infection trojan Résolu/Fermé

Question

Bonjour, ce matin avira ma averti d'un trojan sur mon pc, je l'ai mis en quarantaine puis supprimer de la quarantaine, je suis ensuite partit au travail en lançant un scan complet et à mon retour 3 fichiers ont été détecté comme malveillant.

Ces fichiers ont java dans le nom, je l'ai est déplacé en  quarantaine puis supprimer.

J'aimerais un  peu d'aide si possible pour savoir si il reste des virus.

Merci d'avance.

Utilisateur anonyme · Answer

bonjours,

pour une analyse de ton système, fais ceci:

                              ----->ZHPDIAG<-----

/!\ utilisateur de vista et seven, désactiver l'UAC./!\

/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\

>  Télécharge zhpdiag (de Nicolas Coolman)

> Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

>  /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

> Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

>attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

>  Héberge le rapport ZHPDiag.txt sur cijoint, puis copie/colle le lien fourni                                          dans ta prochaine réponse sur le forum.
   ->tu trouveras un lien comme celui ci: http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt c'est ce lien qu'il faudra me donner.

@+

sharshar · Answer

ok merci voici le lien:

http://www.cijoint.fr/cjlink.php?file=cj201011/cijiexlr2Z.txt

sharshar · Answer

j'ai l'impression que ca n'a pas marché,

nouveaux lien: 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijrYvUGrD.txt

Utilisateur anonyme · Answer

bonsoir,

on va commencer par les infection USB:

De plus en plus, les lieux publics (cyber café, lycées, bibliothèques...) deviennent de vrais nids à infection, ces PC infectés par inadvertance ou malveillance propagent entre autres des infections s'attaquant aux disques amovibles que l'on peut y brancher ! 

pour les supprimer:



* UsbFix est un programme spécifique , son rôle est la suppression d'infection se propageant via les supports amovibles
* Il rétablit certaines fonctions de sécurité endommagées, comme l'accès au registre, au gestionnaire des tâches, à l'affichage des fichiers cachés etc . 

                                ----->USBFIX<----- 

> Télécharge http://www.teamxscript.org/too/UsbFix.exe (créé par El Desaparecido & C_XX) 

> /!\Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

> Branche (si possible) toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

> Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement

> Clique sur Recherche 

> Laisse travailler l'outil /!\ le scan peut rester un long moment sur 48%, il n'est pas bloquer, ne quitte pas, il faudrait tout recommencer.../!\

> A la fin, le bloc note s'ouvre avec le rapport, sélectionne le (Ctrl+A) copie le (Ctrl+C) et colle le dans ta prochaine réponse (Ctrl+V) 


@++

sharshar · Answer

############################## | UsbFix 7.035 | [Recherche]

Utilisateur: julien (Administrateur) # PC-DE-JULIEN [System manufacturer System Product Name]
Mis à jour le 22/11/10 par El Desaparecido / C_XX
Lancé à 18:41:20 | 30/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz
CPU 2: Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 6135 Mo 
C:\ (%systemdrive%) -> Disque fixe # 932 Go (443 Go libre(s) - 48%) [] # NTFS
D:\ -> Disque fixe # 932 Go (195 Go libre(s) - 21%) [LaCie] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
J:\ -> Disque amovible # 8 Go (7 Go libre(s) - 95%) [] # FAT32

################## | Éléments infectieux |



################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{3e2587c3-5cbf-11df-96eb-90e6ba738f51}
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\SE_logo_Q.jpg

HKCU\.\.\.\.\Explorer\MountPoints2\{4d8914e3-1f9d-11df-b31c-90e6ba738f51}
Shell\AutoRun\Command = G:\autoplay.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{67c5f262-1640-11df-9cd6-90e6ba738f51}
Shell\AutoRun\Command = E:\autoplay.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{b3cbd163-aede-11df-aa70-806e6f6e6963}
Shell\AutoRun\Command = F:\setup.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

sharshar · Answer

############################## | UsbFix 7.035 | [Suppression]

