents ?


remets un rapport avec zhpsearch comme tu as déjà fais en séléctionnant bamital


a plus

papatd · Answer

hello, tout semble tourner normalement, j'éspère qu'il ne reste pas trop de cochonneries qui trainent ;), le rapport ZHPSearch:

Rapport de ZHPSearch 1.23.09 par Nicolas Coolman, Update du 27/11/2010
Run by patrice d at 02/12/2010 15:29:06
Windows XP Professional Service Pack 3 (Build 2600)

---\ Elément(s) de recherche
- Trojan.Batimal

---\ Liste des Fichiers & Dossiers:
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 01/12/2010 21:49:37 | ---A- | -- C:\Windows\explorer.exe [1037824]   => Fichier sain
[MD5.C3FD6FD5C67D91455C246C2A703D7280] 30/11/2010 23:47:50 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf [73992]
[MD5.FB7C3E1FB0E273F8A041EE0AF27BE807] - (.Microsoft Corporation.) 03/07/2008 17:16:53 | ---A- | -- C:\Windows\system32\dllcache\explorer.exe [1037824]   => Fichier inconnu
[MD5.E6F19E5CF57B7FA9DEBEBC3BBF4F3C6A] - (.Microsoft Corporation.) 02/04/2009 16:17:53 | ---A- | -- C:\Windows\system32\dllcache\winlogon.exe [513536]   => Fichier inconnu
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 01/12/2010 21:49:46 | ---A- | -- C:\Windows\system32\winlogon.exe [512000]   => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\dllcache\ws2_32.dll [82432]   => Fichier inconnu
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432]   => Fichier inconnu
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\dllcache\ws2help.dll [19968]
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]

---\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 9
Nombre de fichiers analysés : 82728
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 31s)

jlpjlp · Answer

ok cela avance nickel :


Ferme tous tes navigateurs (donc copie ou imprime les instructions avant) 

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll:: 

FCopy:: 
C:\Windows\explorer.exe | C:\Windows\system32\dllcache\explorer.exe
C:\Windows\explorer.exe  | C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf 
C:\Windows\system32\winlogon.exe | C:\Windows\system32\dllcache\winlogon.exe 





Enregistre ce fichier sous le nom CFscript 


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe 

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer. 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 



Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 


_____________ 


remets ensuite aussi un rapport ZHPSEARCH

et on devrait approcher du but !

a plus

papatd · Answer

OK, c'est fait mais combofix ne m'a pas donné le choix (1 ou 2) et a démarré tout seul, je ne sais pas si ça a fonctionné comme prévu

http://www.cijoint.fr/cjlink.php?file=cj201012/cijt8o2QoF.txt

papatd · Answer

Rapport de ZHPSearch 1.23.09 par Nicolas Coolman, Update du 27/11/2010
Run by patrice d at 02/12/2010 16:31:19
Windows XP Professional Service Pack 3 (Build 2600)

---\ Elément(s) de recherche
- Trojan.Batimal

---\ Liste des Fichiers & Dossiers:
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 01/12/2010 21:49:37 | ---A- | -- C:\Windows\ERDNT\cache\explorer.exe [1037824]   => Fichier sain
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 01/12/2010 21:49:37 | ----- | -- C:\Windows\explorer.exe [1037824]   => Fichier sain
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 01/12/2010 21:49:37 | ---A- | -- C:\Windows\system32\dllcache\explorer.exe [1037824]   => Fichier sain
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 01/12/2010 21:49:46 | ---A- | -- C:\Windows\ERDNT\cache\winlogon.exe [512000]   => Fichier sain
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 01/12/2010 21:49:46 | ---A- | -- C:\Windows\system32\dllcache\winlogon.exe [512000]   => Fichier sain
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 01/12/2010 21:49:46 | ----- | -- C:\Windows\system32\winlogon.exe [512000]   => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\dllcache\ws2_32.dll [82432]   => Fichier inconnu
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432]   => Fichier inconnu
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\dllcache\ws2help.dll [19968]
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]

---\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 10
Nombre de fichiers analysés : 82728
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 11s)

jlpjlp · Answer

remets ensuite aussi un rapport ZHPSEARCH 

et on devrait approcher du but ! 

a plus

papatd · Answer

Je l'avais déjà posté, je te le remets

Rapport de ZHPSearch 1.23.09 par Nicolas Coolman, Update du 27/11/2010 
Run by patrice d at 02/12/2010 16:31:19 
Windows XP Professional Service Pack 3 (Build 2600) 

