Virus tenace

Question

Bonjour, 

Bonjour tous le monde

J'ai chopé un virus nommé Zwangie et impossible de l'enlever. J'ai essayé avec plusieurs anti-virus mais rien a faire. Il me change ma barre Démarrer en style Windows 95, il me supprime les pilotes audio, m'envoie des pop up sur internet et il me coupe ma connexion internet.

A l'aide !!!!!!!!...........

Merci d'avance

Lyonnais92 · Answer

Bonjour,

peux tu faire ça (si nécessaire en mode sans échec avec prise en charge réseau) :

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Mat85 · Answer

J'ai fait ce que tu m'a demandé, voici le lien pour le rapport ZHPDiag 

http://www.cijoint.fr/cjlink.php?file=cj201102/cijJpCZMNm.txt

Lyonnais92 · Answer

Re,

ouvre ce lien

https://support.kaspersky.com/fr/14421

tu as une procédure et un lien de téléchargement de TDSSKiller.

Suis les instructions et poste le rapport.

Mat85 · Answer

désolé pour le retard mais j'avais plus de connexion internet

il y a deux rapport parce que j'ai fait le scan 2 fois 

Voici les liens :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijmh3SwB5.txt 

http://www.cijoint.fr/cjlink.php?file=cj201102/cijAoPoOpc.txt

Lyonnais92 · Answer

Bonjour,

tu as récupéré ta connexion Internet (sans utiliser la restauration système) ?

Fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.

Mat85 · Answer

J'ai éteint le pc et redemarrer au moins 10 fois pour réussir a récupérer ma connexion

Toute l'interface xp était revenu sur l'inteface windows classique (95)

voici le nouveau rapport

http://www.cijoint.fr/cjlink.php?file=cj201102/cijd6MgPR9.txt

Lyonnais92 · Answer

Re,

on continue comme ça :

 * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Mat85 · Answer

voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201102/cijZOqn0SP.txt

Lyonnais92 · Answer

Re,

bon, on avance.

Fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.

Comment va l'ordi ?

Il reste quoi comme problème ?

Mat85 · Answer

l' ordi a l'air plus stable et j'ai l'impression qu'il démarre plus vite

le nouveau rapport : http://www.cijoint.fr/cjlink.php?file=cj201102/cijIhRxiGI.txt

il rame encore a certain moment mais moins qu'au départ

Lyonnais92 · Answer

Re,

OK, on continue comme ça :

a) ne conserve que un antivirus et un parefeu contrôlant les connexions sortantes. Désinstalle tout le reste. Ca peut être un élément d'instabilité et de lenteur.

b) Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) --  (.not file.) 
O41 - Driver:  (InCDPass) . (. - .) - C:\Windows\System32\drivers\InCDPass.sys (.not file.)   
O41 - Driver:  (InCDRm) . (. - .) - C:\Windows\System32\drivers\InCDRm.sys (.not file.) 
O42 - Logiciel: Java 6 Update 3 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160030} 
[HKLM\Software\AntimalwareSolution] 
O44 - LFC:[MD5.6F953A700C635860EC96738CDBBAF8DB] - 05/02/2011 - 10:16:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\ZHPRegY0.zhp   [476] 
O64 - Services: CurCS - (.not file.) - FCI (FCI)  .(.Pas de propriétaire - Pas de description.) - LEGACY_FCI 
O64 - Services: CurCS - (.not file.) - MpKslb08df7ca (MpKslb08df7ca)  .(.Pas de propriétaire - Pas de description.) - LEGACY_MPKSLB08DF7CA 
O69 - SBI: SearchScopes [HKCU] {68f95363-e430-43ce-970f-495949476ca0} - (Searcheo) - http://www.searcheo.fr 
O69 - SBI: SearchScopes [HKCU] {FE4C2C37-EDC8-4C00-B864-3C38CF3BA834} - (Google) - http://search.search-click.com</code> 


Déconnecte toi d'Internet et ferme toutes les applications ouvertes. 


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau. 



Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau, 

puis sélectionne 'Exécuter en tant qu'administrateur'. 



Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille. 



Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 



Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne. 



Clique sur "Tous" puis sur "Nettoyer". 



Laisse l'outil travailler. 



Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement. 



Le rapport d'exécution va apparaître dans la fenêtre. 



Copie le dans ta réponse. 



@+ 

Science sans conscience n'est que ruine de l'âme. Rabelais

Mat85 · Answer

Voici le rapport de zhpfix

Rapport de ZHPFix 1.12.3249 par Nicolas Coolman, Update du 03/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2011-18-23-24.txt
Run by Administrateur at 05/02/2011 18:23:24
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\AntimalwareSolution => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - FCI (FCI) .(.Pas de propriétaire - Pas de description.) - LEGACY_FCI => Clé absente
O64 - Services: CurCS - (.not file.) - MpKslb08df7ca (MpKslb08df7ca) .(.Pas de propriétaire - Pas de description.) - LEGACY_MPKSLB08DF7CA => Clé absente
O69 - SBI: SearchScopes [HKCU] {68f95363-e430-43ce-970f-495949476ca0} - (Searcheo) - http://www.searcheo.fr => Clé absente
O69 - SBI: SearchScopes [HKCU] {FE4C2C37-EDC8-4C00-B864-3C38CF3BA834} - (Google) - http://search.search-click.com</code> => Clé absente

========== Valeur(s) du Registre ==========
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente

========== Fichier(s) ==========
c:\zhpregy0.zhp => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Java 6 Update 3 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160030} => Logiciel déjà supprimé

========== Récapitulatif ==========
5 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Fichier(s)
1 : Logiciel(s)

End of the scan

Lyonnais92 · Answer

Re,

il y a des choses que je ne comprends pas.

Fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.

Mat85 · Answer

voici le nouveau rapport

http://www.cijoint.fr/cjlink.php?file=cj201102/cijZFJcmG3.txt

Mat85 · Answer

P.S : le rapport de zhpfix est le deuxième car ayant oublié de copier le rapport la première fois j'ai relancé zhpfix pour qu' il génère un autre rapport. C'est celui la que tu as reçu . C'est peut être pour ca qu' il y a des choses que tu ne comprends pas. Désolé.

Lyonnais92 · Answer

Re,

OK, alors je comprends.

Des restes.

relance ZHPFix avec :

[HKLM\Software\AntimalwareSolution]
[HKCU\Software\Whbofysoyu]

Poste le rapport.

Ensuite, tu fais redémarrer l'ordi, ru refais passer ZHPDiag et tu postes le nouveau rapport dans un lien Cijoint.

Mat85 · Answer

j'ai relancé zhpfix avec les deux lignes 

voici le rapport

Rapport de ZHPFix 1.12.3249 par Nicolas Coolman, Update du 03/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2011-20-57-47.txt
Run by Administrateur at 05/02/2011 20:57:46
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\AntimalwareSolution  => Clé supprimée avec succès
HKCU\Software\Whbofysoyu  => Clé supprimée avec succès


========== Récapitulatif ==========
2 : Clé(s) du Registre


End of the scan

Lyonnais92 · Answer

Re,

la suite (redémarrage, ZHPdiag).

Mat85 · Answer

le nouveau rapport zhpdiag après redémarrage

http://www.cijoint.fr/cjlink.php?file=cj201102/cij9WftUGV.txt

Lyonnais92 · Answer

Re,

une clé malware revient.

Fais ça :

    Ouvre le registre(démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK. ) et navigue avec les + et les - jusqu'à la clé

[HKLM\Software\AntimalwareSolution] 

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

===

Tu fais la même chose avec :

HKCU\Software\AppDataLow\Software\{65855C14-2E57-349E-7807-FA058EC5661B}

Mat85 · Answer

Le contenu de la première clé :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\AntimalwareSolution]

[HKEY_LOCAL_MACHINE\SOFTWARE\AntimalwareSolution\Brand]

