Infection loop.exe

Résolu/Fermé
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011 - 13 févr. 2011 à 17:51
 Utilisateur anonyme - 4 avril 2011 à 00:41
Bonjour,

Après un crash, et quelques analyses (comodo, avast, ad aware) il se touve que mon pc était infecté par loop.exe.
Pour savoir si tout était bien parti, j'ai fait une analyse par spybot qui m'a retruové d'autres choses.
Nettoyage effectué, j'ai fait une analyse par malwarebytes car j'ai lu sur ce forum qu'il falait en passer par là. Mais je ne sais pas lire le rapport d'analyse pour savor si tout est ok maintenant.

Je dois me servir de mon portable pour un important travail de lundi à mercredi.
Merci de l'attention porté à ma demande.

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5753

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

13/02/2011 17:37:18
mbam-log-2011-02-13 (17-37-09).txt

Type d'examen: Examen complet (C:\|D:\|Z:\|)
Elément(s) analysé(s): 356541
Temps écoulé: 1 heure(s), 27 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\SEARCH@SEARCHSETTINGS.COM\COMPONENTS\SEARCHSETTINGSFF.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSFF.DLL -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGSRES409.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSRES409.DLL -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\mozilla firefox\extensions\search@searchsettings.com\components\searchsettingsff.dll (PUP.Dealio) -> No action taken.
c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> No action taken.
d:\dwnld\all rkchimaira keygens\adobe cs4 keygens\adobe photoshop cs4 keygen [rkchimaira].exe (Trojan.Agent.CK) -> No action taken.
z:\program files\propellerheads.reason.4.0.hybrid.dvdr-airiso\KEYGEN.EXE (RiskWare.Tool.CK) -> No action taken.
z:\Sound\vst\Filtres\aarpeg.exe (Malware.Packer.Gen) -> No action taken.
z:\Sound\vst\Filtres\scratchi.exe (Malware.Packer.Gen) -> No action taken.


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5753

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

13/02/2011 17:48:44
mbam-log-2011-02-13 (17-48-44).txt

Type d'examen: Examen complet (C:\|D:\|Z:\|)
Elément(s) analysé(s): 356541
Temps écoulé: 1 heure(s), 27 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Not selected for removal.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\SEARCH@SEARCHSETTINGS.COM\COMPONENTS\SEARCHSETTINGSFF.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSFF.DLL -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGSRES409.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSRES409.DLL -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\mozilla firefox\extensions\search@searchsettings.com\components\searchsettingsff.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> Quarantined and deleted successfully.
d:\dwnld\all rkchimaira keygens\adobe cs4 keygens\adobe photoshop cs4 keygen [rkchimaira].exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
z:\program files\propellerheads.reason.4.0.hybrid.dvdr-airiso\KEYGEN.EXE (RiskWare.Tool.CK) -> Not selected for removal.
z:\Sound\vst\Filtres\aarpeg.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
z:\Sound\vst\Filtres\scratchi.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.


81 réponses

Utilisateur anonyme
13 févr. 2011 à 17:52
salut


▶ Télécharge ici : Ad-remover sur ton bureau :


▶ Déconnecte toi et ferme toutes applications en cours !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
13 févr. 2011 à 18:07
bonjour et merci de la rapidité de réponse.

J'execute ZHPDial en tant qu'administrateur, jusqu'à un écran msdos (un petit ecran noir pour ligne de commande, c'est ça, non)
Mais ensuite rien ne se passe.
Comment faire pour la suite.

Pour gen-hackman :
Pour ce qui est de ad-remover trojWare.win32.Trojan.Agent.Gen@1 faut vraiment laisser s'installer ça après avoir désactiver tout les antivirus ??
0
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
13 févr. 2011 à 18:21
Analyse terminée par ZHPdial
http://www.cijoint.fr/cjlink.php?file=cj201102/cijyPZSw8X.txt

Sur la fin j'ai eu une alerte concernant .Heur.Suspicious1 qui voudrait s'installer dans C:\program files\ZHPDial\mbr.exe
Je le laisse faire ?
0
qui t'a demandé de faire zhpdiag ?

j'attends le rapport

fais ce qui est demandé stp
G3?-?@¢??@?......Concepteur de List_Kill'em...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
13 févr. 2011 à 19:15
J'ai eu deux réponse en même temps, je réponds aux deux.
Voici le rapport de ad remover


======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 08/02/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:01:05 le 13/02/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
Aher@PC-AHER (ASUSTeK Computer Inc. M50Vn)

============== ACTION(S) ==============


Dossier supprimé: C:\Program Files\Mozilla FireFox\extensions\search@searchsettings.com
Dossier supprimé: C:\Users\Aher\AppData\LocalLow\Search Settings
Dossier supprimé: C:\Program Files\Search Settings

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Aher\AppData\Roaming\Mozilla\FireFox\Profiles\r3j1ohw8.default\Prefs.js --
Ligne supprimée: user_pref("extensions.enabledItems", "{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2,{d5bc46d8-67c7-11...
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKLM\Software\Classes\Installer\Products\79CAA1B036589D14EA74856E2A220F1E
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\79CAA1B036589D14EA74856E2A220F1E
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.13 (fr)] ****

