combofix infection Résolu/Fermé

Question

Bonjour 

Merci de m'aider c'est sympa !  

Voici le résultat de l'étape 1:  
======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======  

Mis à jour par TeamXscript le 01/03/11  
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com  
Site web: http://www.teamxscript.org  

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:59:34 le 17/03/2011, Mode normal  

Microsoft Windows 7 Professionnel   (X86)   
Val@VAL-PC (ASUSTeK Computer Inc. K50IJ)   
   
============== ACTION(S) ==============  



(!) -- Fichiers temporaires supprimés.  


Clé supprimée: HKLM\Software\Classes\Interface\{17BF1E05-C0E8-413C-BD1F-A481EEA3B8E9}  
Clé supprimée: HKLM\Software\Classes\Interface\{21BA420E-161C-413A-B21E-4E42AE1F4226}  
Clé supprimée: HKLM\Software\Classes\Interface\{30B15818-E110-4527-9C05-46ACE5A3460D}  
Clé supprimée: HKLM\Software\Classes\Interface\{419EDA30-6DFF-432C-B534-E15D899ABEE4}  
Clé supprimée: HKLM\Software\Classes\Interface\{453DB0C5-F41C-4D97-8DD6-CC72ECD5F699}  
Clé supprimée: HKLM\Software\Classes\Interface\{4AFC07D0-59BB-46B8-B097-1A46E88EEF71}  
Clé supprimée: HKLM\Software\Classes\Interface\{618AAD04-921F-44C2-BE38-C0818AF69861}  
Clé supprimée: HKLM\Software\Classes\Interface\{6511CE4C-4722-40D0-AD3D-4AFA2F50978A}  
Clé supprimée: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}  
Clé supprimée: HKLM\Software\Classes\Interface\{83B2FE06-BA20-4F7D-96C6-6FC3A4E877D3}  
Clé supprimée: HKLM\Software\Classes\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}  
Clé supprimée: HKLM\Software\Classes\Interface\{9BEC9B38-BF39-4899-806E-A1C5DFEB60A2}  
Clé supprimée: HKLM\Software\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}  
Clé supprimée: HKLM\Software\Classes\Interface\{B32966A2-F7C2-4362-A6CF-399EC8B44110}  
Clé supprimée: HKLM\Software\Classes\Interface\{B5D2ED96-62F9-4C2C-956D-E425B1F67337}  
Clé supprimée: HKLM\Software\Classes\Interface\{B86D82BF-D39F-439A-A07C-43EDDC6F6EA6}  
Clé supprimée: HKLM\Software\Classes\Interface\{D3A412E8-1E4B-47D2-9B12-F88291F5AFBB}  
Clé supprimée: HKLM\Software\Classes\Interface\{DA6305B9-0869-4235-8C1D-533A65E639E5}  
Clé supprimée: HKLM\Software\Classes\Interface\{E6961C59-CFCE-4CCD-B794-BC78DB98413A}  
Clé supprimée: HKLM\Software\Classes\Interface\{F8B4EC8A-2407-4BE0-AEE2-0F430D65A90D}  
Clé supprimée: HKLM\Software\Classes\TypeLib\{ACC62306-9A63-4864-BD2F-C8825D2D7EA6}  
Clé supprimée: HKLM\Software\Classes\TypeLib\{CDCA70D8-C6A6-49EE-9BED-7429D6C477A2}  
Clé supprimée: HKLM\Software\Classes\TypeLib\{D136987F-E1C4-4CCC-A220-893DF03EC5DF}  
Clé supprimée: HKLM\Software\Classes\ShopperReports.HbAx  
Clé supprimée: HKLM\Software\Classes\ShopperReports.HbAx.1  
Clé supprimée: HKLM\Software\Classes\ShopperReports.HbInfoBand  
Clé supprimée: HKLM\Software\Classes\ShopperReports.HbInfoBand.1  
Clé supprimée: HKLM\Software\Classes\ShopperReports.IEButton  
Clé supprimée: HKLM\Software\Classes\ShopperReports.IEButton.1  
Clé supprimée: HKLM\Software\Classes\ShopperReports.IEButtonA  
Clé supprimée: HKLM\Software\Classes\ShopperReports.IEButtonA.1  
Clé supprimée: HKLM\Software\Classes\ShopperReports.RprtCtrl  
Clé supprimée: HKLM\Software\Classes\ShopperReports.RprtCtrl.1  
Clé supprimée: HKLM\Software\QuestBrowse  
Clé supprimée: HKCU\Software\Spointer  
Clé supprimée: HKCU\Software\AppDataLow\Software\ShopperReports3  
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}  
Clé supprimée: HKLM\Software\Classes\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227}  
Clé supprimée: HKLM\Software\Classes\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE}  
Clé supprimée: HKLM\Software\Classes\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D}  
Clé supprimée: HKLM\Software\Classes\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306}  