Utilisateur: julien (Administrateur) # PC-DE-JULIEN [System manufacturer System Product Name]
Mis à jour le 22/11/10 par El Desaparecido / C_XX
Lancé à 18:46:16 | 30/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz
CPU 2: Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 6135 Mo 
C:\ (%systemdrive%) -> Disque fixe # 932 Go (443 Go libre(s) - 48%) [] # NTFS
D:\ -> Disque fixe # 932 Go (195 Go libre(s) - 21%) [LaCie] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
J:\ -> Disque amovible # 8 Go (7 Go libre(s) - 95%) [] # FAT32

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-20
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2841971598-4266920163-4008966294-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2841971598-4266920163-4008966294-1000

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3e2587c3-5cbf-11df-96eb-90e6ba738f51}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4d8914e3-1f9d-11df-b31c-90e6ba738f51}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{67c5f262-1640-11df-9cd6-90e6ba738f51}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b3cbd163-aede-11df-aa70-806e6f6e6963}

################## | Listing |

[30/11/2010 - 18:48:12 | SHD ] 	C:\$Recycle.Bin
[12/11/2010 - 20:04:27 | D ] 	C:\AMD
[27/08/2010 - 16:38:17 | D ] 	C:\ATI
[23/12/2009 - 14:53:42 | RASHD ] 	C:\autorun.inf
[24/10/2009 - 16:59:25 | D ] 	C:\Boot
[14/07/2009 - 02:38:58 | RASH | 383562] 	C:\bootmgr
[24/10/2009 - 16:59:27 | N | 8192] 	C:\BOOTSECT.BAK
[29/11/2010 - 16:04:26 | D ] 	C:\Config.Msi
[08/07/2010 - 19:36:17 | D ] 	C:\divx
[14/07/2009 - 06:08:56 | SHD ] 	C:\Documents and Settings
[28/12/2009 - 17:36:00 | D ] 	C:\downloads
[14/09/2010 - 17:56:32 | D ] 	C:\Fraps
[30/11/2010 - 08:01:25 | ASH | 4824846336] 	C:\hiberfil.sys
[23/08/2010 - 17:19:52 | D ] 	C:\IExp0.tmp
[23/08/2010 - 17:19:53 | D ] 	C:\IExp1.tmp
[11/04/2008 - 08:03:48 | N | 76304] 	C:\install.res.1028.dll
[11/04/2008 - 08:03:48 | N | 96272] 	C:\install.res.1031.dll
[11/04/2008 - 08:03:48 | N | 91152] 	C:\install.res.1033.dll
[11/04/2008 - 08:03:48 | N | 97296] 	C:\install.res.1036.dll
[11/04/2008 - 08:03:48 | N | 95248] 	C:\install.res.1040.dll
[11/04/2008 - 08:03:48 | N | 81424] 	C:\install.res.1041.dll
[11/04/2008 - 08:03:48 | N | 79888] 	C:\install.res.1042.dll
[11/04/2008 - 10:09:24 | N | 93200] 	C:\install.res.1049.dll
[11/04/2008 - 08:03:48 | N | 75792] 	C:\install.res.2052.dll
[11/04/2008 - 08:03:48 | N | 96272] 	C:\install.res.3082.dll
[20/08/2010 - 21:11:22 | D ] 	C:\Intel
[21/05/2010 - 17:58:18 | N | 127] 	C:\mbam-error.txt
[01/12/2006 - 22:37:14 |  | 904704] 	C:\msdia80.dll
[16/07/2010 - 16:47:44 | RHD ] 	C:\MSOCache
[18/10/2009 - 10:38:48 | D ] 	C:\open office
[30/11/2010 - 08:01:26 | ASH | 6433132544] 	C:\pagefile.sys
[14/11/2010 - 15:28:58 | D ] 	C:\Program Files
[29/11/2010 - 16:04:26 | D ] 	C:\Program Files (x86)
[29/11/2010 - 16:03:48 | HD ] 	C:\ProgramData
[24/10/2009 - 16:30:59 | SHD ] 	C:\Recovery
[13/10/2010 - 19:46:25 | D ] 	C:\Riot Games
[30/11/2010 - 09:39:39 | SHD ] 	C:\System Volume Information
[30/11/2010 - 18:48:12 | D ] 	C:\UsbFix
[30/11/2010 - 18:46:23 | A | 3627] 	C:\UsbFix.txt
[11/10/2010 - 20:03:04 | D ] 	C:\Users
[30/11/2010 - 18:05:01 | D ] 	C:\Windows
[30/11/2010 - 18:48:12 | SHD ] 	D:\$RECYCLE.BIN
[16/03/2009 - 05:18:47 | N | 29018] 	D:\.VolumeIcon.icns
[16/03/2009 - 05:18:47 | N | 25214] 	D:\.VolumeIcon.ico
[23/12/2009 - 14:53:42 | RASHD ] 	D:\autorun.inf
[16/03/2009 - 05:18:41 | D ] 	D:\Bin
[16/03/2009 - 05:18:41 | N | 391] 	D:\LaCie.ini
[03/09/2010 - 07:55:06 | D ] 	D:\stack
[18/06/2009 - 19:33:59 | SHD ] 	D:\System Volume Information
[24/06/2010 - 00:42:12 | N | 9591104] 	J:\daemon-tools_daemon_tools_4.35.6_francais_10729.exe
[02/11/2010 - 12:24:40 | D ] 	J:\Réseaux
[25/11/2010 - 11:44:12 | N | 252] 	J:\Nouveau Document texte.txt
[29/11/2010 - 17:57:44 | N | 33280] 	J:\CV AUPETIT Julien.doc
[24/11/2010 - 17:03:46 | N | 30720] 	J:\lettre de motivation.doc
[30/11/2010 - 12:19:58 | N | 2585872] 	J:\WindowsInstaller-KB893803-v2-x86.exe