[HKEY_LOCAL_MACHINE\SOFTWARE\AntimalwareSolution\Brand\Assistant]
"mode"=hex:40,00,42,00,79,00,74,00,65,00,41,00,72,00,72,00,61,00,79,00,28,00,\
  01,00,00,00,00,00,00,00,d0,00,8c,00,9d,00,df,00,01,00,15,00,d1,00,11,00,8c,\
  00,7a,00,00,00,c0,00,4f,00,c2,00,97,00,eb,00,01,00,00,00,00,00,00,00,57,00,\
  9c,00,cf,00,3b,00,03,00,25,00,9b,00,40,00,9c,00,49,00,ed,00,bd,00,7f,00,3b,\
  00,d5,00,52,00,00,00,00,00,00,00,00,00,0c,00,00,00,00,00,00,00,41,00,00,00,\
  56,00,00,00,53,00,00,00,53,00,00,00,44,00,00,00,00,00,00,00,03,00,66,00,00,\
  00,00,00,a8,00,00,00,00,00,00,00,10,00,00,00,00,00,00,00,16,00,43,00,47,00,\
  bd,00,d1,00,f4,00,70,00,c6,00,c5,00,12,00,ff,00,f7,00,c2,00,cf,00,c5,00,02,\
  00,00,00,00,00,00,00,00,00,04,00,80,00,00,00,00,00,a0,00,00,00,00,00,00,00,\
  10,00,00,00,00,00,00,00,0e,00,b4,00,d1,00,5f,00,3a,00,f5,00,5e,00,a6,00,0e,\
  00,23,00,d7,00,a8,00,42,00,39,00,44,00,c2,00,28,00,00,00,00,00,00,00,b7,00,\
  59,00,65,00,05,00,40,00,f8,00,4c,00,18,00,20,00,2f,00,5c,00,e5,00,95,00,15,\
  00,47,00,80,00,d8,00,35,00,58,00,22,00,f5,00,c5,00,c6,00,50,00,f8,00,61,00,\
  18,00,5f,00,2b,00,8b,00,ee,00,5a,00,46,00,b0,00,82,00,7f,00,42,00,07,00,a5,\
  00,4a,00,14,00,00,00,00,00,00,00,f7,00,15,00,d4,00,46,00,d1,00,15,00,ee,00,\
  ad,00,b0,00,ab,00,fd,00,07,00,81,00,69,00,26,00,8d,00,4b,00,dd,00,16,00,b0,\
  00,29,00

[HKEY_LOCAL_MACHINE\SOFTWARE\AntimalwareSolution\Brand\ScanningService]
"mode"=hex:40,00,42,00,79,00,74,00,65,00,41,00,72,00,72,00,61,00,79,00,28,00,\
  01,00,00,00,00,00,00,00,d0,00,8c,00,9d,00,df,00,01,00,15,00,d1,00,11,00,8c,\
  00,7a,00,00,00,c0,00,4f,00,c2,00,97,00,eb,00,01,00,00,00,00,00,00,00,57,00,\
  9c,00,cf,00,3b,00,03,00,25,00,9b,00,40,00,9c,00,49,00,ed,00,bd,00,7f,00,3b,\
  00,d5,00,52,00,00,00,00,00,00,00,00,00,0c,00,00,00,00,00,00,00,41,00,00,00,\
  56,00,00,00,53,00,00,00,53,00,00,00,44,00,00,00,00,00,00,00,03,00,66,00,00,\
  00,00,00,a8,00,00,00,00,00,00,00,10,00,00,00,00,00,00,00,bc,00,2f,00,ea,00,\
  62,00,45,00,7c,00,3b,00,d1,00,05,00,35,00,db,00,2b,00,58,00,5c,00,2f,00,fc,\
  00,00,00,00,00,00,00,00,00,04,00,80,00,00,00,00,00,a0,00,00,00,00,00,00,00,\
  10,00,00,00,00,00,00,00,d9,00,53,00,07,00,6b,00,fa,00,c4,00,bc,00,d3,00,b4,\
  00,91,00,60,00,9b,00,30,00,2d,00,22,00,08,00,28,00,00,00,00,00,00,00,59,00,\
  03,00,b8,00,37,00,75,00,7c,00,4a,00,07,00,00,00,94,00,86,00,2d,00,7c,00,64,\
  00,a9,00,3a,00,05,00,3b,00,f0,00,69,00,ab,00,09,00,cb,00,f2,00,87,00,39,00,\
  0d,00,2c,00,82,00,e0,00,5a,00,e6,00,66,00,9f,00,18,00,dd,00,02,00,b7,00,40,\
  00,21,00,14,00,00,00,00,00,00,00,3a,00,a5,00,e2,00,ed,00,f2,00,46,00,6a,00,\
  36,00,52,00,44,00,fb,00,ab,00,10,00,d2,00,5a,00,89,00,e9,00,3a,00,c8,00,5f,\
  00,29,00

