Bouillon de culture
Résolu
hisaeh
Messages postés
2642
Date d'inscription
Statut
Membre
Dernière intervention
-
hisaeh Messages postés 2642 Date d'inscription Statut Membre Dernière intervention -
hisaeh Messages postés 2642 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'ai récupéré ce matin l'ordi d'un ami qui semblait surinfecté...et j'étais loin du compte.
Je poste ci-apres le log combofix, et j'aimerais avoir de l'aide pour continuer la desinfection : redirection de pages à partir de Goggle, sur Google Chrome et sur Internet Explorer.
ComboFix 11-01-20.03 - Michel 21/01/2011 13:02:50.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.878 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Michel\Application Data\avdrn.dat
c:\documents and settings\Michel\Application Data\desktop.ini
c:\documents and settings\Michel\Application Data\download2
c:\documents and settings\Michel\Application Data\xssend2
c:\documents and settings\Michel\Menu Démarrer\Programmes\System Tool
c:\windows\system32\drivers\srenum.sys
c:\windows\system32\qtplugin.exe
Une copie infectée de c:\windows\system32\drivers\mouclass.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
c:\windows\system32\winlogon.exe . . . est infecté!!
c:\windows\explorer.exe . . . est infecté!!
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_srenum
-------\Service_srenum
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-21 au 2011-01-21 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier créé dans ce laps de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
------- Sigcheck -------
[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10e.exe" [2010-01-27 256280]
c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers\ndisrd.sys [16/01/2001 20:48 20480]
S0 gsjztds;gsjztds; [x]
S0 obtgmrv;obtgmrv; [x]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
.
Contenu du dossier 'Tâches planifiées'
2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2001-04-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-mssend - c:\documents and settings\Michel\Application Data\xssend2\svcnost.exe
HKLM-Run-download - c:\documents and settings\Michel\Application Data\download2\svcnost.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 13:12
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(2380)
c:\program files\Stardock\ObjectDock\DockShellHook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2011-01-21 13:15:53 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-01-21 12:15
Avant-CF: 52 782 878 720 octets libres
Après-CF: 53 182 504 960 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
- - End Of File - - AD146C3C5FFD1EA047D2CF55A14A2207
Merci
J'ai récupéré ce matin l'ordi d'un ami qui semblait surinfecté...et j'étais loin du compte.
Je poste ci-apres le log combofix, et j'aimerais avoir de l'aide pour continuer la desinfection : redirection de pages à partir de Goggle, sur Google Chrome et sur Internet Explorer.
ComboFix 11-01-20.03 - Michel 21/01/2011 13:02:50.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.878 [GMT 1:00]
Lancé depuis: c:\documents and settings\Michel\Bureau\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Michel\Application Data\avdrn.dat
c:\documents and settings\Michel\Application Data\desktop.ini
c:\documents and settings\Michel\Application Data\download2
c:\documents and settings\Michel\Application Data\xssend2
c:\documents and settings\Michel\Menu Démarrer\Programmes\System Tool
c:\windows\system32\drivers\srenum.sys
c:\windows\system32\qtplugin.exe
Une copie infectée de c:\windows\system32\drivers\mouclass.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
c:\windows\system32\winlogon.exe . . . est infecté!!
c:\windows\explorer.exe . . . est infecté!!
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_srenum
-------\Service_srenum
((((((((((((((((((((((((((((( Fichiers créés du 2010-12-21 au 2011-01-21 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier créé dans ce laps de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
------- Sigcheck -------
[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-16 135664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10e.exe" [2010-01-27 256280]
c:\documents and settings\Michel\Menu D'marrer\Programmes\D'marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-3-16 3450608]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
R3 ndisrd;WinpkFilter Service;c:\windows\system32\drivers\ndisrd.sys [16/01/2001 20:48 20480]
S0 gsjztds;gsjztds; [x]
S0 obtgmrv;obtgmrv; [x]
S1 MpKsl54681973;MpKsl54681973;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl54681973.sys [?]
S1 MpKsl68fcabcc;MpKsl68fcabcc;\??\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{5E212C25-4DD3-4109-B1F1-9658BA8437E4}\MpKsl68fcabcc.sys [?]