################## | Vaccin |

J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-JULIEN.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Utilisateur anonyme · Answer

ok, ceci étant fais: 

MBAM est un scanner généraliste qui detect et supprime beaucoup d'infecions:

MBAM : 

> Télécharge MBAM 


> Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement. 


> Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\  


> A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet» 


> Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen" 


> L'analyse peut durer un plusieurs heures... 


> Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats" 


> Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" 


> Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum 


> Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI »

sharshar · Answer

ah oui j'ai avira qui me répète sans cesse qu'il a bloqué autorun.inf..

sharshar · Answer

ok je passe sur le lien ci dessus, mais avant je vous prévient que je viens d'avoir un écran bleu (2ème depuis hier) et au redémarrage erreur de démarrage de disque dur.. select proper boot media device. press a key to continu, mais cela ne voulait pas booter donc j'ai débrancher dd externe et clé usb et c'est bon.

sharshar · Answer

ok  scan complet en cours :)

sharshar · Answer

voila le rapport, et je redémarre

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5220

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

30/11/2010 20:14:46
mbam-log-2010-11-30 (20-14-46).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 439936
Temps écoulé: 1 heure(s), 1 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\julien\AppData\Roaming\Adobe\plugs\kb35414473.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Users\julien\AppData\Roaming\Adobe\plugs\kb35414426.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

re, 

ok, vu que nous avons bien avancer, on va faire un nouveau point: peux tu me refaire ceci stp

merci.

sharshar · Answer

erf le site lag connexion réinitialisé a chaque tentative d'upload :/

sharshar · Answer

j'ai encore des onglets qui s'ouvrent dans firefox alors que j'ai rien demander, doit rester des cochonneries..  :(

EDIT: toujours impossible de déposer le fichier..