[HKEY_LOCAL_MACHINE\SOFTWARE\AntimalwareSolution\Brand\WatchService]
"mode"=hex:40,00,42,00,79,00,74,00,65,00,41,00,72,00,72,00,61,00,79,00,28,00,\
  01,00,00,00,00,00,00,00,d0,00,8c,00,9d,00,df,00,01,00,15,00,d1,00,11,00,8c,\
  00,7a,00,00,00,c0,00,4f,00,c2,00,97,00,eb,00,01,00,00,00,00,00,00,00,57,00,\
  9c,00,cf,00,3b,00,03,00,25,00,9b,00,40,00,9c,00,49,00,ed,00,bd,00,7f,00,3b,\
  00,d5,00,52,00,00,00,00,00,00,00,00,00,0c,00,00,00,00,00,00,00,41,00,00,00,\
  56,00,00,00,53,00,00,00,53,00,00,00,44,00,00,00,00,00,00,00,03,00,66,00,00,\
  00,00,00,a8,00,00,00,00,00,00,00,10,00,00,00,00,00,00,00,99,00,20,00,22,00,\
  34,00,b3,00,60,00,63,00,1f,00,30,00,5c,00,60,00,49,00,ec,00,62,00,21,00,9b,\
  00,00,00,00,00,00,00,00,00,04,00,80,00,00,00,00,00,a0,00,00,00,00,00,00,00,\
  10,00,00,00,00,00,00,00,54,00,09,00,c1,00,f2,00,22,00,c0,00,67,00,dd,00,69,\
  00,79,00,57,00,c4,00,ff,00,7d,00,5d,00,29,00,28,00,00,00,00,00,00,00,88,00,\
  ae,00,fe,00,c0,00,97,00,34,00,c2,00,78,00,8e,00,93,00,c8,00,3a,00,ff,00,69,\
  00,4b,00,ef,00,dd,00,61,00,fc,00,b3,00,e6,00,e3,00,e3,00,f2,00,18,00,4a,00,\
  40,00,65,00,56,00,b8,00,4a,00,39,00,e7,00,b1,00,e1,00,c8,00,d3,00,15,00,10,\
  00,e9,00,14,00,00,00,00,00,00,00,9c,00,eb,00,ef,00,62,00,ea,00,8e,00,84,00,\
  3a,00,78,00,a1,00,3e,00,4e,00,ba,00,02,00,47,00,01,00,d2,00,8a,00,a2,00,f0,\
  00,29,00

Mat85 · Answer

Le contenu de la seconde :

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\AppDataLow\Software\{65855C14-2E57-349E-7807-FA058EC5661B}]
"aff_id"="voguecash"

Lyonnais92 · Answer

Re,

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes ' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4 

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Mat85 · Answer

voici le rapport de MBAM, il m'a trouvé une clé infectée

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5363

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/02/2011 22:33:46
mbam-log-2011-02-05 (22-33-46).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 135491
Temps écoulé: 2 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{6d5ae610-803a-e578-8b93-ee9ce23be350} (Adware.Dymanet) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Lyonnais92 · Answer

Re,


relance ZHPFix avec :

[HKLM\Software\AntimalwareSolution]
[HKEY_CURRENT_USER\Software\AppDataLow\Software\{65855C14-2E57-349E-7807-FA058EC5661B}] 



Poste le rapport.

Ensuite, tu fais redémarrer l'ordi, ru refais passer ZHPDiag et tu postes le nouveau rapport dans un lien Cijoint. 

===

Pour info, je cherche ce qui régénère la première des 2 clés. Le Net est muet dessus.

Mat85 · Answer

nouveau rapport zhpfix

Rapport de ZHPFix 1.12.3249 par Nicolas Coolman, Update du 03/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2011-23-46-23.txt
Run by Administrateur at 05/02/2011 23:46:23
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\AntimalwareSolution  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\{65855C14-2E57-349E-7807-FA058EC5661B}  => Clé supprimée avec succès


========== Récapitulatif ==========
2 : Clé(s) du Registre


End of the scan

Mat85 · Answer

rapport zhPdiag :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijkveSDOZ.txt

Lyonnais92 · Answer

Re,

toujours là.