S3 918842c67594d8ca;918842c67594d8ca;\??\c:\windows\TEMP\5640a22679b1 --> c:\windows\TEMP\5640a22679b1 [?]
S3 dcaf707607d0e482;dcaf707607d0e482;\??\c:\windows\TEMP\54809d729ac0 --> c:\windows\TEMP\54809d729ac0 [?]
.
Contenu du dossier 'Tâches planifiées'
2001-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004Core.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2001-04-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-842925246-1004UA.job
- c:\documents and settings\Michel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-03-16 09:08]
2011-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 17:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-mssend - c:\documents and settings\Michel\Application Data\xssend2\svcnost.exe
HKLM-Run-download - c:\documents and settings\Michel\Application Data\download2\svcnost.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 13:12
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\918842c67594d8ca]
"ImagePath"="\??\c:\windows\TEMP\5640a22679b1"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcaf707607d0e482]
"ImagePath"="\??\c:\windows\TEMP\54809d729ac0"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6c,27,c4,50,b0,b4,cb,4f,b5,3b,27,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(2380)
c:\program files\Stardock\ObjectDock\DockShellHook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2011-01-21 13:15:53 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-01-21 12:15
Avant-CF: 52 782 878 720 octets libres
Après-CF: 53 182 504 960 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
- - End Of File - - AD146C3C5FFD1EA047D2CF55A14A2207
Merci
A voir également:
- Bouillon de culture
- Bouillon - Guide
- Télécharger podcast france culture mp3 - Guide
- France culture application iphone - Télécharger - Médias et Actualité
- Cheque culture micromania - Forum Réseaux sociaux
- Google art et culture selfie - Accueil - Photo
40 réponses
non
je pense que c'est bon
passe les deux fichiers sur VT
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
c:\windows\explorer.exe
c:\windows\system32\winlogon.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Copie le lien de Virus Total dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
je pense que c'est bon
passe les deux fichiers sur VT
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
c:\windows\explorer.exe
c:\windows\system32\winlogon.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Copie le lien de Virus Total dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
Ca scan pour explorer.exe. Mais en allant chercher le fichier, juste en dessous il y en a un qui s'appelle explorer_original.exe ??
AhnLab-V3 2011.01.18.00 2011.01.17 -
AntiVir 7.11.1.216 2011.01.21 -
Antiy-AVL 2.0.3.7 2011.01.18 -
Avast 4.8.1351.0 2011.01.21 -
Avast5 5.0.677.0 2011.01.21 -
AVG 10.0.0.1190 2011.01.21 -
BitDefender 7.2 2011.01.22 -
CAT-QuickHeal 11.00 2011.01.22 -
ClamAV 0.96.4.0 2011.01.22 -
Commtouch 5.2.11.5 2011.01.22 -
Comodo 7468 2011.01.22 -
DrWeb 5.0.2.03300 2011.01.22 -
Emsisoft 5.1.0.1 2011.01.22 -
eSafe 7.0.17.0 2011.01.20 -
eTrust-Vet 36.1.8115 2011.01.21 -
F-Prot 4.6.2.117 2011.01.21 -
F-Secure 9.0.16160.0 2011.01.22 -
Fortinet 4.2.254.0 2011.01.22 -
GData 21 2011.01.22 -
Ikarus T3.1.1.97.0 2011.01.22 -
Jiangmin 13.0.900 2011.01.22 -
K7AntiVirus 9.77.3618 2011.01.22 -
Kaspersky 7.0.0.125 2011.01.22 -
McAfee 5.400.0.1158 2011.01.22 -
McAfee-GW-Edition 2010.1C 2011.01.22 -
Microsoft 1.6502 2011.01.22 -
NOD32 5807 2011.01.21 -
Norman 6.06.12 2011.01.21 -
nProtect 2011-01-18.01 2011.01.18 -
Panda 10.0.2.7 2011.01.22 -
PCTools 7.0.3.5 2011.01.22 -
Prevx 3.0 2011.01.22 -
Rising 23.41.04.06 2011.01.21 -
Sophos 4.61.0 2011.01.22 -
SUPERAntiSpyware 4.40.0.1006 2011.01.22 -
Symantec 20101.3.0.103 2011.01.22 -
TheHacker 6.7.0.1.118 2011.01.21 -
TrendMicro 9.120.0.1004 2011.01.22 -
TrendMicro-HouseCall 9.120.0.1004 2011.01.22 -
VBA32 3.12.14.3 2011.01.21 -
VIPRE 8151 2011.01.22 -
ViRobot 2011.1.22.4268 2011.01.22 -
VirusBuster 13.6.158.0 2011.01.21 -
Additional informationShow all
MD5 : f2317622d29f9ff0f88aeecd5f60f0dd
SHA1 : d54b0b83de6ee5922dd90db1446872bf32062b25
SHA256: 1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13
Patience est mère de sûreté !