sharshar · Answer

re toujours impossible de déposer le fichier sur cijoint.fr

ca gonfle :o

Utilisateur anonyme · Answer

si cijoint marche pas, essaye cjoint

sharshar · Answer

bon j'ai essayé ca me réinitialise la connexion..  par contre j'ai essayé sur ci-joint avec le rapport mbam et ca marche 

il ne veulent plus du ZHP.

sharshar · Answer

rien a faire il m'est impossible d'upload les fichiers ZHPDiag.txt..

c'est fou ca quand même -_-

sharshar · Answer

bon ca a fonctionné après une réinstalle de ZHP.. 

va savoir pourquoi ???

http://www.cijoint.fr/cjlink.php?file=cj201011/cijuENcNhO.txt

sharshar · Answer

sur ce je vais aller me pieuter.

en tout cas grandement merci de ton aide, j'espère que l'on pourra reprendre tout ça demain.    

@+

Utilisateur anonyme · Answer

* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------
[MD5.00000000000000000000000000000000] [APT] [{35DC3473-A719-4d14-B7C1-FD326CA84A0C}] (.Pas de propriétaire.) -- C:\Windows\msa.exe (.not file.)  


[HKLM\Software\Freeze.com] 

O43 - CFD: 24/10/2009 - 16:10:04 ----D- C:\Program Files (x86)\Freeze.com  

---------------------------------------------------

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
* poste moi le rapport générer. S

sharshar · Answer

Bonjour, 

voici le rapport: 


Rapport de ZHPFix 1.12.3225 par Nicolas Coolman, Update du 30/11/2010 
Fichier d'export Registre : C:\ZHPExportRegistry-01-12-2010-07-56-19.txt 
Run by julien at 01/12/2010 07:56:19 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Contact : nicolascoolman@yahoo.fr 

========== Clé(s) du Registre ========== 
HKLM\Software\Freeze.com  => Clé supprimée avec succès 

========== Dossier(s) ========== 
C:\Program Files (x86)\Freeze.com  => Supprimé et mis en quarantaine 

========== Fichier(s) ========== 
c:\windows\msa.exe (.not file.)  => Fichier absent 

========== Tache planifiée ========== 
Task : {35DC3473-A719-4d14-B7C1-FD326CA84A0C}  => Tâche supprimée avec succès 
Task : {35DC3473-A719-4d14-B7C1-FD326CA84A0C}  => Tâche supprimée avec succès 


========== Récapitulatif ========== 
1 : Clé(s) du Registre 
1 : Dossier(s) 
1 : Fichier(s) 
2 : Tache planifiée 


End of the scan

Utilisateur anonyme · Answer

bonjours, :-)

ok, on vérifie qu'il n'y a plus rien sur le pc:

tu me refais ceci stp.

merci ;-)

sharshar · Answer

salut,

la connexion a été réinitialisé à chaque fois que j'essaie de déposer le fichier, encore et encore...

je réinstalle ZHP pour voir

sharshar · Answer

ca a fonctionné après 2 réinstalle..

http://www.cijoint.fr/cjlink.php?file=cj201012/cijSNmTz4Y.txt

sharshar · Answer

bon j'ai encore des onglets qui s'ouvrent dans firefox   :/

re: personne pour reprendre le flambeau de l'infection ou je crée un nouveau sujets?

merci

Utilisateur anonyme · Answer

bonsoir:

juste une petite mise au point:

bon j'ai encore des onglets qui s'ouvrent dans firefox :/

re: personne pour reprendre le flambeau de l'infection ou je crée un nouveau sujets?

merci

heu... tu as attendu 2heures pour mettre cette réponse mais, sache que nous sommes bénévoles, que nous aussi avons une vie en dehors de COMMENT CA MARCHE, nous ne sommes pas toujours dessus, je ne t'abandonne pas mais, j'étais au sport... et, je ne pouvais pas être ici en même temps.

nous acceptons que vous répondiez avec du retard mais, l'inverse doit être possible aussi... 

pour tes pub:
tu n'es plus infecter, c'est assez étrange que tu es encore des problèmes... 
peux tu me décrire tes problèmes très précisément stp?
merci


la désinfection n'est pas fini, merci de revenir.

et, je reviendrais dans la soirée mais, pas de suite, pas la peine de demander de l'aide ailleurs... 
merci.