* /!\ Utilisateur de vista et windows 7 : ne pas oublier de désactiver Le contrôle des comptes utilisateurs 

Ouvre ce lien et télécharge USBFix

http://www.teamxscript.org/usbfixTelechargement.html
 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

* Double clic sur le raccourci UsbFix présent sur ton bureau . 
* Choisis l'option Suppression
* Laisse travailler l'outil. 

* Ensuite post le rapport UsbFix.txt qui apparaîtra. 

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Mat85 · Answer

Je vais me coucher, je continuerai demain matin
Je te remercie vraiment pour ton aide, le pc tourne beaucoup mieux...

Merci encore Bonne nuit

Mat85 · Answer

voici le rapport d'usbfix si tu es toujours la

############################## | UsbFix 7.038 | [Suppression]

Utilisateur: Administrateur (Administrateur) # MATANNA-3238C6F [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 09:50:46 | 06/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Pentium(R) Dual CPU E2220 @ 2.40GHz
CPU 2: Intel(R) Pentium(R) Dual CPU E2220 @ 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVirus Firewall 7.03 7.03 [(!) Disabled | Updated]
Firewall: AntiVirus Firewall 7.03 7.03 [(!) Disabled]
RAM -> 3062 Mo 
C:\ (%systemdrive%) -> Disque fixe # 149 Go (128 Go libre(s) - 86%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 298 Go (114 Go libre(s) - 38%) [] # NTFS
F:\ -> Disque amovible # 479 Mo (109 Mo libre(s) - 23%) [] # FAT
Z:\ -> Disque amovible # 2 Go (515 Mo libre(s) - 27%) [KINGSTON] # FAT

################## | Éléments infectieux |


Supprimé! C:\Recycler\S-1-5-21-1004336348-1500820517-725345543-500
Supprimé! E:\Recycler\S-1-5-21-1004336348-1500820517-725345543-500

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2c1dddc0-09b5-11e0-acc0-000b6b9d67ba}