AhnLab-V3 2011.01.18.00 2011.01.17 -
AntiVir 7.11.1.216 2011.01.21 -
Antiy-AVL 2.0.3.7 2011.01.18 -
Avast 4.8.1351.0 2011.01.21 -
Avast5 5.0.677.0 2011.01.21 -
AVG 10.0.0.1190 2011.01.21 -
BitDefender 7.2 2011.01.22 -
CAT-QuickHeal 11.00 2011.01.22 -
ClamAV 0.96.4.0 2011.01.22 -
Commtouch 5.2.11.5 2011.01.22 -
Comodo 7468 2011.01.22 -
DrWeb 5.0.2.03300 2011.01.22 -
Emsisoft 5.1.0.1 2011.01.22 -
eSafe 7.0.17.0 2011.01.20 -
eTrust-Vet 36.1.8115 2011.01.21 -
F-Prot 4.6.2.117 2011.01.21 -
F-Secure 9.0.16160.0 2011.01.22 -
Fortinet 4.2.254.0 2011.01.22 -
GData 21 2011.01.22 -
Ikarus T3.1.1.97.0 2011.01.22 -
Jiangmin 13.0.900 2011.01.22 -
K7AntiVirus 9.77.3618 2011.01.22 -
Kaspersky 7.0.0.125 2011.01.22 -
McAfee 5.400.0.1158 2011.01.22 -
McAfee-GW-Edition 2010.1C 2011.01.22 -
Microsoft 1.6502 2011.01.22 -
NOD32 5807 2011.01.21 -
Norman 6.06.12 2011.01.21 -
nProtect 2011-01-18.01 2011.01.18 -
Panda 10.0.2.7 2011.01.22 -
PCTools 7.0.3.5 2011.01.22 -
Prevx 3.0 2011.01.22 -
Rising 23.41.04.06 2011.01.21 -
Sophos 4.61.0 2011.01.22 -
SUPERAntiSpyware 4.40.0.1006 2011.01.22 -
Symantec 20101.3.0.103 2011.01.22 -
TheHacker 6.7.0.1.118 2011.01.21 -
TrendMicro 9.120.0.1004 2011.01.22 -
TrendMicro-HouseCall 9.120.0.1004 2011.01.22 -
VBA32 3.12.14.3 2011.01.21 -
VIPRE 8151 2011.01.22 -
ViRobot 2011.1.22.4268 2011.01.22 -
VirusBuster 13.6.158.0 2011.01.21 -
Additional informationShow all
MD5 : f2317622d29f9ff0f88aeecd5f60f0dd
SHA1 : d54b0b83de6ee5922dd90db1446872bf32062b25
SHA256: 1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13
Patience est mère de sûreté !