Utilisateur anonyme · Answer

oups, j'oubliais:

qui dit pub dit ceci:

Ad-Remover est un outil spécifique conçu par C_XX , son rôle est la suppression d'adwares comme Eorezo, MyWebSearch, Navipromo, Winsudate, Search Settings, ... 

                                      ----->AD-REMOVER<-----

> Télécharge ad-remover(de C_XX) sur ton Bureau

>Déconnecte toi et ferme toutes les applications en cours 

> Double-clique sur l'icône AD-Remover

> Au menu principal, clique sur "scanner"

> Confirme le lancement de l'analyse et laisse l'outil travailler

> Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

sharshar · Answer

Pas de problème je respecte votre démarche et votre travail,

sinon oui effectivement lorsque je surf sur internet, parfois des onglets s'ouvrent sans que je n'ai effectué d'actions particulières,

parfois c'est la page de démarrage de google qui apparait, parfois une page blanche, ou encore tout a l'heure c'était bitdefendjesaispaskoi.

voici le rapport:

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:05:47 le 01/12/2010, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
julien@PC-DE-JULIEN (System manufacturer System Product Name) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.



============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.12 (fr)] **

-- C:\Users\julien\AppData\Roaming\Mozilla\FireFox\Profiles\xd4jqltn.default\Prefs.js --
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.12

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 01/12/2010 (2054 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 01/12/2010 (2202 Octet(s)) 

Fin à: 21:06:32, 01/12/2010 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

aucune infection, c'est vraiment étrange...

sharshar · Answer

mais j'invente pas, ca viens de me le refaire y a 5 min.  

bizarre

Utilisateur anonyme · Answer

pour avancer malgré tout: 

* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur). 
* Copie les lignes suivantes : 

--------------------------------------------------- 

O42 - Logiciel: µTorrent - (.Pas de propriétaire.) [HKLM] -- uTorrent     

[HKCU\Software\BitTorrent]     

O43 - CFD: 28/09/2010 - 08:09:00 ----D- C:\Program Files (x86)\uTorrent    


--------------------------------------------------- 

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
* Les lignes se collent automatiquement dans ZHPFix. 
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer » 
* poste moi le rapport générer. S  

lis ceci: - Les dangers du P2P 

ensuite, désinstalle spybot, il ne sert plus a rien. 

@++ 
niveau supérieur sur HELPER FORMATION.

sharshar · Answer

j'ai pas trop envie de désinstaller µTorrent je m'en sert régulièrement  normalement les fichiers sont sans risques (vérifiés par l'équipe).

sinon comment bien ce protéger? avira + un ccleaner après chaque session et un coup de malware'sbyte de temps en temps?

Utilisateur anonyme · Answer

bon, plus d'infection, c'est sur maintenant, pour finir la désinfection, je te répond et ensuite, je te donne des trucs a faire:

sinon comment bien ce protéger? ==> la meilleur protection, c'est toi ensuite, un antivirus (avira dans ton cas) un bon parfeu (je conseil comodo ensuite, MBAM une fois de temps en temps...
ccleaner ne protège pas le pc mais, est a utiliser tout de même pour l'entretient de ton pc.

