virus win32: Palevo Résolu/Fermé

Question

Bonjour, 

antivir me détecte plusieurs virus dont nottament win32: palevo. Je suis déconnecté d'internet toutes les 2 minutes.

À chaque redémarrage, je n'arrive pas à me connecter sur firefox, la connexion est refusée par le serveur proxy et je suis obligé d'aller dans outils-options-paramètres et de cocher détection automatique des paramètres de proxy pour ce réseau à chaque fois.

J'ai déjà fait plusieurs scan avec Malwarebytes anti-malware, avira antivir et spybot

voici mon scan zhpdiag

http://www.cijoint.fr/cjlink.php?file=cj201102/cijC2ypVio.txt

merci de m'aider


Configuration: Windows Vista / Firefox 3.5.2

Destrio5 · Answer

Bonjour,

N'oublie pas de mettre Malwarebytes' Anti-Malware à jour avant de lancer un scan.

Thorus12 · Answer

Malwarebytes anti-malware est à jour, j'aimerais savoir comment on analyse le rapport zhpdiag pour pouvoir lancer zhpfix.

Merci

Destrio5 · Answer

--> Télécharge OTL (par OldTimer) sur ton Bureau.
--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
--> Coche également les cases à côté de Recherche Lop et Recherche Purity.
--> Enfin, clique sur le bouton Analyse. Le scan ne prend pas beaucoup de temps.
--> Une fois l'analyse terminée, deux fenêtres Bloc-notes vont s'ouvrir : OTL.txt et Extras.txt. Ils se trouvent au même endroit qu'OTL.
--> Utilise cijoint.fr pour me transmettre les rapports.

Thorus12 · Answer

Voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201102/cijCKre00h.txt

Il n'y a pas de fichier Extras.txt par contre

Destrio5 · Answer

Ok, on y va.


1/

--> Démarre Spybot, clique sur Mode, coche Mode avancé.
--> A gauche, clique sur Outils, puis sur Résident.
--> Décoche la case devant Résident "TeaTimer" :
http://sd-1.archive-host.com/membres/up/3288717712384394/TeaTimer.jpg
--> Quitte Spybot.


2/

&#9679; Télécharge Ad-Remover (de C_XX) sur ton Bureau.
&#9679; Ferme toutes les applications en cours y compris le navigateur.
&#9679; Double-clique sur le programme AD-R situé sur ton Bureau.
&#9679; Clique sur Nettoyer puis valide.
&#9679; Poste le rapport généré (C:\Ad-Report-CLEAN.log).

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


3/

--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :




:OTL
PRC - C:\Users\clement\AppData\Roaming\Microsoft\conhost.exe () 
PRC - C:\Users\clement\AppData\Local\Temp\csrss.exe () 
O4 - HKCU\..\Run: [conhost] C:\Users\clement\AppData\Roaming\Microsoft\conhost.exe ()     
F3 - HKCU WinNT: Load - (C:\Users\clement\AppData\Local\Temp\csrss.exe) - C:\Users\clement\AppData\Local\Temp\csrss.exe () 
F3 - HKCU WinNT: Load - (C:\Users\clement\AppData\Local\Temp\csrss.exe) - C:\Users\clement\AppData\Local\Temp\csrss.exe () 

:commands
[emptytemp]




--> Puis clique sur le bouton Correction en haut de la fenêtre.
--> Laisse le programme travailler, redémarre une fois le fix terminé.
--> Poste le rapport qui s'affichera après redémarrage.

Thorus12 · Answer

voici le rapport ad remover:

http://www.cijoint.fr/cjlink.php?file=cj201102/cijD9M19O6.txt


voici le rapport otl:


All processes killed
========== OTL ==========
No active process named conhost.exe was found!
No active process named csrss.exe was found!
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Users\clement\AppData\Roaming\Microsoft\conhost.exe moved successfully.
File C:\Users\clement\AppData\Local\Temp\csrss.exe not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load:C:\Users\clement\AppData\Local\Temp\csrss.exe deleted successfully.
File C:\Users\clement\AppData\Local\Temp\csrss.exe not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load:C:\Users\clement\AppData\Local\Temp\csrss.exe deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: clement
->Temp folder emptied: 133885974 bytes
->Temporary Internet Files folder emptied: 25225052 bytes
->Java cache emptied: 63926365 bytes
->FireFox cache emptied: 49472150 bytes
->Google Chrome cache emptied: 594288 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 18225 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33076 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 261,00 mb
 
 
OTL by OldTimer - Version 3.2.20.6 log created on 02012011_021055

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Destrio5 · Answer

--> Relance Ad-Remover et choisis Désinstaller.

