Deuxième PC à analyser - virus

rubenvanger Messages postés 40 Statut Membre -  
rubenvanger Messages postés 40 Statut Membre -
Bonjour,



J'ai réalisé un Ad remover puis un ZHPDiag, dont voici les rapports :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijspJUgFt.txt

http://www.cijoint.fr/cjlink.php?file=cj201101/cijzDHe46y.txt

Dois je effectuer un ZHPFix ou bien autre chose?

Merci!

14 réponses

  1. rubenvanger Messages postés 40 Statut Membre
     
    en attendant je mets à jour ce qu'il faut mettre à jour.. ;-)
    0
  2. rubenvanger Messages postés 40 Statut Membre
     
    Et je crois avoir un gros problème avec ce pc.. mon pare feu se désactive tout seul
    0
  3. glops Messages postés 1901 Statut Membre 150
     
    bonsoir rubenvanger

    en plus d'une infection par toolbar installée probablement par Titan poker et de l'infection Navipromo qui est un Adware qui Provoque des ouvertures de popups.
    Ces popups sont essentiellement des pub pornographiques, des fenêtres d'alerte pour acheter les antivirus WinantivirusPro, Drive Cleaner, NaviSearch, serwab, System Doctor,...

    elle S'installe avec les logiciels dits "gratuits" : go-astro, Instant Access, InternetGameBox, GoRecord, HotTVPlayer, MailSkinner, Messenger Skinner, sudoplanet, Webmediaplayer, Live-Player...
    mais aussi via des Faux Codec ou des Crack : plus d'info ici :
    https://forum.malekal.com/viewtopic.php?t=827&start=

    il y a sur ce pC, une belle infection de et par support amovible,fais ceci après t'être muni de tous tes supports amovibles(clés usb, disques durs externes,SDcard..etc...)

    /!\ ferme toutes tes applications et enregistre le travail en cours en cours/!\

    => Télécharge UsbFix: (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
    sur la même page tu auras un tutoriel vidéo" nettoyage" pour t'aider si besoin
    => Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

    => Double clic sur le raccourci UsbFix présent sur ton bureau, clic droit et "exécuter en tant qu'administrateur" sous vista et 7
    => choisi: ( Suppression )
    => vérifie que tous tes supports amovibles sont connectés et clique sur OK
    => Ton bureau disparaîtra momentanément
    => UsbFix scannera ton pc , laisse travailler l'outil.
    => Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
    => Note: Le rapport UsbFix.txt est sauvegardé à la racine du disque.(C:\UsbFix.txt )

    => ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    refaisq ensuite un ZHPdiag et poste moi le lien

    0
  4. rubenvanger Messages postés 40 Statut Membre
     
    Bonjour et merci pour ta patience.

    J'ai du encore activer le pare feu par moi même avant de lancer les scan, je ne sais pas si cela fausse les résultats ?

    Usbfix : http://www.cijoint.fr/cjlink.php?file=cj201101/cijHe75fSF.txt

    ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201101/cijygvy1O4.txt

    bonne lecture ! ;-)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. glops Messages postés 1901 Statut Membre 150
     
    bonjour soir

    plus de traces évidentes de malwares actifs ce qui ne veut pas dire qu'il ne reste pas du nettoyage à faire,d'autant que j'ai quelques doutes, comment se comporte ton pc?

    je lis la présence de deux antivirus sur ce PC
    il faut choisir entre Avast et Norton et n'en conserver qu'un seul
    pour désinstaller Norton sers toi de leur outil de désinstallation
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

    je voudrais que tu analyses un fichier sur virus total
    affiche les dossiers cachés sous vista de cette façon:
    https://www.micro-astuce.com/Forum/afficher-les-fichiers-caches-t1607.html

    => Rends toi sur https://www.virustotal.com/gui/
    => clique sur "parcourir" et dans le champ saisis le chemin vers le fichier possiblement "infecté" soit :

    c:\users\acer\appdata\local\xhqbrueu.exe

    => clique sur envoyer le fichier

    Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). => Demande à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"

    => poste moi le lien vers le rapport

    tutoriel pour t'aider

    recommence la manip pour cette dll:

    C:\Windows\system32\ActiveToolBand.dll


    ensuite fais ceci également:

    => Lance ZHPFix par son raccourci sur le bureau
    => Clique sur l'icône représentant une poubelle pleine (restaurer la quarantaine)
    les lignes qui y sont placés vont apparaitre
    => sélectionne uniquement les lignes où tu vois :