Utilisateur anonyme · Answer

pour finir, tout ceci est a faire: Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan. Autrement, installes-le, c'est un antimalware très efficace. Tu trouveras un tuto complet Ici 1- Nous allons mettre à jour ton pc. Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant. 1ère étape : Java > Télécharge JavaRa puis décompresse le sur ton bureau. > Ouvre le dossier JavaRa puis exécute JavaRa.exe. > Clique sur "Search For Updates". > Sélectionne "Update Using jucheck.exe" puis clique sur "Search". > Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation. > Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions". > Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ". > Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message. /!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à Cette adresse puis passe directement à la partie " Remove Older Versions " /!\ 2ème étape : Adobe Reader > Si tu utilises adobe reader, il est important qu'il soit à jour. > Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir ici ) > Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour] 3ème étape : Mise à jour des logiciels > Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker. > Télécharge le Ici > Un tutoriel pour son utilisation est disponible Ici. 2- Vacciner les supports amovibles > Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent. > Télécharge USBfix puis lance le. (Clique droit/Exéuter en tent qu'administrateur pour Vista/7). > Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner]. > Appuie sur [Ok] au message de confirmation. > Une fois la vaccination terminée, relance usbfix et choisis l'option désinstaller. Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif ) 3- DelFix > Télécharge DelFix sur ton bureau. > Lance le. > Clique sur Supression puis valide en appuyant sur [Entrée]. > Patiente pendant le scan jusqu'à l'ouverture du rapport. > Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFixSearch 4- Optimisation 1ère étape : Suppression des fichiers inutiles > Télécharge CCleaner > Installe le, puis lance le. > Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". > Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. > Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. > Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) > Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] > Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. > Télécharge Defraggler. > Un tutoriel pour son utilisation est disponible Ici. 3ème étape : Vérification des disques > Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) > Clique sur [Propriété] puis sur l'onglet [Outils] > Clique sur [Vérifier maintenant] puis coche les deux cases présentes. > Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) 4ème étape : Désactivation des programmes au démarrage > Clique sur [Démarrer] puis [Exécuter]. > Tape msconfig et valide par [ok]. > A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu. > Clique sur [Appliquer] puis [ok] et redémarre ton PC. 4- Purge de la restauration système La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. > Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. > Tutoriels : - Windows XP - Windows Vista - Windows 7 5- UAC ( Uniquement pour Vista/Seven ) Si tu as désactivé l'UAC, il est important de la réactiver. -> Pourquoi garder l'UAC activée? 6- Security Check Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme. > Télécharge Security Check ( de Screen317 ) sur ton bureau. > Lance le, patiente pendant le scan puis poste le rapport qui s'ouvrira dans ta prochaine réponse. > Une fois le rapport posté, tu peux supprimer Security Check. 7- Liens utiles Ces liens sont en rapport direct avec la sécurité de ton PC. Prends le temps de les lire pour comprendre pourquoi tu as été infecté. - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire [code] Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan. Autrement, installes-le, c'est un antimalware très efficace. Tu trouveras un tuto complet Ici 1- Nous allons mettre à jour ton pc. Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant. 1ère étape : Java > Télécharge JavaRa puis décompresse le sur ton bureau. > Ouvre le dossier JavaRa puis exécute JavaRa.exe. > Clique sur "Search For Updates". > Sélectionne "Update Using jucheck.exe" puis clique sur "Search". > Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation. > Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions". > Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ". > Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message. /!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à Cette adresse puis passe directement à la partie " Remove Older Versions " /!\ 2ème étape : Adobe Reader > Si tu utilises adobe reader, il est important qu'il soit à jour. > Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir ici ) > Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour] 3ème étape : Mise à jour des logiciels > Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker. > Télécharge le Ici > Un tutoriel pour son utilisation est disponible Ici. 2- Vacciner les supports amovibles > Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent. > Télécharge USBfix puis lance le. (Clique droit/Exéuter en tent qu'administrateur pour Vista/7). > Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner]. > Appuie sur [Ok] au message de confirmation. > Une fois la vaccination terminée, relance usbfix et choisis l'option désinstaller. Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif ) 3- DelFix > Télécharge DelFix sur ton bureau. > Lance le. > Clique sur Supression puis valide en appuyant sur [Entrée]. > Patiente pendant le scan jusqu'à l'ouverture du rapport. > Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFixSearch 4- Optimisation 1ère étape : Suppression des fichiers inutiles > Télécharge CCleaner > Installe le, puis lance le. > Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". > Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. > Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. > Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) > Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] > Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. > Télécharge Defraggler. > Un tutoriel pour son utilisation est disponible Ici. 3ème étape : Vérification des disques > Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) > Clique sur [Propriété] puis sur l'onglet [Outils] > Clique sur [Vérifier maintenant] puis coche les deux cases présentes. > Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) 4ème étape : Désactivation des programmes au démarrage > Clique sur [Démarrer] puis [Exécuter]. > Tape msconfig et valide par [ok]. > A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu. > Clique sur [Appliquer] puis [ok] et redémarre ton PC. 4- Purge de la restauration système La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. > Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. > Tutoriels : - Windows XP - Windows Vista - Windows 7 5- UAC ( Uniquement pour Vista/Seven ) Si tu as désactivé l'UAC, il est important de la réactiver. -> Pourquoi garder l'UAC activée? 6- Security Check Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme. > Télécharge Security Check ( de Screen317 ) sur ton bureau. > Lance le, patiente pendant le scan puis poste le rapport qui s'ouvrira dans ta prochaine réponse. > Une fois le rapport posté, tu peux supprimer Security Check. 7- Liens utiles Ces liens sont en rapport direct avec la sécurité de ton PC. Prends le temps de les lire pour comprendre pourquoi tu as été infecté. - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire a++ pour les rapports.