################## | Listing |

[01/04/2009 - 12:31:16 | N | 94] 	C:\3670019.bat
[28/07/2010 - 17:13:14 | N | 62517] 	C:\aaw7boot.log
[05/02/2011 - 15:52:39 | N | 5500] 	C:\Ad-Report-CLEAN[1].txt
[13/02/2009 - 05:49:26 | N | 0] 	C:\AUTOEXEC.BAT
[15/02/2009 - 09:37:25 | D ] 	C:\BJPrinter
[14/02/2009 - 12:27:21 | N | 212] 	C:\Boot.bak
[30/12/2010 - 18:55:39 | N | 282] 	C:\boot.ini
[02/03/2006 - 13:00:00 | N | 4952] 	C:\Bootfont.bin
[25/07/2010 - 16:32:29 | D ] 	C:\cmdcons
[03/08/2004 - 22:00:08 | N | 263488] 	C:\cmldr
[25/07/2010 - 16:39:09 | D ] 	C:\ComboFix
[05/02/2011 - 16:59:54 | D ] 	C:\Config.Msi
[13/02/2009 - 05:49:26 | N | 0] 	C:\CONFIG.SYS
[23/07/2010 - 15:45:18 | D ] 	C:\divx
[13/02/2009 - 14:23:53 | D ] 	C:\Documents and Settings
[06/06/2009 - 14:27:16 | N | 229] 	C:\INSTALL.LOG
[14/02/2009 - 17:41:11 | D ] 	C:\Intel
[13/02/2009 - 05:49:26 | N | 0] 	C:\IO.SYS
[24/07/2010 - 13:50:29 | N | 1814] 	C:\mkv.txt
[24/07/2010 - 14:07:22 | N | 653] 	C:\mpeg.txt
[13/02/2009 - 05:49:26 | N | 0] 	C:\MSDOS.SYS
[02/03/2006 - 13:00:00 | N | 47564] 	C:\NTDETECT.COM
[16/03/2010 - 10:06:07 | N | 252240] 	C:
tldr
[06/02/2011 - 09:33:15 | ASH | 3205496832] 	C:\pagefile.sys
[05/02/2011 - 16:57:25 | D ] 	C:\Program Files
[25/07/2010 - 16:28:46 | D ] 	C:\Qoobox
[06/02/2011 - 09:53:47 | SHD ] 	C:\RECYCLER
[27/12/2010 - 14:22:59 | D ] 	C:\Sounds
[18/12/2010 - 11:00:45 | D ] 	C:\spoolerlogs
[28/12/2010 - 09:57:32 | SHD ] 	C:\System Volume Information
[05/02/2011 - 14:23:34 | N | 41568] 	C:\TDSSKiller.2.4.16.0_05.02.2011_14.21.48_log.txt
[05/02/2011 - 14:38:26 | N | 78482] 	C:\TDSSKiller.2.4.16.0_05.02.2011_14.35.43_log.txt
[12/12/2010 - 21:25:59 | D ] 	C:\Temp
[26/02/2010 - 21:54:05 | N | 2568] 	C:	race.txt
[06/02/2011 - 09:53:47 | D ] 	C:\UsbFix
[06/02/2011 - 09:53:51 | A | 1276] 	C:\UsbFix.txt
[06/02/2011 - 09:33:32 | D ] 	C:\WINDOWS
[05/02/2011 - 18:13:42 | N | 36594] 	C:\ZHPExportRegistry-05-02-2011-18-13-42.txt
[05/02/2011 - 20:57:47 | N | 6120] 	C:\ZHPExportRegistry-05-02-2011-20-57-47.txt
[05/02/2011 - 23:46:23 | N | 8796] 	C:\ZHPExportRegistry-05-02-2011-23-46-23.txt
[06/06/2009 - 15:16:13 | D ] 	E:\2a634727c192b6fb5f3b92
[21/11/2010 - 15:53:05 | D ] 	E:\Annabelle
[15/02/2009 - 16:37:44 | D ] 	E:\Lilou
[05/02/2011 - 23:58:52 | D ] 	E:\Mathieu
[18/02/2009 - 18:27:09 | RHD ] 	E:\MSOCache
[03/11/2010 - 17:57:49 | D ] 	E:\Photos
[15/02/2009 - 16:41:15 | D ] 	E:\plan cuisine
[06/02/2011 - 09:53:47 | SHD ] 	E:\RECYCLER
[21/01/2011 - 19:42:35 | D ] 	E:\Son
[14/02/2009 - 15:28:09 | SHD ] 	E:\System Volume Information
[27/12/2010 - 11:51:55 | D ] 	E:\Vidéos

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MATANNA-3238C6F.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |
cs

Lyonnais92 · Answer

Bonjour,

relance ZHPFix avec :

[HKLM\Software\AntimalwareSolution]


Poste le rapport.

Ensuite, tu fais redémarrer l'ordi, tu refais passer ZHPDiag et tu postes le nouveau rapport dans un lien Cijoint.

Mat85 · Answer

Salut a toi,

Voici le rapport de securitoo qui me trouve un spyware "zwangie"

Rapport d'analyse
dimanche 6 février 2011 10:01:11 - 10:01:17
Nom de l'ordinateur: MATANNA-3238C6F 
Type d'analyse: Analyse de la cible 
Cible : C:\Documents and Settings 


--------------------------------------------------------------------------------

Résultat: 1 antiprogramme(s) détecté(s)
*** Analyse annulée par l'utilisateur ***

AdWare.Win32.Zwangi.aqe (Logiciel publicitaire) 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\DVFYBQNX\upgrade[1].cab\upgrade.exe 




--------------------------------------------------------------------------------

Statistiques
Analysés: 
Fichiers: 495 
Non analysés: 6 
Résultat: 
Virus: 0 
Spyware: 1 
Eléments suspects: 0 
Programme à risque: 0 
Actions: 
Nettoyés: 0 
Renommés: 0 
Supprimés: 0 
Quarantaine: 0 
Echec: 0 
Secteurs d'amorçage: 
Analysés: 0 
Infectés: 0 
Eléments suspects: 0 
Nettoyés: 0 
Fichiers non analysés: 
Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass.zip\sbRecovery.reg est crypté.
Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass.zip\sbRecovery.ini est crypté.
Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass1.zip\sbRecovery.reg est crypté.
Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallBypass1.zip\sbRecovery.ini est crypté.
Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SweetIM.zip\sbRecovery.reg est crypté.
Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SweetIM.zip\sbRecovery.ini est crypté.