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|clickpotatolite@clickpotatolite.com  
Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|Shopperreports@shopperreports.com  


============== SCAN ADDITIONNEL ==============  

**** Mozilla Firefox Version [3.6.15 (fr)] ****  

Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension  )  

-- C:\Users\Val\AppData\Roaming\Mozilla\FireFox\Profiles\3yxnq6xu.default --  
Extensions\{b749fc7c-e949-447f-926c-3f4eed6accfe} (Modify Headers)  
Prefs.js - browser.download.lastDir, E:\Autres  
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15  

========================================  

**** Internet Explorer Version [8.0.7600.16385] ****  

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome  
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896  
HKCU_Main|Start Page - hxxp://fr.msn.com/  
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896  
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm  
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  
HKLM_Main|Start Page - hxxp://fr.msn.com/  
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)  
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)  
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)  

========================================  

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)  
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)  

C:\Ad-Report-CLEAN[1].txt - 18/03/2011 00:00:15 (5559 Octet(s))   

Fin à: 00:01:05, 18/03/2011   
   
============== E.O.F ==============   

Pour l'étape 2, impossible, voici ce qui apparaît quand j'essaie de lancer le programme :  

Impossible d'executer le fichier :  
C:\Program Files\ZHPDiag\ZHPDiag.exe  
CreateProcess a échoué ; code 740.  
L'opération demandée nécessite une élévation.  


Configuration: Windows 7 / Firefox 3.6.15

nounouss18 · Answer

Je précise que cet e-mail était à l'origine adressé à moment de grace qui a commencé à m'aider dans un sujet intitulé "Combofix, mon ordi toujours en danger ?"
J'ai essayé de poster les réponses mais ça ne marchait pas, le site me demandait de mettre un titre alors qu'il n'y avait aucune case pour le faire, j'ai donc créé un nouveau sujet.

Toute aide est la bienvenue même venant de la personne qui n'était pas le destinataire initial. J'ai déjà fait combofix et voici le rapport : http://cjoint.com/?1drxZ7AoJIh

jfkpresident · Answer

Bonsoir,

  Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

nounouss18 · Answer

Bonsoir, 

J'ai déja fait ça mais voici ce qui se passe :

Impossible d'executer le fichier :
C:\Program Files\ZHPDiag\ZHPDiag.exe
CreateProcess a échoué ; code 740.
L'opération demandée nécessite une élévation.

jfkpresident · Answer

L'opération demandée nécessite une élévation.

Lit bien mes consignes !

Clic droit puis "éxécuter en tant qu'admin..." sur l'icone ZhpDiag .

nounouss18 · Answer

ok excuse-moi

par contre je dois vraiment être nulle mais je trouve pas la loupe...

elle est où ??

jfkpresident · Answer

En haut a gauche quand tu ouvre ZhpDiag .

nounouss18 · Answer

En haut à gauche dans l'ordre j'ai :
un appareil photo, puis un bloc-note, puis un dessin avec une vague violette, ensuite une poubelle avec un A rouge et enfin un H bleu...
Voir ici : http://cjoint.com/?1dswsXzLNk7

Y'a pas de loupe...

jfkpresident · Answer

Comme le dit si bien 2011N2 ,tu confond ZhpFix (icone seringue) avec ZhpDiag (icone parchemin)

nounouss18 · Answer

c'est confirmée, je suis nulle...

Bref, voila le rapport : 	http://cjoint.com/?1dswEjeDqaq

jfkpresident · Answer

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".



:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService]

:files
C:\Windows\system32\srvany.exe   
 
:services
KMService

:commands
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

nounouss18 · Answer

Bonjour,

Suite de la manoeuvre car hier soir j'ai du partir précipitamment...

