Virus Windows repair [Résolu/Fermé]

Signaler
-
 cacahuete18 -
Bonjour,
Mon ordi a été infecté par le virus windows repair, j'ai suivi vos conseils et télécharger Roguekiller puis effectué toutes les manipulations que vous avez recommandé. J'ai récupéré tous les dossiers que j'avais perdu tout à l'air en ordre et je voudrais savoir s'il faut quand même que je vous poste les rapports avec option 2 et 6 ? en tout cas j'ai trouvé toutes les informations nécessaires sur votre forum et je vous en remercie.



13 réponses

Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
569
Salut

oui poste les rapports.

Ok alors je vous envoie les rapports que j'ai eu.

RogueKiller V4.3.5 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: user [Droits d'admin]
Mode: Suppression -- Date : 31/03/2011 14:58:14

Processus malicieux: 2
[APPDT/TMP/DESKTOP] KiwroKwhwkl.exe -- c:\programdata\kiwrokwhwkl.exe -> KILLED
[APPDT/TMP/DESKTOP] 42721032.exe -- c:\programdata\42721032.exe -> KILLED

Entrees de registre: 2
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : KiwroKwhwkl (C:\ProgramData\KiwroKwhwkl.exe) -> DELETED
[APPDT/TMP/DESKTOP] HKLM\[...]\Run : PPort11reminder ("C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\ProgramData\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini") -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt






RogueKiller V4.3.5 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: user [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 31/03/2011 15:03:31

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 41 / Fail 0
Lancement rapide: Success 5 / Fail 0
Programmes: Success 1 / Fail 0
Menu demarrer: Success 32 / Fail 0
Dossier utilisateur: Success 1145 / Fail 0
Mes documents: Success 3654 / Fail 0
Mes favoris: Success 62 / Fail 0
Mes images: Success 1 / Fail 0
Ma musique: Success 1 / Fail 0
Mes videos: Success 1 / Fail 0
Disques locaux: Success 1833 / Fail 4

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
569
ok, c'est bien

Télécharger sur le bureau Malwarebyte's Anti-Malware

= double-clic sur mbam-setup pour lancer l'installation
= Installer simplement sans rien modifier
= Ne pas décocher "Faire la mise à jour"
= si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
= Quand le programme lancé ==> cocher Exécuter un examen complet
= Clic Rechercher
= Eventuellement décocher les disque à ne pas analyser
= Clic Lancer l'examen
= En fin de scan ( 1h environ), si infection trouvée
==> Clic Afficher résultat
= Fermer vos applications en cours
= Vérifier si tout est coché et clic Supprimer la sélection

un rapport s'ouvre le copier et le coller dans la réponse

A votre demande, voici le rapport suite à l'éxécution de Malwarebyt's Anti-Malware :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6226

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

31/03/2011 16:52:47
mbam-log-2011-03-31 (16-52-47).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 269851
Temps écoulé: 41 minute(s), 34 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 25

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\42721032.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\programdata\kiwrokwhwkl.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\1k08i5h8.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\23F1.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\2604.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\8rgsuwq8.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\cnsaowmrxe.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\err.log40141537 (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\zitui1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\setup1115140096.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\setup1553177600.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\setup2068067392.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\internetexplorerupdate.exe (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\setup2110031232.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\setup2591748352.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\setup3204357632.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\setup3229073472.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\setup3545531456.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\setup3780116480.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\setup532583232.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\setup958760320.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Roaming\Adobe\plugs\kb40144142.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\user\Desktop\rk_quarantine\42721032.exe.vir (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\Users\user\Desktop\rk_quarantine\kiwrokwhwkl.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Temp\Managee.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
569
ok,

Télécharger et dézipper sur le bureau TDSSKiller

= Lancer TDSSKiller en faisant un double clique
= Une fois le scan fini, un rapport s'ouvre
= Copier coller le contenu dans la prochaine réponse
= Le rapport se trouve également dans C:\TDSSKiller.XXXXXX_log.txt.( X correspondant a la version, la date et l'heure )



Le rapport est vide, il est noté au dessus :
infection : not found
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
569
ok, donc ça va

* Télécharge ZHPDiag
Capture

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: http://pjjoint.malekal.com/ et colle le lien dans la réponse

Voici le lien


http://pjjoint.malekal.com/files.php?id=c8f261bae85713
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
569
Télécharger sur le bureau
AD-Remover
= Double-Clic AD-R pour l'installer
= Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
= Faire Nettoyer
= En fin de scan donner le rapport


Rapport de AD-Remover

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:33:15 le 31/03/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
user@FAMILLEVINCENT (HP-Pavilion KJ245AA-ABF a6326.fr)

============== ACTION(S) ==============


Fichier supprimé: C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
Dossier supprimé: C:\Program Files\Ask.com
Dossier supprimé: C:\Users\user\AppData\LocalLow\AskToolbar

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé supprimée: HKCU\Software\Ask.com
Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.19019] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll)
HKCU_ElevationPolicy\{D3DE705E-0BB6-47E6-AB61-6FF78BE040A0} - C:\Program Files\Internet Explorer\minftnet.exe (Synersoft)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 11 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 31/03/2011 17:33:24 (4432 Octet(s))

Fin à: 17:34:22, 31/03/2011

============== E.O.F ==============
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
569
Encore des soucis?
Bonjour,
Encore deux messages d'erreurs au démarrage de mon ordi :

Catalyst Control Centre : Host application a cessé de fonctionner

et

CSS-Corporate-HSS_Mini_FL a cessé de fonctionner

sinon tout à l'air de bien fonctionner, est-ce que je dois garder les programmes que vous m'avez fait installer ainsi que tous les rapports ou je peux les supprimer ?
Merci pour votre aide.
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
569
Pour catalyst, c'est ton driver graphique qu'il faut réinstaller surement
Pour l'autre, je ne connais pas ce programme
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
569
* Télécharge DELFix de Xplode
* Lance le.
* A l'invite, tape 2 (suppression)
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

----------

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web
Et celui ci, sur les logiciels gratuits à éviter

------

Tu peux garder Malwarebytes pour un scan de temps à autres


-----

Pense à marquer le fil comme résolu

# DelFix v7.6 - Rapport créé le 01/04/2011 à 09:10
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : user - FAMILLEVINCENT (Administrateur)
# Exécuté depuis : C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNAQRW9L\DelFix[1].exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-CLEAN[2].txt
Supprimé : C:\TDSSKiller.2.4.21.0_31.03.2011_17.05.08_log.txt
Supprimé : C:\TDSSKiller.2.4.21.0_31.03.2011_17.06.14_log.txt
Supprimé : C:\TDSSKiller.2.4.21.0_31.03.2011_17.07.08_log.txt
Supprimé : C:\TDSSKiller.2.4.21.0_31.03.2011_17.08.41_log.txt
Supprimé : C:\TDSSKiller.2.4.21.0_31.03.2011_17.13.09_log.txt
Supprimé : C:\PhysicalDisk0_MBR.bin

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1444 octets] ##########


Merci pour votre aide précieuse !