--------------------------------------------------------------------------------

Options
Version des définitions:
Virus: 2011-02-05_03 
Spyware: 2011-02-05_03 
Moteurs d'analyse :
F-Secure AVP: 7.00.171, 2011-02-05 
F-Secure Libra: 2.04.05, 2010-02-06 
F-Secure Orion: 1.02.41, 2011-02-04 
F-Secure Draco: 1.01.00, 0-00-00 
Options d'analyse : 
Analyser les fichiers définis : COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JOB JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX 
Analyser le contenu des archives 
Actions:
Virus: Interroger après analyse 
Spyware: Interroger après analyse 

--------------------------------------------------------------------------------

Copyright © 1998-2007 Assistance produit | Envoi d'un échantillon de virus à F-Secure
F-Secure n'assume aucune responsabilité quant au matériel créé ou publié par une tierce partie et référencé par un lien dans les pages Web de F-Secure. Sauf mention contraire explicite, vous acceptez qu'en soumettant du matériel sur l'un de nos serveurs, par exemple via courrier électronique ou formulaire CGI de F-Secure, le matériel mis à disposition peut dès lors être publié sur les pages Web de F-Secure ou sur support papier. Vous accéderez au site web public de F-Secure en cliquant sur les liens soulignés. Ainsi, votre accès est enregistré dans nos statistiques privées avec votre nom de domaine. Ces informations ne sont communiquées à aucune tierce partie. Vous vous engagez à ne pas intenter de procédure judiciaire contre notre société en relation avec le matériel soumis. Sauf mention contraire explicite, F-Secure peut inclure dans ses propres produits/publications tout concept relatif au matériel mis à sa disposition, sans aucun engagement de responsabilité.

Mat85 · Answer

le rapport de zhpfix :

Rapport de ZHPFix 1.12.3249 par Nicolas Coolman, Update du 03/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-06-02-2011-10-04-58.txt
Run by Administrateur at 06/02/2011 10:04:58
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\AntimalwareSolution  => Clé supprimée avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre


End of the scan

Mat85 · Answer

Le rapport zhpdia après redémarrage :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijEJDMlcM.txt

Lyonnais92 · Answer

Re,

Preventon ou F-secure, il faut que tu choisisses.

Les 2 sont gratuits ? Si oui, garde F-secure. Si un est avec une licence payante, garde-le.

===

Supprime ce répertoire (clic droit et Supprimer) :

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\DVFYBQNX\upgrade[1].cab

===

Relance ZHPDiag, clique sur le tournevis et clique sur Aucun.

Coche ensuite les cases devant les lignes :

O61

O62

O65

O82

Clique sur la loupe.

Poste le rapport dans un lien Cijoint.

Mat85 · Answer

J'ai supprimé le dossier upgrade[1].cab

Voici le rapport ZHPdiag

http://www.cijoint.fr/cjlink.php?file=cj201102/cijqxL4Npl.txt

Je garde F-secure (car avec licence) et je désinstalle l'autre tout de suite

Lyonnais92 · Answer

Re,

télécharge CCleanerSlim.

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

Nettoye le système de fichier.

Quand tu auras désinstaller preventon, fais redémarrer l'ordi, refais tourner ZHPDiag (avec toutes les options cochées) et poste le rapport dans un lein Cijoint.

Mat85 · Answer

J'ai néttoyé le systeme avec ccleaner et j'ai désinstaller tous les antivirus et antispyware que j'avais par contre je n'ai pas trouvé de preventon. Le seul dossier preventon que j'ai trouvé était dans documents and setting et il y a un fichier dedans qui est utilisé et donc je ne peut pas le supprimé.
Voici le nouveau rapport

http://www.cijoint.fr/cjlink.php?file=cj201102/cijy2OnfGs.txt

Virus tenace

38 réponses

Votre réponse

Discussions similaires

Newsletters