sharshar · Answer

########## DelFix - Nettoyeur d'outils de désinfection ##########
#
# DelFix v6.6 - Rapport créé le 01/12/2010 à 22:43
# Mis à jour le 28/11/10 à 13h30 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600] 
# Nom d'utilisateur : julien - PC-DE-JULIEN (Administrateur)
# Exécuté depuis : C:\Users\julien\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\32788R22FWJFW
Supprimé : C:\Program Files (x86)\Ad-Remover
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Program Files (x86)	rend micro
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_PC-DE-JULIEN.zip
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-SCAN[1].txt
Supprimé : C:\ZHPExportRegistry-01-12-2010-07-56-19.txt
Supprimé : C:\ZHPExportRegistry-01-12-2010-22-04-34.txt
Supprimé : C:\Users\julien\Desktop\JavaRa.def
Supprimé : C:\Users\julien\Desktop\JavaRa.exe
Supprimé : C:\Users\julien\Desktop\JavaRa.zip
Supprimé : C:\Users\julien\Desktop\AD-R.lnk
Supprimé : C:\Users\julien\Desktop\HiJackThis.exe - Raccourci.lnk
Supprimé : C:\Users\julien\Desktop\ZHPDiag.Txt
Supprimé : C:\Users\julien\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\julien\Downloads\UsbFix.exe
Supprimé : C:\Users\julien\Downloads\HiJackThis.exe
Supprimé : C:\Users\julien\Downloads\ZHPDiag.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\TrendMicro
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [2689 octets] ##########

sharshar · Answer

bonjour,  

un nouvel onglet viens de se réouvrir dans firefox, sur ce nouvel onglet était écrit "le lien n'est plus disponible"  

alors que sur la page ou j'ai clické le lien était bien présent ( j'ai pu télécharger ce que je voulais)  

étrangement depuis que j'ai été infecté des onglets s'ouvrent aléatoirement dans firefox je me demande d'ou cela peut venir. 

encore un : cette fois une e'lottery  :o

ps: je viens de voir un autre sujet avec les même symptômes que moi sur un autre forum, il semble qu'il est été infecté par un rootkit, peût être une nouvelle piste?

Utilisateur anonyme · Answer

bonjour,
juste pour vous informe que ce pc a été reformaté !
sujet résolu !

Infection trojan

38 réponses

Discussions similaires