c'est ça que tu voulais :
http://www.virustotal.com/file-scan/report.html?id=1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13-1295682601
http://www.virustotal.com/file-scan/report.html?id=1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13-1295682601
ok
faut que je me renseigne pour la suppression de ligne mais àpriori l'infection est traitée
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
faut que je me renseigne pour la suppression de ligne mais àpriori l'infection est traitée
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ok je lance Malwarebytes, et j'ai fait un scan Batimal sur ZHPsearch pour confirmer :
Rapport de ZHPSearch 1.23.13 par Nicolas Coolman, Update du 17/01/2011
Run by Michel at 22/01/2011 09:04:25
Windows XP Home Edition Service Pack 3 (Build 2600)
---\\ Elément(s) de recherche
- Trojan.Batimal
---\\ Liste des Fichiers & Dossiers:
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 14/04/2008 03:34:03 | ---A- | -- C:\Windows\explorer.exe [1037824] => Fichier sain
[MD5.0E3551F454198BA7DBC87C41F79DADD0] 22/01/2011 08:13:09 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf [67724]
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 14/04/2008 03:34:28 | ---A- | -- C:\Windows\system32\winlogon.exe [512000] => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2_32.dll [82432] => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432] => Fichier sain
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2help.dll [19968]
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]
---\\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 7
Nombre de fichiers analysés : 57234
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 23s)
Rapport de ZHPSearch 1.23.13 par Nicolas Coolman, Update du 17/01/2011
Run by Michel at 22/01/2011 09:04:25
Windows XP Home Edition Service Pack 3 (Build 2600)
---\\ Elément(s) de recherche
- Trojan.Batimal
---\\ Liste des Fichiers & Dossiers:
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 14/04/2008 03:34:03 | ---A- | -- C:\Windows\explorer.exe [1037824] => Fichier sain
[MD5.0E3551F454198BA7DBC87C41F79DADD0] 22/01/2011 08:13:09 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf [67724]
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 14/04/2008 03:34:28 | ---A- | -- C:\Windows\system32\winlogon.exe [512000] => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2_32.dll [82432] => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432] => Fichier sain
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\dllcache\ws2help.dll [19968]
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]
---\\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 7
Nombre de fichiers analysés : 57234
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 23s)
Il me declare les fichiedrs qu'on a téléchargés...
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 5564
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
22/01/2011 09:14:12
mbam-log-2011-01-22 (09-14-12).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 127300
Temps écoulé: 2 minute(s), 26 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\explorer.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\winlogon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 5564
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
22/01/2011 09:14:12
mbam-log-2011-01-22 (09-14-12).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 127300
Temps écoulé: 2 minute(s), 26 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\explorer.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\winlogon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
oui
je vois et c'est bizarre mais bon..
comment se comporte le pc ?
je vois et c'est bizarre mais bon..
comment se comporte le pc ?
En fait, il subsistait un truc bizarre sous IE, il me demandait chaque fois que j'ouvrais un site d'installer adobe flash (par le petit bandeau d'information en haut) alors qu'il est déjà installé.
J'ai donc reinitialisé IE, j'ai desinstallé Flash, et pour la forme j'ai desinstallé Google Chrome sur lequel j'avais les redirections hier.
J'ai redémarré et reinstallé le tout, et le Pc semble fonctionner normalement.
J'ai donc reinitialisé IE, j'ai desinstallé Flash, et pour la forme j'ai desinstallé Google Chrome sur lequel j'avais les redirections hier.
J'ai redémarré et reinstallé le tout, et le Pc semble fonctionner normalement.
il subsiste un doute
fais un scan en ligne ici
copie colle le rapport final
http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335
tuto pout t'aider
https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky#analyse-de-l-ordinateur
fais un scan en ligne ici
copie colle le rapport final
http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335
tuto pout t'aider
https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky#analyse-de-l-ordinateur
sinon y a celui ci
Télécharger Eset Nod32 :
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
* Lancer le fichier
* Accepter les conditions
* Autoriser le programme à accéder à Internet
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
* Téléchargement des signatures
Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !
* Le scan débute dés la fin du téléchargement
* Générer le rapport
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...
Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt
Pour vous aider voici un tuto rédigé par dorgane :
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32
Télécharger Eset Nod32 :
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
* Lancer le fichier
* Accepter les conditions
* Autoriser le programme à accéder à Internet
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
* Téléchargement des signatures
Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !
* Le scan débute dés la fin du téléchargement
* Générer le rapport
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...
Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt
Pour vous aider voici un tuto rédigé par dorgane :
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32
RAPPORT ESET :
C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir Win32/Patched.GO cheval de troie
C:\Qoobox\Quarantine\C\WINDOWS\system32\qtplugin.exe.vir une variante de Win32/Kryptik.CU cheval de troie
C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon.exe.vir Win32/Patched.GN cheval de troie
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006015.exe Win32/Patched.GO cheval de troie
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006016.exe Win32/Patched.GN cheval de troie
C:\WINDOWS\system32\ms.dll Win32/Bamital.DV cheval de troie
confirmé par VT :
http://www.virustotal.com/file-scan/report.html?id=2ee23ec6d62143b6c9c3a4deb308eb5b84ec7732356823e80b2db83d45146887-1295693248
C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir Win32/Patched.GO cheval de troie
C:\Qoobox\Quarantine\C\WINDOWS\system32\qtplugin.exe.vir une variante de Win32/Kryptik.CU cheval de troie
C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon.exe.vir Win32/Patched.GN cheval de troie
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006015.exe Win32/Patched.GO cheval de troie
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006016.exe Win32/Patched.GN cheval de troie
C:\WINDOWS\system32\ms.dll Win32/Bamital.DV cheval de troie
confirmé par VT :
http://www.virustotal.com/file-scan/report.html?id=2ee23ec6d62143b6c9c3a4deb308eb5b84ec7732356823e80b2db83d45146887-1295693248
Voilà le rapport et je me sauve :
C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir Win32/Patched.GO cheval de troie supprimé - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\qtplugin.exe.vir une variante de Win32/Kryptik.CU cheval de troie nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon.exe.vir Win32/Patched.GN cheval de troie supprimé - mis en quarantaine
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006015.exe Win32/Patched.GO cheval de troie supprimé - mis en quarantaine
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006016.exe Win32/Patched.GN cheval de troie supprimé - mis en quarantaine
C:\WINDOWS\system32\ms.dll Win32/Bamital.DV cheval de troie nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir Win32/Patched.GO cheval de troie supprimé - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\qtplugin.exe.vir une variante de Win32/Kryptik.CU cheval de troie nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon.exe.vir Win32/Patched.GN cheval de troie supprimé - mis en quarantaine
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006015.exe Win32/Patched.GO cheval de troie supprimé - mis en quarantaine
C:\System Volume Information\_restore{1C830A49-F649-4561-9E96-22C91BA43A95}\RP6\A0006016.exe Win32/Patched.GN cheval de troie supprimé - mis en quarantaine
C:\WINDOWS\system32\ms.dll Win32/Bamital.DV cheval de troie nettoyé par suppression - mis en quarantaine
je suis de retour
si le pc fonctionne
on peut finaliser ton affaire
pour cela
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
si le pc fonctionne
on peut finaliser ton affaire
pour cela
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
1)
* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )
..........................
2)
IMPORTANT
Purger les points de restauration système:
Télécharge OneClick2RestorePoint
http://www.multifa7.be/Laddy/OneClick2RP.exe
Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz
* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
* Rends toi dans l'onglet "Autres options"
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
* Les points de restauration système seront purgés sauf le dernier créé.
Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................
3)
Télécharge DelFix sur ton bureau.
http://www.teamxscript.org/too/Xplode/DelFix.exe
1. Lance le, choisis le bouton SUPPRESSION
2. Patiente pendant le scan jusqu'à l'ouverture du rapport.
3. Copie/Colle le contenu du rapport dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\DelFixSearch
___________________
Recommandations pour l'avenir
Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
- logiciels non à jour (windows, internet explorer, java, adobe reader etc)
- installation de toolbar
- fréquentation de sites piégés
- P2P
- Application de cracks
- Supports usb
Pour t'aider dans cette tâche, voici quelques pistes
Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/
Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
http://www.clubic.com/telecharger-fiche45912-adblock-plus.html
............................
WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
........................
Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !
..........................
Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)
http://www.teamxscript.org/usbfixTelechargement.html
Au menu principal, choisis l'option 3 (Vaccination).
............................
garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................
Pour savoir si ton PC est à jour utilise Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php
...................
Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html
........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
http://www.libellules.ch/...
* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )
..........................