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService\ deleted successfully.
========== FILES ==========
C:\Windows\system32\srvany.exe moved successfully.
========== SERVICES/DRIVERS ==========
Service KMService stopped successfully!
Service KMService deleted successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: Val
->Temp folder emptied: 99150 bytes
->Temporary Internet Files folder emptied: 62574114 bytes
->FireFox cache emptied: 108651402 bytes
->Flash cache emptied: 20218 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 69157 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 163,00 mb
 
 
OTM by OldTimer - Version 3.1.17.2 log created on 03192011_193156

jfkpresident · Answer

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

nounouss18 · Answer

Et voici le rapport :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6112

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20/03/2011 20:16:25
mbam-log-2011-03-20 (20-16-25).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 205960
Temps écoulé: 17 minute(s), 39 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Qoobox\quarantine\C\program files\clickpotatolite\bin\10.0.666.0\clickpotatolitesaax.dll.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\program files\clickpotatolite\bin\10.0.666.0\clickpotatolitesabho.dll.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\program files\questbrwsearch\questbrwsearch.dll.vir (Adware.Agent.Gen) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\program files\questbrwsearch\uninstall.exe.vir (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\program files\shopperreports3\bin\3.0.517.0\cntntcntr.dll.vir (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\program files\shopperreports3\bin\3.0.517.0\shopperreportsuninstaller.exe.vir (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\components\brnstff.dll.vir (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

jfkpresident · Answer

Maintenant recolle moi un nouveau log ZhpDiag pour faire le point .

nounouss18 · Answer

et hop : http://cjoint.com/?1duuNZjypm

jfkpresident · Answer

Comment va le pc ?

nounouss18 · Answer

ça a l'air d'aller.
Ca semble bon pour toi?

jfkpresident · Answer

Ca semble bon pour toi?

Oui .

==*Nettoyage des outils*==

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

nounouss18 · Answer

J'ai windows 7... je fais quoi ?

nounouss18 · Answer

j'ai suivi la manip comme si j'avais vista mais ça m'a sorti un truc bizarre : mon mozilla s'est ouvert et il y avait plein d'onglets qui s'ouvraient sans que je pouvais l'empêcher pour que je fasse une donation.
après le programme m'a dit qu'il y avait une erreur avec ZhpDiag mais je me souviens plus très bien quoi (un truc du genre que la désinstallation n'avait été que partielle ou incomplète).
j'ai voulu le refaire mais ZhpFix n'existe plus sur mon ordi. Le raccourci ne marche plus... Il n'y a que Malwarebyte qui est resté et que je peux continuer à utiliser...

est-ce que c'est bon ou j'ai fait une bêtise ?

jfkpresident · Answer

Tape ComboFix /uninstall en ligne de commande (cmd dans la recherche) .

nounouss18 · Answer

ça me sort ça : 'Combofix' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes

jfkpresident · Answer

Supprimes Combofix manuellement ainsi que C:\Qoobox

nounouss18 · Answer

Je ne trouve pas Combofix ni Qoobox dans le panneau windows qui permet d'installer ou désinstaller des programmes.
J'ai essayé de supprimer (par un clic droit ou en appuyant sur la touche suppr) le dossier C:\Qoobox mais ça veut pas, on me dit que je dois avoir les droits d'administrateur.
Par contre, dans le panneau des programmes j'ai vu qu'il y avait toujours Zhpdiag, AD remover et malwarebytes.
Qu'est-ce que je dois faire et comment ?

(c'est une histoire sans fin j'ai l'impression...)

jfkpresident · Answer

@jfk : delfix ne peut pas être utile dans son cas? 

Je l'avais zappé celui la ...:P

    * Télécharge DelFix 
    * Lance le puis clique sur le bouton [suppression]
    * Après quelques secondes, un rapport s'ouvrira.
    * Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

nounouss18 · Answer

Salut,

Voilà le rapport :

# DelFix v7.5 - Rapport créé le 22/03/2011 à 20:35
# Mis à jour le 15/03/11 à 16h30 par Xplode
# Système d'exploitation : Windows 7 Professional (32 bits) [version 6.1.7600] 
# Nom d'utilisateur : Val - VAL-PC (Administrateur)
# Exécuté depuis : C:\Users\Val\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\_OTM
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\Val\Desktop\AD-R.lnk
Supprimé : C:\Users\Val\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Val\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Val\Downloads\OTM.exe
Supprimé : C:\Users\Val\Downloads\ComboFix.exe
Supprimé : C:\Users\Val\Downloads\ZHPDiag2(2).exe
Supprimé : C:\Users\Val\Downloads\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1969 octets] ##########


C'EST BON CETTE FOIS-CI ? ...

jfkpresident · Answer

Oui ,c'est bon ce coup-ci :)

nounouss18 · Answer

merci !!!!!!!!!!!

jfkpresident · Answer

De rien :)

Combofix infection

29 réponses

Discussions similaires