---\ Elément(s) de recherche 
- Trojan.Batimal 

---\ Liste des Fichiers & Dossiers: 
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 01/12/2010 21:49:37 | ---A- | -- C:\Windows\ERDNT\cache\explorer.exe [1037824] => Fichier sain 
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 01/12/2010 21:49:37 | ----- | -- C:\Windows\explorer.exe [1037824] => Fichier sain 
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 01/12/2010 21:49:37 | ---A- | -- C:\Windows\system32\dllcache\explorer.exe [1037824] => Fichier sain 
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 01/12/2010 21:49:46 | ---A- | -- C:\Windows\ERDNT\cache\winlogon.exe [512000] => Fichier sain 
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 01/12/2010 21:49:46 | ---A- | -- C:\Windows\system32\dllcache\winlogon.exe [512000] => Fichier sain 
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 01/12/2010 21:49:46 | ----- | -- C:\Windows\system32\winlogon.exe [512000] => Fichier sain 
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\dllcache\ws2_32.dll [82432] => Fichier inconnu 
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432] => Fichier inconnu 
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\dllcache\ws2help.dll [19968] 
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 13/04/2008 18:33:50 | ---A- | -- C:\Windows\System32\ws2help.dll [19968] 

---\ Bilan de la recherche 
Mode de recherche : Fichiers, Dossiers 
Elément(s) trouvé(s) : 10 
Nombre de fichiers analysés : 82728 
Nombre de clés, valeurs ou données analysées : 0 
Mode : Recherche complète 
End of the scan (00mn 11s)

jlpjlp · Answer

parfait pour nettoyer ce qui a été utilisé:

Téléchargez DelFix
 (d'Xplode) sur votre bureau. 

Lancez le puis sélectionnez  [Suppression]. 

Copiez/collez le contenu du rapport qui s'ouvrira dans votre sujet si vous vous faites aider sur un forum. 

puis lancez l'option [Désinstallation] 

Note : Les rapports sont également enregistrés à la racine du disque dur ( C:\DelFixSearch.txt pour l'option recherche et C:\DelFixSuppr.txt pour l'option suppression ) 

___________________

Désactiver la restauration système puis redemarrer le pcc puis la réactiver

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020830101856924

___________________

vérifier le pc avec votre antivirus ou avec nod32 en ligne et nous coller le rapport obtenu ici antivirus en ligne

papatd · Answer

DelFix a généré un rapport vide, je ne te le poste pas ;), je redémarre et reviens te voir

jlpjlp · Answer

ok mais delfix a viré les logiciel utilisés?

pour être sûr:



Téléchargez Tools Cleaner 2 sur votre bureau ici: https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
Double-cliquez sur Tools Cleaner2 pour l'exécuter. (Si vous êtes sous Vista, cliquez droit sur le fichier Tools Cleaner 2 et exécutez-le en tant qu'administrateur.)
Cliquez sur Recherche et laissez-la se dérouler
Cliquez sur Suppression pour finaliser.
Vous pouvez, si vous le souhaitez, vous servir des Options facultatives.
Cliquez sur Quitter pour obtenir le rapport.
Postez le rapport (TCleaner.txt) qui se trouve à la racine de votre disque dur (C:) dans le forum où cela vous a été demandé.

papatd · Answer

Pas de souci, il a tout viré, je vais verifier qu'il a viré aussi les rapports a la base de C, sinon je le ferais manuellement

papatd · Answer

Il a fait le ménage nickel, je suis tiré d'affaire ? Pour le scan de mon systeme avec mon antivirus, ça risque d'etre un peu long. C'est pas pressant ?

jlpjlp · Answer

oui tu es tiré d'affaire!

passe ton antivirus ou un antivirus en ligne pour vérifier

a plus

papatd · Answer

Merci pour ton aide précieuse, c'est vraiment cool ! Merci aussi aux deux contributeurs pour leurs fichiers. J'éspère a pas trop vite ;)
Je me sens libéré d'un sacré fardeau !!!
virus total, ça le fait pour la derniere vérification ?

papatd · Answer

Merci encore pour tout, heureusement qu'on a des gens comme toi sur la toile !

jlpjlp · Answer

tu peux toujours passer virus total sur les deux fichiers pour te rassuerer :


a plus avec l'antivirus pour dérnière vérification

Redirection sur gomeo (bis)

52 réponses

Discussions similaires