2)
IMPORTANT
Purger les points de restauration système:
Télécharge OneClick2RestorePoint
http://www.multifa7.be/Laddy/OneClick2RP.exe
Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz
* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
* Rends toi dans l'onglet "Autres options"
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
* Les points de restauration système seront purgés sauf le dernier créé.
Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................
3)
Télécharge DelFix sur ton bureau.
http://www.teamxscript.org/too/Xplode/DelFix.exe
1. Lance le, choisis le bouton SUPPRESSION
2. Patiente pendant le scan jusqu'à l'ouverture du rapport.
3. Copie/Colle le contenu du rapport dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\DelFixSearch
___________________
Recommandations pour l'avenir
Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
- logiciels non à jour (windows, internet explorer, java, adobe reader etc)
- installation de toolbar
- fréquentation de sites piégés
- P2P
- Application de cracks
- Supports usb
Pour t'aider dans cette tâche, voici quelques pistes
Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/
Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
http://www.clubic.com/telecharger-fiche45912-adblock-plus.html
............................
WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
........................
Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !
..........................
Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)
http://www.teamxscript.org/usbfixTelechargement.html
Au menu principal, choisis l'option 3 (Vaccination).
............................
garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................
Pour savoir si ton PC est à jour utilise Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php
...................
Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html
........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
http://www.libellules.ch/...
Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
Fichier d'export Registre :
Run by Michel at 01/01/2001 00:31:31
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
========== Récapitulatif ==========
2 : Valeur(s) du Registre
End of the scan
Fichier d'export Registre :
Run by Michel at 01/01/2001 00:31:31
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
========== Récapitulatif ==========
2 : Valeur(s) du Registre
End of the scan
en fait, la seule clé approchante que je retrouve dans le registre, c'est celle-ci :
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION
avec comme valeur svchost et en données 22b8
On la retrouve sur ce descriptif de menaces en exemple 2 :
http://www.sophos.com/security/analyses/viruses-and-spyware/trojctfmona.html
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION
avec comme valeur svchost et en données 22b8
On la retrouve sur ce descriptif de menaces en exemple 2 :
http://www.sophos.com/security/analyses/viruses-and-spyware/trojctfmona.html
Voilà :
# DelFix v7.1 - Rapport créé le 01/01/2001 à 02:05
# Mis à jour le 16/01/11 à 15h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Michel - PHILIBER-4FF919 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Michel\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\ToolBar SD
Supprimé : C:\Lop SD
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
Supprimé : C:\TB.txt
Supprimé : C:\lopR.txt
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\avenger.zip
Supprimé : C:\Documents and Settings\Michel\Bureau\LopSD.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\UsbFix.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\ToolBarSD.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\MBRCheck_01.21.11_17.51.38.txt
Supprimé : C:\Documents and Settings\Michel\Bureau\MBRCheck_01.22.11_09.52.51.txt
Supprimé : C:\Documents and Settings\Michel\Bureau\ad-remover_ad_remover_2010_2.0.0.0_anglais_313780.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Michel\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autre ~~~~~~
-> ESET Online Scanner ... Désinstallé avec succès
########## EOF - "C:\DelFixSuppr.txt" - [2914 octets] ##########
# DelFix v7.1 - Rapport créé le 01/01/2001 à 02:05
# Mis à jour le 16/01/11 à 15h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Michel - PHILIBER-4FF919 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Michel\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\ToolBar SD
Supprimé : C:\Lop SD
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_PHILIBER-4FF919.zip
Supprimé : C:\TB.txt
Supprimé : C:\lopR.txt
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\avenger.zip
Supprimé : C:\Documents and Settings\Michel\Bureau\LopSD.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\UsbFix.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\ToolBarSD.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\MBRCheck_01.21.11_17.51.38.txt
Supprimé : C:\Documents and Settings\Michel\Bureau\MBRCheck_01.22.11_09.52.51.txt
Supprimé : C:\Documents and Settings\Michel\Bureau\ad-remover_ad_remover_2010_2.0.0.0_anglais_313780.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Michel\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\Michel\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autre ~~~~~~
-> ESET Online Scanner ... Désinstallé avec succès
########## EOF - "C:\DelFixSuppr.txt" - [2914 octets] ##########