Plugins\npbittorrent.dll (BitTorrent, Inc.)
HKLM_MozillaPlugins\@RIM.com/WebSLLauncher,version=1.0 (x)
HKCU_MozillaPlugins\@bitmanagement.com/BS Contact (x)
HKCU_MozillaPlugins\@bitmanagement.com/BSVersion,version=1.006 (x)
Searchplugins\xeoocom.xml (hxxp://www.xeoo.com/)
HKLM_Extensions|{000a9d1c-beef-4f90-9363-039d445309b8} - C:\Program Files\Google\Google Gears\Firefox\
HKCU_Extensions|{d5bc46d8-67c7-11dc-8c1d-0097498c2b7a} - C:\Users\Aher\Program Files\DNA

-- C:\Users\Aher\AppData\Roaming\Mozilla\FireFox\Profiles\r3j1ohw8.default --
Extensions\elemhidehelper@adblockplus.org (?)
Extensions\staged-xpis (?)
Extensions\vlcplaylist@helgatauscher.de (?)
Extensions\vlcplugin@radicalsoft.com (VLC Media Player - Web Plugin)
Extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a} (?)
Extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} (?)
Prefs.js - browser.download.dir, C:\\Users\\Aher\\Downloads
Prefs.js - browser.download.lastDir, D:\\Document\\Images\\ukiyo e
Prefs.js - browser.startup.homepage,
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13
Prefs.js - keyword.URL, hxxp://xeoo.com/?p=url&a=firefox&k=

========================================

**** Internet Explorer Version [7.0.6001.18000] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_ElevationPolicy\{a00068b1-1e4e-41c7-afa9-baeb9697e2b9} - C:\Program Files\Common Files\Research In Motion\AppLoader\Loader.exe (Research In Motion Limited)
HKLM_ElevationPolicy\{A553FC79-0F5A-4DDE-A7AE-920F6EE4E264} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\vista_broker.exe (?)
HKLM_ElevationPolicy\{BB64A76C-9578-433f-949F-142997978A62} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\asghost.exe (Cognizance Corporation)
HKLM_Extensions\{09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{DF21F1DB-80C6-11D3-9483-B03D0EC10000} - "ASUS Security Protect Manager" (C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 15 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 13/02/2011 (4781 Octet(s))

Fin à: 19:02:15, 13/02/2011

============== E.O.F ==============
0
Utilisateur anonyme
13 févr. 2011 à 19:25
refais zhpdiag et poste le rapport via cijoint stp
0
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
13 févr. 2011 à 19:33
Voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201102/cij5vrTW4c.txt

Ca dit quoi ?
0
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
13 févr. 2011 à 19:51
et j'ai re-eu une alerte .Heur.Suspicious1 sur la fin de l'analyse ZHPDial... c'est normal ?
0
Utilisateur anonyme
13 févr. 2011 à 19:59
sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

M3 - MFPP: Plugins - [Aher] -- C:\Program Files\Mozilla FireFox\searchplugins\xeoocom.xml
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe
OPT:O4 - Global Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk . (.Adobe Systems, Inc..) -- C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: C:\Users\Aher\Desktop\RegCleaner.lnk . (.Pas de propriétaire.) -- D:\Document\Admin\Utilitaire\RegCleaner\RegCleanr.exe (.not file.)
OPT:O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
[MD5.00000000000000000000000000000000] [APT] [{714CCE7E-4593-460F-BECF-24CD1839223C}] (.Pas de propriétaire.) -- Z:\Sound\vst stock\aa 1005\ConcreteFX.Kubik.VSTi.v2.16-H2O\setup.exe (.not file.) => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{B68F3449-BB2A-4814-92CA-15E614CC6A59}] (.Pas de propriétaire.) -- Z:\Sound\vst stock\aa 1005\Elemental.Audio.Inspector.XL.Analysis.PlugIn.Suite.VST.RTAS.v1.0.1-H2O\setup.exeH2O (.not file.)
[MD5.00000000000000000000000000000000] [APT] [One-Click Tweak] (.Pas de propriétaire.) -- C:\Program Files\Advanced PC Tweaker\OneClick.exe (.not file.)
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] -- DAEMON Tools Toolbar
O43 - CFD: 19/05/2009 - 13:57:02 ----D- C:\Program Files\DAEMON Tools Toolbar
O51 - MPSK:{45f859a0-4474-11de-94ba-00235458cfb0}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\Autoplay.exe (.not file.)
O51 - MPSK:{92721de2-db7a-11dd-b921-00235458cfb0}\Shell\AutoRun\command - Clé orpheline
O51 - MPSK:{92721de2-db7a-11dd-b921-00235458cfb0}\Shell\auto\command - Clé orpheline
O51 - MPSK:{c5506b37-d11a-11df-bec8-0015affe46ef}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- N:\Setup_FlipShare.exe (.not file.)
SR - | Auto 18/05/2010 345376 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.
0
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
13 févr. 2011 à 20:20
Merci...