    O4 - HKLM\..\Run: [Acer Tour] Clé orpheline
    O4 - HKLM\..\Run: [eRecoveryService] Clé orpheline
    O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
    O4 - HKUS\S-1-5-21-160575199-3685603293-4141178081-1000\..\Run: [AdobeBridge] Clé orpheline
    [MD5.00000000000000000000000000000000] [APT] [{10976DA6-7AEB-4245-BFCD-87FBF2EA24AF}] (.Pas de propriétaire.) -- c:\users\acer\appdata\local\iceyc.bat (.not file.)
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline => Yahoo Companion!
    O8 - Extra context menu item: Add to Windows &Live Favorites - (.not file.) - http:\\favorites.live.com\quickadd.aspx
    [HKCU\Software\AppDataLow\Software\AskSBar]


    => avec le clic droit choisis ""Restaurer la ligne sélectionnée"
    => valide par" OK"

    bonne soirée!
    glops31 /-----------\ Une désinfection inachevée est inutile... /------------
    ----------------------/ Qui prend conseil est près de bien faire.\------------

    doutes
    0
  7. rubenvanger Messages postés 40 Statut Membre
     
    SAlut salut

    je ne pourrais effectuer ces manips que dans quelques jours car j'ai du partir sans mon pc, donc je ne peux plus l'analyser pour le moment...

    dès que je rentre je fais tout cela, en te remerciant par avance

    Ruben!
    0
  8. rubenvanger Messages postés 40 Statut Membre
     
    Bonjour

    je suis enfin de retour..

    alors j'ai désinstallé norton et apparemement c'était çà qui bloquait le pare feu, puisque pour la première fois depuis plusieurs mois, windows m'a averti que mon pare feu était désactivé..

    je suis allée sur virus total, j'ai réussi à trouvé active tool band, dont voici le lien pour le rapport : http://www.virustotal.com/file-scan/report.html?id=5f8d51103651c033fa9f828ef5d19a37275522a8bd1fc6ea041f29d9ae4e1fd9-1297258254

    par contre je n'ai pas réussi à trouver xhqbrueu.exe ...

    du coup j'ai voulu lancer ZHPfix, mais impossible d'afficher ce qui se trouve dans la quarantaine.. alors je te repost un ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201102/cijmy0crW5.txt

    Ce serait vachement sympa de ta part si tu avais le temps de m'aider à finir la désinfection de mon PC..

    merci!

    ruben

    par
    0
  9. glops Messages postés 1901 Statut Membre 150
     
    bonsoir

    je ne comprenais pas cette histoire de quarantaine , mais en relisant j'ai vu que je me suis trompé de texte copié/collé (canned speech)en fait il faut faire ce qui suit pour supprimer les lignes et non pas restaurer une quarantaine inexistante puisque tu n'as rien supprimer encore avec ZHPfix
    excuse moi pour cette erreur...

    => Lance ZHPFix (via le raccourci seringue sur ton Bureau)
    => Copie les lignes suivantes :

    O4 - HKLM\..\Run: [Acer Tour] Clé orpheline
    O4 - HKLM\..\Run: [eRecoveryService] Clé orpheline
    O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
    O4 - HKUS\S-1-5-21-160575199-3685603293-4141178081-1000\..\Run: [AdobeBridge] Clé orpheline
    [MD5.00000000000000000000000000000000] [APT] [{10976DA6-7AEB-4245-BFCD-87FBF2EA24AF}] (.Pas de propriétaire.) -- c:\users\acer\appdata\local\iceyc.bat (.not file.)
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline => Yahoo Companion!
    O8 - Extra context menu item: Add to Windows &Live Favorites - (.not file.) - http:\\favorites.live.com\quickadd.aspx
    [HKCU\Software\AppDataLow\Software\AskSBar]


    Avec la souris 'tout sélectionner /copier

    => Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    =>les lignes copiées et seulement celles-là doivent se placer dans la fenêtre
    => valide par "OK"
    => Clique sur « Tous », puis sur « Nettoyer »
    => Copie/colle la totalité du rapport généré dans ta prochaine réponse ou héberge le sur cijoint.fr

    note:le rapport se trouve aussi sous C:\Program Files\ZHPDiag\ZHPFix.txt

    refais ensuite un ZHPDiag et poste moi le lien

    nous irons au bout de cette désinfection ,mais étant en déplacement toute la semaine je ne peux me connecter que le soir si j'ai une connexion wifi dans les hotels

    A+
    0
  10. rubenvanger Messages postés 40 Statut Membre
     
    Bonjour et merci de prendre de votre temps . Voici le ZHPFix :

    Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-10-02-2011-10-09-40.txt
    Run by ACER at 10/02/2011 10:09:40
    Windows Vista Home Premium Edition, 32-bit (Build 6000)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] => Clé supprimée avec succès
    [HKCR\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] => Clé supprimée avec succès
    O8 - Extra context menu item: Add to Windows &Live Favorites - (.not file.) - http:\\favorites.live.com\quickadd.aspx => Clé supprimée avec succès
    HKCU\Software\AppDataLow\Software\AskSBar => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O4 - HKLM\..\Run: [Acer Tour] Clé orpheline => Valeur absente
    O4 - HKLM\..\Run: [eRecoveryService] Clé orpheline => Valeur absente
    O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-160575199-3685603293-4141178081-1000\..\Run: [AdobeBridge] Clé orpheline => Valeur absente
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline => Yahoo Companion! => Valeur supprimée avec succès

    ========== Fichier(s) ==========
    c:\users\acer\appdata\local\iceyc.bat (.not file.) => Fichier absent
    p:\\favorites.live.com => Supprimé et mis en quarantaine

    ========== Tache planifiée ==========
    Task : {10976DA6-7AEB-4245-BFCD-87FBF2EA24AF} => Tache absente

    ========== Récapitulatif ==========
    4 : Clé(s) du Registre
    5 : Valeur(s) du Registre
    2 : Fichier(s)
    1 : Tache planifiée

    End of the scan

    et le ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201102/cij8D0UyKX.txt

    je tiens à préciser que mon pare feu ne se met pas en place tout seul au démarrage, je suis obliger de l'activer.
    mon pc a buggué complètement lors de la première tentative de ZHPFix (il s'est éteint pour se protéger).

    à ce soir alors poir de nouvelles manip?

    merci

    ruben
    0
  11. glops Messages postés 1901 Statut Membre 150
     
    Bonsoir

    Tu vas maintenant utiliser un logiciel plus généraliste et très efficace que tu pourras conserver et utiliser régulièrement:

    => Télécharge Malwarebytes antimalware:
    => utilise le en mode normal si possible
    => Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    => Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    => Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    => L'analyse peut durer un bon moment....~2 heures
    => Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    =>Vérifie que tout ce qui est en rouge est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    => Un rapport va s'ouvrir dans le bloc note... héberge le sur http://www.cijoint.fr/ avant de me poster le lien
    => Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Tutoriel MBAM

    A+
    0
  12. rubenvanger Messages postés 40 Statut Membre
     
    Bonjour !

    Apparemment tout va bien de ce côté là :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5740

    Windows 6.0.6000
    Internet Explorer 8.0.6001.18904

    11/02/2011 17:08:40
    mbam-log-2011-02-11 (17-08-40).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 293161
    Temps écoulé: 2 heure(s), 14 minute(s), 46 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Par contre j'ai toujours un souci de pare feu au démarrage..

    merci
    0
  13. glops Messages postés 1901 Statut Membre 150
     
    Bonjour

    => Lance ZHPFix (via le raccourci seringue sur ton Bureau)
    => Copie les lignes suivantes :

    O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} . (.HiTRUST - ActiveToolBand Module.) -- C:\Windows\system32\ActiveToolBand.dll
    O43 - CFD: 13/11/2010 - 18:53:16 ----D- C:\ProgramData\4D
    O53 - SMSR:HKLM\...\startupreg\ccApp [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    O53 - SMSR:HKLM\...\startupreg\Symantec PIF AlertEng [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O53 - SMSR:HKLM\...\startupreg\swg [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe


    => Avec la souris :tout sélectionner /copier)

    => Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    =>les lignes copiées et seulement celles-là doivent se placer dans la fenêtre
    => valide par "OK"
    => Clique sur « Tous », puis sur « Nettoyer »
    => Copie/colle la totalité du rapport dans ta prochaine réponse ou héberge le sur cijoint.fr

    Tu dois mettre à jour ton Vista en passant d'abord au SP1 et ensuite au SP2
    Pour cela passe par Windows update:
    cela résoudra très certainement ton souci de pare-feu
    glops31 /-----------\ Une désinfection inachevée est inutile... /------------
    ----------------------/ Qui prend conseil est près de bien faire.\------------
    0
  14. rubenvanger Messages postés 40 Statut Membre
     
    Bonsoir

    désolé pour le retard, je fais le ZHPFix maintenant, par contre je ne peux pas passer au SP1 car la dernière fois que windows a voulu passer au SP1, mon ACER n'a plus voulu redémarrer. Résultat : 150€ de récupération de données et reformatage.. J'ai appelé Microsoft, et mon acer n'est pas compatible avec le SP1.. cool non?

    à tout de suite!
    0
  15. rubenvanger Messages postés 40 Statut Membre
     
    j'ai un gros souci, avec le ZHPFix, au moment de tout nettoyer, mon ordi s'éteint et m'informe que c'est pour le protéger de dommages éventuels
    dans mes souvenirs c'était écrit : cachesytem ou catchsystem

    bizarre non?

    ruben
    0
    1. rubenvanger Messages postés 40 Statut Membre
       
      Bonjour,

      glops êtes vous dans le coin?

      ruben
      0