Comment va le PC ?

Thorus12 · Answer

Plus de virus il semble, je vais lancer un scan pour être sûr

or explorer ne se lançait pas et il fallait que je modifie les paramètres, toujours ce problème de proxy

Thorus12 · Answer

Apparemment, c'est pas bon

Voilà le dernier rapport de malwarebytes anti-malware

http://www.cijoint.fr/cjlink.php?file=cj201102/cij6TnnVlo.txt

Et Antivir m'a détecte le fichier conhost.exe comme virus alors que je pensais qu'il était supprimé

D'autres rapports :

oldtimer: http://www.cijoint.fr/cjlink.php?file=cj201102/cijzCfRcnD.txt
zhpdiag: http://www.cijoint.fr/cjlink.php?file=cj201102/cijCXlzCc3.txt

Destrio5 · Answer

"Et Antivir m'a détecte le fichier conhost.exe comme virus alors que je pensais qu'il était supprimé"

--> Il l'a peut-être détecté dans la quarantaine d'OTL.

Supprime tout ce qu'il y a dans la quarantaine de Malwarebytes' Anti-Malware.

Il reste des traces du virus conhost.exe dans le registre, on va les supprimer.

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


O4 - HKCU\..\Run: [conhost] C:\Users\clement\AppData\Roaming\Microsoft\conhost.exe (.not file.)     
O4 - HKUS\S-1-5-21-3134296232-2412903082-1817574899-1000\..\Run: [conhost] C:\Users\clement\AppData\Roaming\Microsoft\conhost.exe (.not file.)     


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper). 

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "OK", puis "Tous" et enfin "Nettoyer".

--> Copie-colle le rapport dans ton prochain message.

Le rapport est enregistré sur ton Bureau. Il s'appelle ZHPFixReport.

Thorus12 · Answer

Bonjour,

impossible d'obtenir un rapport avec zhpfix.

"Impossible de créer le fichier "C\Program Files (x86)\ZHPDiag\ZHPFix Quarantine.txt"

Destrio5 · Answer

---> Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar) :
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

---> Puis reposte un nouveau rapport ZHPDiag.

Thorus12 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cijRqpMmQx.txt

Destrio5 · Answer

Plus de trace d'infection, comment va le PC ?

Thorus12 · Answer

Il marche très bien

Destrio5 · Answer

1/

---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


;)

Thorus12 · Answer

Voici le rapport delfix:

# DelFix v7.1 - Rapport créé le 01/02/2011 à 18:17
# Mis à jour le 16/01/11 à 15h30 par Xplode
# Système d'exploitation : Windows (TM) Vista Home Premium (64 bits) [version 6.0.6002] 
# Nom d'utilisateur : clement - PC-DE-CLEMENT (Administrateur)
# Exécuté depuis : C:\Downloads\Software\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTL
Supprimé : C:\32788R22FWJFW
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:kill.log
Supprimé : C:\ZHPExportRegistry-22-07-2010-19-48-29.txt
Supprimé : C:\Windows\System32\404Fix.exe
Supprimé : C:\Windows\System32\o4Patch.exe
Supprimé : C:\Windows\System32\VACFix.exe
Supprimé : C:\Windows\System32\VCCLSID.exe
Supprimé : C:\Windows\System32\IEDFix.exe
Supprimé : C:\Windows\System32\IEDFix.C.exe
Supprimé : C:\Windows\System32\Agent.OMZ.Fix.exe
Supprimé : C:\Windows\System32\WS2Fix.exe
Supprimé : C:\Windows\System32\Process.exe
Supprimé : C:\Windows\System32\swreg.exe
Supprimé : C:\Windows\System32\swsc.exe
Supprimé : C:\Windows\System32\swxcacls.exe
Supprimé : C:\Windows\System32\SrchSTS.exe
Supprimé : C:\Windows\System32	mp.reg
Supprimé : C:\Windows\System32	mp.txt
Supprimé : C:\Windows\System32\dumphive.exe
Supprimé : C:\Users\clement\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\clement\Downloads\OTL.exe
Supprimé : C:\Users\clement\Downloads\OTL.Txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [2355 octets] ##########
Mais à quel moment dois-je désactiver la restauration système ?

Destrio5 · Answer

Maintenant par exemple, n'oublie pas de la réactiver.

Thorus12 · Answer

Ok c'est fait, y a-t-il autre chose à faire ?

Destrio5 · Answer

Tu peux mettre le sujet en résolu.

Thorus12 · Answer

Ok merci pour ton aide

Virus win32: Palevo

21 réponses

Discussions similaires

Newsletters