Voici le rapport ZHP fix

Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-02-2011-20-18-05.txt
Run by Aher at 13/02/2011 20:18:05
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
Z:\Sound\vst stock\aa 1005\ConcreteFX.Kubik.VSTi.v2.16-H2O\setup.exe (.not file.) => Fichier absent => Supprimé et mis en quarantaine
Z:\Sound\vst stock\aa 1005\Elemental.Audio.Inspector.XL.Analysis.PlugIn.Suite.VST.RTAS.v1.0.1-H2O\setup.exeH2O (.not file.) => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] -- DAEMON Tools Toolbar => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe => Clé supprimée avec succès
O51 - MPSK:{45f859a0-4474-11de-94ba-00235458cfb0}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\Autoplay.exe (.not file.) => Clé supprimée avec succès
O51 - MPSK:{92721de2-db7a-11dd-b921-00235458cfb0}\Shell\AutoRun\command - Clé orpheline => Clé supprimée avec succès
O51 - MPSK:{92721de2-db7a-11dd-b921-00235458cfb0}\Shell\auto\command - Clé orpheline => Clé absente
O51 - MPSK:{c5506b37-d11a-11df-bec8-0015affe46ef}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- N:\Setup_FlipShare.exe (.not file.) => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\DAEMON Tools Toolbar => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\mozilla firefox\searchplugins\xeoocom.xml => Supprimé et mis en quarantaine
c:\programdata\microsoft\windows\start menu\programs\startup\adobe gamma loader.lnk => Supprimé et mis en quarantaine
c:\users\aher\desktop\regcleaner.lnk => Supprimé et mis en quarantaine
d:\document\admin\utilitaire\regcleaner\regcleanr.exe => Supprimé et mis en quarantaine
c:\program files\advanced pc tweaker\oneclick.exe (.not file.) => Fichier absent

========== Tache planifiée ==========
Task : {714CCE7E-4593-460F-BECF-24CD1839223C} => Tâche supprimée avec succès
Task : {B68F3449-BB2A-4814-92CA-15E614CC6A59} => Tâche supprimée avec succès
Task : One-Click Tweak => Tâche supprimée avec succès


========== Récapitulatif ==========
2 : Processus mémoire
6 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Dossier(s)
5 : Fichier(s)
3 : Tache planifiée


End of the scan

Est-ce que ça s'éclaircit ? C'était sérieux ou banal comme infection ?
Et maintenant, y'a encore à faire ?
0
Utilisateur anonyme
13 févr. 2011 à 20:49
non pas mechant :)


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
13 févr. 2011 à 20:53
Merci beaucoup

Ca doit te paraitre banal de faire ça, mais c'est vraiment d'un grand secours... entre les post je réfléchissait à vous les membres contibuteurs, et voilà, je tiens à vous dire que vous avez la class...

Je fais ce que tu m'as dit et te poste le rapport.
0
Utilisateur anonyme
13 févr. 2011 à 20:57
:)
0
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
13 févr. 2011 à 22:51
Ca a pris un peu de temps, mais voilà


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5753

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

13/02/2011 22:48:07
mbam-log-2011-02-13 (22-48-07).txt

Type d'examen: Examen complet (C:\|D:\|Z:\|)
Elément(s) analysé(s): 356478
Temps écoulé: 1 heure(s), 28 minute(s), 59 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
z:\program files\propellerheads.reason.4.0.hybrid.dvdr-airiso\KEYGEN.EXE (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

Y'a t il autre chose à faire, ou c'est la fin de la maintenance ?
Y'a-t-il un antivirus et un pare feu que vous conseilleriez plus qu'un autre ?
Sinon je fais spy boot et Malwarebytes régulièrement ?
0
Utilisateur anonyme
14 févr. 2011 à 00:48
non desinstalle spybot et ad-aware ils sont bidon :)
et spybot ralentit ton systeme pour 3 cookies , non c'est pas interessant garde juste malwarebytes un bon scan par semaine devrait faire l'affaire :)

il detecte peut etre moins de choses (moins de faux positifs en tout cas) mais c'est beaucoup plus serieux

on va faire un diagnostique d'un autre style :

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"


▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 01:09
donc il reste des traces de sales trucs alors...

J'ai lancé le scan d'OTL, mais si c'est long je te le posterai demain car je dois me lever tôt.
0
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 01:10
Je ne devais pas changer le cartouche age du fichier, il est sur trente jours ?
0
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 01:11
pardon pour le post précédent... je l'ai mis sur 60 jours comme indiqué...
0
Utilisateur anonyme
14 févr. 2011 à 01:14
ok :) il va pas tarder à finnir :)
0
boxliner Messages postés 51 Date d'inscription dimanche 13 février 2011 Statut Membre Dernière intervention 9 octobre 2011
14 févr. 2011 à 01:17
ok j'attends qu'il termine
0